En estos últimos años, la implementación del teletrabajo de manera inesperada y el aumento de nuevas formas de atacar los sistemas e infraestructura tecnológica de las empresas han puesto incómodos a muchos responsables de áreas de seguridad de la información o ciberseguridad.

En relación con esto, alguna vez se ha preguntado: ¿qué sistemas son los que reciben más ataques informáticos?, ¿por qué se tiene interés en estos sistemas?, ¿qué impacto podría tener en el negocio?

En el presente artículo mi objetivo es hacer visible un tema tecnológico poco evidente y, por lo tanto, descuidado en el mundo empresarial, principalmente en las PyME. Esta perspectiva se plantea con base en las experiencias de empresas de este tipo en Argentina, pero, seguramente, muchas de estas cuestiones son compartidas por entidades similares.

En este sentido es posible apreciar que la iniciativa de implementar y utilizar soluciones para inteligencia de negocios deja expuesta una de las carencias más recurrentes en algunas organizaciones: la ausencia de un área de sistemas o seguridad propia.

La fuerte dependencia de la tercerización de proyectos de tecnología y la delegación de su implementación en organizaciones o personas ajenas al propio negocio, trae inconvenientes a largo plazo. Uno de ellos es el abandono o falta de mantenimiento de los proyectos implementados, como sucede con las soluciones de inteligencia de negocios. En tal sentido, entiendo el abandono de los proyectos implementados como aquellos que nunca recibieron revisión o mejora continua.

Además, es importante destacar que muchos de los trabajos que fueron tercerizados carecen de documentación clara para su correcta administración, ya que gran parte fue implementada rápidamente con criterios acotados al alcance del presupuesto.

En este contexto, la rotación permanente de los grupos tecnológicos tercerizados y la búsqueda constante de la inversión empresarial más eficiente complica la perspectiva global de la gestión de las tecnologías en la empresa, puesto que los proveedores se limitan solo a la implementación y puesta en marcha del proyecto por el cual fueron contratados temporalmente. Por este motivo, la seguridad de la información en proyectos de tecnologías de la información se posterga para ser abordada en una fase futura. Sin embargo, por falta de conciencia y presupuesto disponible en muchas organizaciones esta fase queda sin abordar, lo que deja al proyecto funcionando sin medidas de seguridad de la información. En otras palabras, los activos de información, muchas veces críticos para la supervivencia de la empresa, quedan desprotegidos, y la entidad, expuesta.

En un contexto más global, es posible afirmar que la pandemia de COVID-19 ha aumentado la ciberdelincuencia y los ataques informáticos a las aplicaciones Web desde cualquier parte del mundo.

Hoy muchas de las empresas que no prestaron la debida atención a la protección de la información en su momento, están en apuros, ya que muchas de ellas no cuentan con la implementación de medidas básicas de seguridad. Asimismo, los ataques informáticos más comunes buscan obtener información de los repositorios de datos, para acceder a información sensible como datos personales de los usuarios, por ejemplo, de sus tarjetas de crédito o alguna información de valor que pueda ser usada para obtener algún beneficio.

Por consiguiente, los repositorios de datos pertenecientes a soluciones de inteligencia de negocios, big data o minería de datos se han vuelto objetivos favoritos de los ciberdelincuentes, porque se puede obtener mucha información útil en un mismo lugar. Cabe preguntarse entonces: ¿usted ya había pensado en esto antes?

La fundación OWASP (en inglés, The OWASP Foundation) con sede principal en Estados Unidos, publica anualmente un informe con el top 10 de vulnerabilidades más relevantes en aplicaciones Web de todo el mundo. En el informe publicado para el año 2021 se encuentran, entre las primeras, las fallas en el control de acceso y la exposición de datos sensibles, dos cuestiones claves para entender por qué se debe considerar la seguridad de la información en soluciones de inteligencia de negocios en las PyME.

Las vulnerabilidades publicadas por la Fundación OWASP son las siguientes:

  1. Pérdida de control de acceso: el control sirve para que los usuarios no puedan actuar fuera de los permisos que les fueron asignados. Las fallas en este control conducen a la divulgación de información y modificación o destrucción de datos sin los debidos permisos.
  2. Fallas criptográficas: es el control de protección de los datos en tránsito a través de las redes y en reposo, es decir, los que se encuentran almacenados. Se controla el uso de criptografía obsoleta o en desuso y la ausencia de cifrado en datos sensibles, como las contraseñas almacenadas.

Hace un tiempo, tuve la experiencia de un caso en una empresa argentina que tiene como actividad principal proveer servicios de marketing digital. En este caso, se analizó una solución para inteligencia de negocios implementada hace varios años, en la cual se omitió considerar la implementación de medidas básicas de seguridad de información para un funcionamiento adecuado. Esto derivó en riesgos para el negocio y su reputación.

Pero, ¿qué inconvenientes podría ocasionar en el negocio?

En esta empresa, la solución de inteligencia de negocios se implementó para reunir datos disponibles en un solo lugar y, posteriormente, realizar un tratamiento de análisis de datos que permitiera obtener información de valor para la gerencia y dirección. En un servidor propio para inteligencia de negocios (en adelante BI, por las siglas del inglés Business Intelligence) se copiaban datos de diferentes fuentes, como el sistema de facturación y bases de datos de todos los eventos masivos realizados para clientes, el sistema de gestión de proyectos interno, y otros, como el de métricas de las redes sociales de la empresa. Las copias eran automatizadas y ejecutadas a diario en horario nocturno. Para ello, se desarrollaron pequeños programas (en inglés, scripts) escritos en un lenguaje de programación.

Algunos de los datos almacenados en el servidor de BI eran los nombres de clientes, proyectos y sus responsables, las cantidades y montos facturados. Además, otros datos recolectados en eventos masivos, como nombre completo de usuarios, documentos nacionales de identidad o pasaportes, teléfonos, domicilios, direcciones de correo electrónico, obra social, empleos actuales, nivel educativo, salario y opiniones personales. Finalmente, si el evento requería registración, se creaban y almacenaban contraseñas de todos los participantes del evento y sus administradores. Los administradores normalmente eran gerentes de proyectos o ejecutivos de cuentas de empresas que eran clientes. A su criterio, ¿también cree que debería protegerse esta información?

Sabiendo lo anterior, expondré a continuación presento algunas cuestiones de seguridad de la información que se descuidaron o no se consideraron en el proyecto implementado por la entidad en la que se basa el caso y comento las posibles acciones malintencionadas que podrían propiciar.

Seguridad física

Una de las cuestiones más básicas en seguridad es controlar quién puede acceder físicamente a los servidores. En este caso, el armario o rack de telecomunicaciones se encontraba en una sala sin puerta sobre un pasillo con tránsito medio, por el cual accedía diariamente el personal de la empresa que trabaja en otros pisos, incluyendo personal externo dedicado al bufé y maestranza. Aunque el modelo de rack permitía usar llaves, no se contaba con una cerradura. En este rack se encontraba conectado un monitor y teclado, y los puertos USB no estaban deshabilitados.

Posible acción malintencionada: una persona podría conectar una o varias unidades de almacenamiento extraíble USB (en inglés, pendrive) y utilizar el monitor y teclado disponible para copiar información almacenada en el servidor BI. También, podría desconectar los servidores, destruirlos o inclusive robar alguno de los componentes de hardware.

Monitoreo

Las cámaras de seguridad o videovigilancia eran inexistentes. Estas son necesarias para el registro del acceso físico de personas que ingresen a la sala donde se encontraba el rack.

Por otra parte, no había monitoreo en tiempo real del uso de la red de datos, también llamado “monitoreo de tráfico de red”. Este tipo de monitoreo es necesario, puesto que permite tener visibilidad de la ocupación de la red de datos, por ejemplo, si una persona está realizando copias de grandes volúmenes de información de una computadora a otra o hacia Internet.

Posible acción malintencionada: una persona podría acceder físicamente al rack del servidor de BI sin ser vista. Adicionalmente, si se copiaran grandes volúmenes de información hacia internet, este tráfico de red no sería visible en ninguna herramienta.

Software

  1. Sistema operativo: el sistema operativo en uso era Linux, pero la versión utilizada era obsoleta; el del ciclo de vida y soporte oficial habían terminado años antes y la empresa no realizó actualizaciones del sistema operativo.

Posible acción malintencionada: un ciberdelincuente podría aprovechar esta situación para distribuir ransomware en la empresa, ya que un sistema operativo desactualizado se ve afectado por técnicas de ataque modernas a través de la red de datos.

  1. Antivirus: la empresa no contaba con una solución de antivirus centralizada, ni los servidores con Linux contaban con antivirus instalado.

Posible acción malintencionada: la falta de antivirus facilita que una persona pueda realizar ataques de acceso a la red interna de la empresa, desde Internet o desde otra computadora en la misma red interna. También, se podrían recibir infecciones de virus informáticos que causarían daños o acciones de espionaje.

  1. Firewall de sistema operativo: existen programas que funcionan como un buen complemento de seguridad del sistema operativo. Estos son los host-based firewall. Su principal función es prevenir acciones malintencionadas sobre los sistemas y aplicaciones. Sin embargo, el servidor de BI con Linux no tenía instalado ningúno.

Posible acción malintencionada: una persona no autorizada, podría realizar múltiples intentos de acceso al servidor de BI con un programa que automatiza sus acciones usando distintos usuarios y contraseñas, durante varias horas o incluso días. Estos programas utilizan archivos llamados “diccionarios de contraseñas” que contienen miles de contraseñas recolectadas por ciberdelincuentes y son puestas a disposición en Internet de manera gratuita.

Si una persona lograra una conexión remota al servidor usando, por ejemplo, un protocolo como Secure Shell, más conocido como SSH, podría realizar copias de archivos de computadoras de la red. Otra acción malintencionada podría ser obtener una conexión directamente al motor de bases de datos con el usuario root, con lo cual tendría acceso a toda la información de las bases de datos existentes en el servidor de BI.

  1. Autenticación centralizada: la autenticación de un colaborador para al acceso al servidor BI se realizaba utilizando usuarios que fueron creados localmente en el sistema operativo Linux. Aunque el nombre de cada usuario coincidía con el mismo usado en otros sistemas de la empresa, su contraseña utilizada solo existía en el servidor de BI y, como era de esperarse, no había cambiado hace varios años.

Además, en este servidor no estaban configuradas cuestiones básicas de seguridad de contraseñas, como el vencimiento por una cantidad limitada de tiempo, el control de contraseñas débiles, la longitud mínima, los bloqueos de usuario por cantidad de intentos fallidos en el acceso y el uso de doble factor de autenticación, como podría ser la recepción de un mensaje de texto al teléfono celular del usuario para confirmar un acceso seguro. Por otra parte, la falta de administración centralizada de contraseñas dificultaba que se pudiera realizar un bloqueo de usuario, sobre todo para aquellos colaboradores que dejaban de pertenecer a la empresa.

Posible acción malintencionada: la situación permitía que un usuario de la empresa utilizara la misma contraseña débil durante años, lo que aumentaba las posibilidades de que un ciberdelincuente pudiera averiguar las contraseñas de algún usuario activo en esa ventana de tiempo. Así, una persona no autorizada que lograba ingresar con contraseñas antiguas podría llevar a cabo distintas acciones no autorizadas sobre los datos, como visualizarlos, copiarlos o alterarlos. Además, como los exempleados mantenían sus accesos podrían ingresar a los sistemas y afectar su seguridad.

Red inalámbrica

La empresa utilizaba una red de datos inalámbrica para conectar a los colaboradores que trabajaban con computadoras portátiles. Esta red inalámbrica tenía acceso a la red privada de la empresa y a los servidores internos como el servidor de BI y otros. La red se encontraba siempre encendida, usaba el nombre de la empresa y era visible desde fuera del edificio por los vecinos de la cuadra. Para conectarse solo se necesitaba la contraseña establecida. ¿Ya se imagina el ataque?

Posible acción malintencionada: existen varios métodos para ingresar a una red inalámbrica ajena sin conocer la contraseña. Una persona podría realizar intentos de autenticación mediante técnicas de ingeniería social o probando contraseñas aleatorias, utilizando un programa que automatiza el intento de conexión simulando ser un usuario. Estos programas también permiten usar archivos como diccionarios de contraseñas.

Otro método posible para ingresar a la red inalámbrica era utilizar un programa que envíe solicitudes de desconexión simulando el cierre de sesión de un usuario ya conectado y que luego capture la solicitud de reconexión. Así, se podría intentar descifrar directamente la contraseña de reconexión capturada.

Los métodos de acceso a una red inalámbrica ajena de manera malintencionada están disponibles públicamente en Internet de manera gratuita, poseen tutoriales paso a paso y son expuestos en encuentros o seminarios Web de seguridad informática, como una muestra de las capacidades de los ciberdelincuentes. Muchos de esos tutoriales pueden seguirse paso a paso y no requieren contar con habilidades de un experto en seguridad informática. Como ya podrá apreciarse, este escenario resulta peligroso, porque cualquier persona con intención de acceso podría ejecutar ataques a la red inalámbrica, incluso desde afuera del edificio, para acceder a los servidores internos de la empresa. No se trata de una situación deseada, ¿no le parece?

Copias de respaldo

La solución de BI no tenía activa las configuraciones para copias de seguridad de respaldo (en inglés, backup) programadas. Esta situación no permitiría una posible recuperación de la información del servidor en caso de sufrir algún ataque, por ejemplo, de ransomware, lo que daría como resultado que la solución de inteligencia de negocios no estuviera disponible para la gerencia y dirección. Esto sin duda repercutiría negativamente en las capacidades de toma de decisiones de las autoridades y en un aumento de la incertidumbre.

¿Qué debería preocuparnos?

Vista la situación de la empresa y sus deficiencias en materia de seguridad de la información, resulta fácil entender que se presentan riesgos que podrían afectar negativamente al negocio. Si se descuida un activo de información sensible, en este caso, un servidor propio que contiene una solución de inteligencia con un gran volumen de información crítica, se podrían sufrir graves inconvenientes con impacto real en el negocio. Constituyen ejemplos posibles los accesos no autorizados, la fuga de datos interna y la divulgación no autorizada, con el consecuente posible daño a la reputación de la marca, retiro de accionistas y deterioro de capacidades en la dirección estratégica por el aumento de la incertidumbre en los decisores.

Conclusiones

Las soluciones de inteligencia de negocios están siendo cada vez más utilizadas como herramienta de apoyo para la gerencia, puesto que permiten disponer de información relevante para mejorar las decisiones. Sin embargo, debido al uso de diferentes tecnologías para la implementación de un sistema de BI en producción, el riesgo en la seguridad de la información aumenta, lo que requiere que se adopten medidas de precaución y protección para cada uno de los componentes de la solución tecnológica.

En algunas empresas, los proyectos que nunca recibieron revisión o mejora continua quedan con faltantes de documentación y, en la mayoría de los casos, no se realiza la implementación de medidas para gestionar adecuadamente la seguridad de la información.

En el caso de esta empresa puntual, debería haber sido consciente desde el inicio del proyecto de sus responsabilidades legales y contractuales en cuanto a la protección de la información en su poder. En relación con el servidor de BI, debió ser el primer activo de información a proteger. Sin embargo, y como fue explicado, su interfaz de conexión Web era accesible desde Internet y no contaba con medidas de protección básicas, lo que imposibilitaba proteger las bases que contenían datos personales de todos los clientes y las propias con información crítica de la empresa.

Además, se utilizaba un usuario genérico con privilegios elevados para la administración, lo que facilitaba la recepción de ataques de fuerza bruta utilizando diccionarios de contraseñas disponibles en Internet. Incluso, al no contar con un cortafuego a nivel servidor, tampoco se lograba una limitación en la cantidad de intentos de autenticación por minuto, lo que convertía la solución de BI en un blanco fácil para los ciberdelincuentes.

En la actualidad, es necesario que cualquier negocio que utilice sistemas de información pueda detectar y prevenir incidentes de seguridad. En casos en los que las capacidades sean limitadas, al menos se debe tener capacidades de reacción y recuperación.

Para que las empresas puedan hacer frente a los problemas de seguridad de la información modernos, son imprescindibles la preparación, la respuesta a incidentes y, al menos, cierta garantía de una recuperación probada de sus sistemas críticos.

Luego de haber leído este artículo, ¿cree que su empresa ya está preparada?

La seguridad de la información es un elemento imprescindible en todos los proyectos tecnológicos que se aborden. Una actitud contraria resultaría perjudicial para el negocio. Efectivamente, si no se invierte lo que es necesario desde el inicio, se adquiere un problema a futuro que indudablemente terminará costando más caro.