El gusano informático Morris o "El mismo procedimiento de todos los años"
Como a principios de cada año, en 2023 se vuelve a disponer de innumerables previsiones sobre la dirección en la que evolucionará el panorama de la ciberdelincuencia. Sin embargo, mirar en una bola de cristal -aunque haya muchos indicios disponibles- es siempre sólo una apuesta de futuro. Por eso es más interesante echar un vistazo a las causas de los ciberataques a lo largo de la historia. Y aquí se ve rápidamente que, en principio, llevamos varias décadas tropezando una y otra vez con las mismas tres cabezas de tigre.
Nuestra referencia histórica se remonta al 2 de noviembre de 1988, el día en que un dramático gusano de Internet dio sus primeros pasos. Bautizado con el nombre del informático Robert T. Morris, el malware se propagó a un ritmo alarmante hace más de 30 años y se considera el primer gran ataque de malware. El gusano Morris tenía tres mecanismos principales de autorreplicación basados en tres errores comunes de programación y gestión de sistemas:
- Malagestión de la memoria:
Morris explotó una vulnerabilidad de desbordamiento de búfer en un popular servicio de red del sistema de la época y consiguió RCE (ejecución remota de código). - Adivinación deficiente de contraseñas:
Morris utilizó un ataque de diccionario para adivinar las contraseñas de inicio de sesión más probables. No tuvo que adivinar todas las contraseñas, le bastó con descifrar una sola. - Sistemas sin parches:
Morris buscó servidores de correo electrónico configurados de forma insegura, pero que posteriormente nunca se actualizaron para corregir el peligroso agujero de ejecución remota de código del que abusó.
¿Te suena? Debería, porque desglosado colectivamente, seguimos sufriendo el mismo tipo de problemas de ciberseguridad el año pasado y seguiremos lidiando con estas "cabezas de piel de tigre" en 2023. Así que, básicamente, este año se repite "el mismo procedimiento de todos los años": no necesitamos resmas de nuevas predicciones de ciberseguridad para tener una idea realmente buena de por dónde empezar.
En otras palabras: No debemos perder de vista los fundamentos a la hora de crear conceptos de ciberseguridad y deberíamos evitar resolver únicamente problemas de seguridad específicos y que actualmente acaparan titulares. Sólo si nos enfrentamos a los pecados de ciberseguridad del pasado podremos hacer frente con eficacia a las ciberamenazas modernas.
¿Qué hay que hacer? La buena noticia es que, en lo que respecta a la programación, los proveedores están mejorando en el tratamiento de muchos de estos problemas de la vieja escuela. Por ejemplo, Sophos está aprendiendo a utilizar prácticas de programación más seguras, lenguajes de programación más seguros e incrustar el código en ejecución en entornos aislados con un mejor bloqueo del comportamiento para dificultar la explotación de los desbordamientos de búfer.
Todos estamos mejorando en el aprendizaje del uso de gestores de contraseñas, aunque traen sus propios problemas fascinantes. Cada vez tenemos más práctica en el uso de tecnologías alternativas de verificación de identidad o en no confiar en simples contraseñas que esperamos que nadie pueda predecir o adivinar. Pero la autenticación multifactor es aún mejor, y deberíamos utilizarla siempre que podamos.
Y no sólo estamos recibiendo parches más rápidamente de los proveedores (al menos de los responsables; el chiste de que la S de IoT significa seguridad sigue estando muy de actualidad, por desgracia), sino que cada vez mostramos más voluntad de aplicar parches y actualizaciones más rápidamente tanto en entornos privados como empresariales.
Sophos, al igual que otros en la industria, también es un firme defensor de las modernas tecnologías CaaS como XDR y MDR, lo que significa que acepta que hacer frente a los ciberataques no es sólo encontrar malware y eliminarlo cuando sea necesario. Hoy en día, mucho más que hace unos años, los proveedores tienden a dedicar tiempo no sólo a buscar las cosas malas conocidas que hay que arreglar, sino también a asegurarse de que las cosas buenas que se supone que están ahí realmente lo están, y realmente hacen algo útil.
Sophos también dedica más tiempo a buscar proactivamente cosas potencialmente dañinas, en lugar de esperar a que las proverbiales alertas aparezcan automáticamente en los paneles de ciberseguridad. Y estos son los mejores prerrequisitos para poner a los ciberdelincuentes en su sitio en 2023 - y saltar elegantemente sobre la cabeza del tigre.