En el comienzo de este nuevo año, desde el Observatorio de INTECO, creemos que es interesante lanzar una reflexión tanto de lo que ha acontecido en seguridad de la información y privacidad durante este último año, como de lo que está por venir en 2012. Y para ello, quién mejor que nuestros expertos colaboradores del Blog de la Seguridad de la Información.

A lo largo de varias entregas, estamos publicando las entrevistas que hemos mantenido con estos profesionales (informáticos, abogados, consultores, profesores universitarios, periodistas, etc.) que trabajan en el ámbito de la seguridad y la privacidad TIC. Como veréis, el resultado obtenido es una rica y heterogénea amalgama formada por diversos puntos de vistas y experiencias.

A todos ellos les hemos pedido que respondan a dos sencillas preguntas: qué destacarían de lo sucedido en materia de seguridad y privacidad en 2011 (#resumen2011) y qué está por venir a lo largo de este año que comienza (#prospectiva2012).

La siguiente entrega de esta colección corre a cargo de Sergio de los Santos (@ssantosv), consultor y auditor técnico de seguridad, coordinador de servicios en Hispasec y responsable del boletín diario de seguridad una-al-día.

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

2011 ha sido un año extraordinario en cuestión de seguridad. Se han dado varios fenómenos muy curiosos, en los que se ha demostrado, de alguna manera, que nadie está a salvo. Quizás todo comenzó con HBGary, una empresa de seguridad que ofrecía servicios al gobierno de Estados Unidos. Se publicaron todos sus correos privados, entraron en todos sus sistemas, se publicó toda la información que capturaron...

Poco después atacaron a Sony, tuvieron acceso a los datos personales de sus clientes y se vieron obligados a dar de baja su red de juegos online durante semanas. Más tarde, fue la compañía RSA (absoluta dominadora de la seguridad en Estados Unidos) la que sufrió un ataque con el que lograron el acceso a información sensible sobre los tokens que comercializan. Pero el asunto siguió: entraron MySQL.com, en rootkit.com... En verano el Fondo Monetario Internacional también reconoció un ataque, y más tarde se unieron otras filtraciones importantes.

Atribuyéndose los "logros", surgieron varios grupos de supuestos atacantes (como Lulzsec) que abogaban por el ataque como simple diversión, además de otros más políticamente involucrados como Anonymous, a los que también se le otorgan incursiones en páginas y sistemas ajenos. Todos publicaron sus "botines", popularizándose la página pastebin.com como método de difusión anónimo. Por otro lado, ha sido el año en el que se ha cuestionado la seguridad del cifrado en la web y la estructura de certificados SSL, tras sufrir varios varapalos. En marzo, Comodo (un reputado generador de certificados) reconoció que un atacante iraní se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org. Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, comprometió por completo la compañía DigiNotar (de Vasco) y se detectaron certificados falsos de decenas de dominios importantes. GlobalSign, otra importante empresa certificadora, confirmó más tarde que había sufrido una intrusión.

Como posible consecuencia, en fechas posteriores apareció malware firmado critptográficamente con otros certificados.

Realmente se produjo un extraño panorama, donde las propias compañías de seguridad o con información sensible eran víctimas de los atacantes, mientras la base del cifrado e integridad de la información en la red (TLS/SSL) era cuestionada.

¿Se pueden apuntar tendencias para el 2012?

Intentar predecir en seguridad es como jugar a la lotería. Es complejo "acertar", sobre todo en el aspecto técnico, que es el único en el que me muevo. En cuestión de malware, hemos observado que tras la inversión en I+D que impulsó este campo desde 2006 a 2010, en años posteriores no se ha avanzado demasiado técnicamente. Desde que se convirtió en industria, el malware evolucionó, investigó y desarrolló unas capacidades extraordinarias, pero hace algunos años que vive "estancado", sin las grandes novedades técnicas a las que nos tenían acostumbrados antes. Sin embargo esto no indica que hayan perdido un ápice de su efectividad.

Quizás deban comenzar a investigar de nuevo puesto que, la muerte de Internet Explorer 6, la implantación de Windows 7 (y en breve el 8) se lo pondrán más complicado para conseguir nuevas víctimas. Quizás deban recurrir en mayor medida a la ingeniería social para infectar, puesto que técnicamente son muy superiores a XP.