El libro del año 2021 según un concurso realizado por el Financial Times & McKinsey no es sobre finanzas ni administración, sino sobre ciberseguridad. "This Is How They Tell Me the World Ends: The Cyberweapons Arms Race" de la periodista Nicole Perlroth también está en la lista de los best sellers del New York Times.
Durante varios años, Perlroth entrevistó a hackers, mercenarios, activistas, miembros de agencias de seguridad y académicos, entre otros. En YouTube hay una entrevista de 2 hrs que hizo Lex Fridman, donde Perlroth cuenta lo que descubrió durante la escritura del libro.
Zero day
Una de las principales amenazas son los zero-day, es decir, una vulnerabilidad que solo es conocida por unos pocos y que no tiene aún un parche que la mitigue. En su investigación, la periodista encontró que los zero days para Android o para iOS de Apple, pueden llegar a ser pagados entre 2 a 2,5 millones de dólares. De hecho, hay intermediarios (zero day brokers) que compran estos descubrimientos y los revenden en la deep web, principalmente, pero no exclusivamente, a agencias de seguridad nacionales y ciber bandas.
Los primeros están interesados en tener más datos de personas de interés, y los segundos buscan conseguir dinero o realizar amenazas terroristas. Recordemos que uno de los ataques exitosos impulsados por un Estado fue desde EE.UU. a las centrales nucleares iraníes hace unos años, explotando una vulnerabilidad de Windows (aunque no hay que confiarse en el sistema operativo, han aparecido varias vulnerabilidades de este tipo también en Linux en el último tiempo).
Recordemos también las duras sanciones que puso el gobierno chino a Alibaba, que descubrió la falla log4j, por reportarla primero a Apache y no al gobierno.
Por último, en esta misma categoría, Perlroth nos recuerda el caso del ataque "Watering
hole attack", donde cualquier persona con un dispositivo con iOS y que visitara un sitio web que contenía información de los Uyghurs (una etnia musulmana en China), era infectado con un zero day, solo con abrir la página web.
Supply Chain
Como proveedores de software y usuarios de Open Source, una categoría que nos debiera importar son los ataques conocidos como supply-chain (cadena de suministros). Este ataque se basa en que a un proveedor de software se le inyecta una vulnerabilidad
en el código, y ésta es distribuida a sus clientes. Esto ocurrió en el caso de SolarWinds, donde su software infectado llegó a Google, Microsoft y la NASA, sólo por mencionar algunos. ¿Realmente estamos seguros de las bibliotecas de software que usamos?
En este sentido, Perlroth nos recuerda también el caso de un empleado de Twitter, que en realidad era parte de los servicios de seguridad de Arabia Saudita. Otro vector de ataque.
Passwords
Una de las principales lecciones que rescata Perlroth de sus entrevista es no usar exclusivamente passwords, sino el uso de dispositivos de autentificación o autentificación multi-factor. En otras palabras, el usar password es una seguridad muy débil y que ha sido usada como el principal mecanismo de ataques exitosos por muchos años. Al usar la autentificación de multifactores, se incrementa notoriamente la seguridad de los sistemas, poniendo una alta dificultad a los atacantes.
Por ejemplo, usar un dispositivo externo como Yubico security key, que cuesta USD 25, resulta barato contra las consecuencias que puede tener un ataque exitoso. Finalmente, como proveedores de software, es vital que la seguridad sea parte del diseño de los sistemas y contar con exhaustivas pruebas de seguridad a los software que entregamos, de modo de evitar ser el vector de un ataque.
A todo lo anterior podemos agregar que usar al menos dos factores de autentificación y mantener los software actualizados reduce las probabilidades de ser víctimas de un ataque exitoso o ser parte de la cadena de contagio.