Ecuador en la mira de la seguridad

Durante los últimos 5 años, en Ecuador se ha mantenido un confortable silencio en términos de seguridad de la información. La sensación de no ser un blanco directo de ataques, o de no ser potencias de la programación, ha relegado el avance de la conciencia corporativa de seguridad de la información.

Durante los últimos 2 años se han venido sofisticando y casi que profesionalizando las metodologías de ataque, y más grave aún, se han venido parametrizando dichos ataques para aprovechar esta falsa sensación de seguridad. Se configura un ataque para que cumpla los horarios típicos más vulnerables, por ejemplo, configurar una red de zombis (máquinas que ya han sido comprometidas y se mantienen bajo el poder de un atacante como un “ejército silencioso”) para que ataquen de forma discreta y pausada, en intervalos lentos de conexión y de diferentes direcciones IP, justo en horario de almuerzo. Se eligen estos horarios porque estadísticamente durante el día se sospecha mucho menos de actividades de la red y porque culturalmente son horas mucho más susceptibles a abrir correo o navegar en páginas no corporativas. Se han encontrado también virus y troyanos con fechas de propagación relativas a las fiestas patrias en Ecuador.

El más popular es quizás el detalle con el que se ha conseguido suplantar entidades financieras del país por medio de Phishing. De hecho no ha sido difícil encontrar tecnologías de phishing en la región que incluyen tecnologías AJAX, ataques DNS, javascript avanzado y hasta intentos de suplantación en los certificados digitales. Todo esto teniendo muy en cuenta que para materializarlo en un ataque, antes ha habido un estudio del objetivo atacado.

Se espera que este comportamiento siga su incremento exponencial en los próximos años. Ya se ha propagado la noticia de que nuestros niveles de conciencia e inversión en temas de seguridad de la información no son los suficientemente aceptables para el reto que se avecina.

No todo es negativo. Afortunadamente se ha venido lentamente despertando el interés particular en la institucionalización de normativas para tratamiento y protección adecuados y seguros de la información, lo que ha creado algo de expectativa entre algunas organizaciones. Aunque el tema debe madurarse mucho aún, se tienen claros los principios de la seguridad. Desafortunadamente nuestra cultura se orienta mucho a la remediación en vez de la prevención; y son pocos los ejemplos de organizaciones que por iniciativa y conciencia, invierten esfuerzos adecuados y suficientes en la protección de uno de sus activos más valiosos: La información.

*Por: Adrián E. Rodríguez — Director de consultoría Digiware Perú — CISSP, CISM, GCFA, ISO Lead Auditor.