En el comienzo de este nuevo año, desde el Observatorio de INTECO, creemos que es interesante lanzar una reflexión tanto de lo que ha acontecido en seguridad de la información y privacidad durante este último año, como de lo que está por venir en 2012. Y para ello, quién mejor que nuestros expertos colaboradores del Blog de la Seguridad de la Información.

A lo largo de varias entregas, estamos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis, el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.

A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).

La siguiente entrega de esta colección corre a cargo de Antonio Sanz (@antoniosanzalc), experto en seguridad informática (especializado en gestión de la seguridad de sistemas de la información e informática forense). Actualmente es Responsable de Sistemas dentro del Instituto de Investigación en Ingeniería de Aragón (I3A).

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

2011 ha sido un año muy pródigo en noticias de seguridad, tanto para lo bueno como para lo malo. Nos quedamos con un resumen de las diez mejores:

1. En casa del herrero, cuchillo de palo. El año ha sido caracterizado por las pérdidas flagrantes de información de varias compañías del entorno de la seguridad informática y de la comunidad de inteligencia. RSA (que reconoció haber perdido información acerca de su sistema de autenticación Escurrid) y tanto HBGary como Stratfor encabezan este listado. Si en estas compañías no se toman en serio la seguridad … ¿dónde vamos?
2. Solo echas de menos algo cuando no lo tienes. El dar por supuesto las cosas a veces pasa facturas bien caras. Y si no que se lo digan a RIM y a Amazon, que con las caídas de varios días de sus servicios dejaron amargos recuerdos a sus clientes y curaron a muchos de la fiebre del “cloud computing como panacea infalible para todo”, haciéndoles conscientes también de los riesgos de este tipo de entornos.
3. Se cerró el telón para Internet Explorer 6. No todo iban a ser malas noticias para este año. Microsoft decide por el mecanismo tajante de la actualización deshacerse de Internet Explorer 6, un navegador que ha dado disgustos allá por donde quiera que haya pasado. Cumplió su misión en su momento, pero hay que despedirse y decir adiós. Descanse en paz.
4. Lo malo, si breve, peor. Las diferentes intrusiones en páginas web y empresas demuestran que seguimos perdiendo la batalla por las contraseñas. Contraseñas como “password” o “123456” siguen en los primeros puestos, e indica a pensar que a lo mejor es necesaria la implantación de otros mecanismos de autenticación más eficaces.
5. Las APT se consolidan. Las APT (Advanced Persistent Threats) se están consolidando como una de las amenazas más peligrosas tanto por la especialización de sus ataques como por los medios a su disposición. La definición de APT como  “alguien que sabe más que tú, tiene más recursos que tú y va a por tí, así que buena suerte” es tan espeluznante como cierta.
6. Gran Hermano 1.0. Este año se ha destacado tristemente por las primeras acciones abiertas de control gubernamental por parte de diversos gobiernos. Ejemplos clarísimos fueron Egipto con su corte de Internet durante las revueltas, Alemania con su troyano desarrollado por la policía para espiar a los ciudadanos y Reino Unido con su vigilancia de las redes sociales durante los disturbios.
7. Los certificados indocumentados. Los certificados digitales son uno de los pilares de la seguridad de Internet. El que grupos de intrusos puedan penetrar en autoridades de certificación como Comodo o DigiNotar y generar certificados maliciosos hace pensar en las necesidades de seguridad estas entidades (y sobre todo, en la revisión de sus sistemas de seguridad).
8. La guerra silenciosa. La ciberguerra se está gestando en Internet. Y como casi todo lo que sucede en Internet, va a unas velocidades asombrosas. Tanto China como EE.UU. (y muchos otros países) están preparando “divisiones de hackers” para dedicarlos a la ciberguerra.  Malware dirigido contra Irán como Stuxnet y su sucesor Duqu, o la captura de un avión no tripulado estadounidense por Irán señalan los primeros intercambios de disparos.
9. Seguridad y privacidad en entornos móviles. El número de usuarios con smartphones y tablets ha crecido vertiginosamente este año en todo el mundo, convirtiéndose en un blanco muy jugoso para los criminales por sus posibilidades monetarias (por ejemplo, para realizar ataques MitMo como hace el troyano Zeus). Respecto a la privacidad, la noticia del año es el “fiasco Carrier IQ”, en el que un software espía instalado por los propios fabricantes recopilaba información de sus usuarios sin su consentimiento.
10. Hacktivismo cada vez más “Anonymous”. Anonymous y otros grupos del underground informático han sido noticia repetidas veces por sus ataques y protestas contra diversas empresa y gobiernos con diversos grados de éxito. El potencial de estos grupos ha quedado demostrado con varios ataques DDoS a páginas web de todo el mundo.

¿Se pueden apuntar tendencias para el 2012?

Sin ser adivinos y arriesgando un poco, éstas son algunas de las previsibles amenazas que pueden desarrollarse en 2012 en el ámbito de la seguridad de la información. 

1. Énfasis en las aplicaciones web. Los sistemas operativos y los distintos servicios base de Internet han aprendido bastante bien la lección y han reforzado su seguridad a lo largo de los años. El eslabón más débil de la cadena está ahora mismo en las aplicaciones web (tanto por la superficie de ataque como por el impacto de una intrusión). Veremos más intrusiones en las portadas de los periódicos, y los servicios de pentesting y cortafuegos a nivel de aplicación subirán notablemente.
2. Ciberguerra 2.0. La ciberguerra seguirá en modo “guerra fría” durante todo el año, con frecuentes escaramuzas entre los diversos estados que tienen tensiones políticas y militares. No sorprenderán nuevos ataques informáticos contra Irán y su capacidad nuclear, o intentos de ciberespionaje por parte de China.
3. Control gubernamental de Internet. Como ya hemos apuntado, muchos gobiernos ven Internet como algo que genera más riesgos que beneficios y desean implantar mecanismos de control o al menos monitorización. SOPA, ACTA, la ley Sinde o la “autocensura” de Twitter en algunos países son algunos de los ejemplos que ya están en ciernes.
4. Hacktivismo / Protestas sociales. Las redes sociales han llegado para quedarse, gusten o no. Y su capacidad como medio de protesta y denunciar social es innegable. Tanto las protestas de la calle llevadas a Internet como las acciones directas realizadas por Anonymous protagonizarán muchas portadas este año.
5. Smartphone/tablet malware. El entorno móvil seguirá dando quebraderos de cabeza tanto a usuarios (sobre todo de Android, que tiene un problema en la gestión de la seguridad de las apps de su Market) como a responsables de seguridad (que tendrán que vérselas con la securización de todos estos dispositivos en entornos corporativos). No será sorprendente encontrarse con un troyano que envíe SMS o llame a números de pago, o una brecha de seguridad importante porque un ejecutivo olvide su Ipad2 donde no debe.
6. Seguridad en la nube. El cloud computing ha sido el concepto de moda de 2011, y todo apunta a que 2012 va a seguir por el mismo camino. Sin embargo, será necesario cuidar en extremo las condiciones de seguridad de arquitecturas y aplicaciones para no repetir problemas pasados de no disponibilidad. Incidentes como el de Megaupload en el que usuarios con ficheros totalmente legales se han visto afectados ponen de manifiesto que si bien la nube tiene muchas ventajas no está desprovista de inconvenientes.