No cabe duda que  ninguna empresa o persona en el mundo está exenta de un ataque cibernético y siempre que ocurre a empresas dedicadas y expertas en seguridad informática es aún más impactante. Definitivamente para poder llegar a vulnerar los sistemas de seguridad de una empresa enfocada al área de Seguridad Informática debería ser un ataque “extremadamente sofisticado” como el que se ha realizado a RSA Security.

RSA Security es una de las empresas más importantes del ramo de la seguridad, por mencionar algunos de sus productos encontramos el algoritmo criptográfico de RSA (algoritmo asimétrico) de clave pública el cual es el más utilizado de su tipo actualmente (e-commerce, firma digital, transacciones en línea, entre otros usos), las bibliotecas criptográficas B-SAFE y los mecanismos de autenticación de dos factores SecurID, siendo estos últimos uno de los métodos de autenticación más utilizados en el mundo, por hablar de cifras a partir de 2009 RSA cuenta con 40 millones de clientes utilizando SecurID hardware tokens y otros 250 millones usando software, sus clientes incluyen agencias de gobierno.

Lo anterior sólo hace más alarmante el ataque recibido, ya que como lo expresó la propia compañía los ataques permitieron robar información de los productos de autenticación de doble factor SecurID. En su blog RSA escribió lo siguiente:

“Si bien en este momento estamos seguros de que la información obtenida no permite un ataque exitoso directo en cualquiera de nuestros clientes de RSA SecurID, esta información podría utilizarse para reducir la eficacia del algoritmo de autenticación como parte de un ataque más amplio”.

Además la compañía aseguró que ningún otro de sus productos fue afectado por el ataque ni tampoco quedará expuesta ninguna información personal de sus clientes o empleados de sus clientes como resultado del ataque. Aún no han dado detalles de la manera en que sucedió el ataque para no divulgar más información sobre el suceso, sin embargo, la empresa calificó al ataque como un APT (Advanced Persistent Threat http://blog.segu-info.com.ar/2010/02/apt-advanced-persistent-threats.html#axzz1Gvc2vL2v) el cual es muy diferente a una intrusión común ya que en este tipo de ataque va sobre un objetivo en particular, se estudia la manera de alcanzarlo, incluso puede pasar bastante tiempo para cumplir con su objetivo, utiliza exploits poco o nada conocidos (0-day) y por tanto casi indetectables y utiliza una debilidad del sistema para mantener la interacción con él.

La compañía de inmediato y activamente tomó cartas en el asunto y reveló una serie de contramedidas y pasos a seguir para fortalecer la implementación de SecurID en sus clientes. La lista de recomendaciones publicada por RSA se enumera a continuación:

• Se recomienda a los clientes aumentar su enfoque en la seguridad para aplicaciones de social media y el uso de las aplicaciones y sitios web por cualquier persona con acceso a sus redes críticas.
• Se recomienda a los clientes cumplir con las políticas de contraseña segura y pin.
• Se recomienda a los clientes seguir la regla del mínimo privilegio en la asignación de funciones y responsabilidades a los administradores de seguridad.
• Se recomienda a los clientes volver a educar a sus empleados sobre la importancia de evitar correos electrónicos sospechosos, y recordarles el no proporcionar los nombres de usuario u otras credenciales a nadie, sin verificar la identidad de la persona y autoridad. Los empleados no deben acceder a contestar solicitudes de credenciales por e-mail o teléfono y deberán informar cualquier intento.
• Se recomienda a los clientes prestar especial atención a la seguridad en torno a sus directorios activos, haciendo pleno uso de sus productos SIEM, así como la aplicación de dos factores de autenticación para controlar el acceso a los directorios activos.
• Se recomienda a los clientes seguir de cerca los cambios en los niveles de privilegios de usuario y derechos de acceso utilizando tecnologías de control de seguridad como SIEM, y considerar la adición de más niveles de aprobación manual para los cambios.
• Se recomienda a los clientes realizar hardening, monitorear constantemente, y limitar el acceso físico y remoto a la infraestructura que aloja el software de seguridad crítica.
• Se recomienda a los clientes examinar sus prácticas de help desk para la fuga de información que podría ayudar a un atacante realizar ataques de ingeniería social.
• Se recomienda a los clientes actualizar sus productos de seguridad y los sistemas operativos con los últimos parches.

La realidad es que aun siendo los encargados de la Seguridad Física/Digital en nuestra propia empresa, la seguridad no está totalmente en nuestras manos, una falla en otra compañía proveedora de servicios puede dejar nuestros sistemas totalmente expuestos, aunque se trate de una de las mejores compañías en productos y servicios de seguridad del mundo.