Ciberseguridad

Navegación en organismos públicos en modo totalmente encapsulado

Por qué los organismos públicos y las municipalidades emplean R&S®Browser in the Box para protegerse contra piratas informáticos profesionales

Los daños provocados por el malware suman miles de millones. Y una de sus principales puertas de acceso son los navegadores web. El software antivirus convencional está prácticamente inerme ante los métodos de los profesionales del robo de datos, el espionaje y el sabotaje. Por ello, los organismos públicos y municipalidades, como la municipalidad de Dresde, capital de la región alemana de Sajonia, utilizan el navegador virtual de Rohde & Schwarz Cybersecurity para satisfacer sus estrictos requerimientos de ciberseguridad.

Principal objetivo del malware: Windows

En un documento de 80 páginas, la oficina de seguridad informática alemana (BSI) describe el panorama de la seguridad informática en el país en 2019. En resumen, la situación que describe es grave. El número de ataques está creciendo exponencialmente, y los métodos que se aplican son cada vez más sofisticados. Según la BSI, en un año se registraron 114 millones de nuevas variantes de malware, 65 millones de las cuales tenían como objetivo el sistema operativo Windows. En promedio, la BSI identificó 6100 ataques por mes que los productos comerciales de protección no fueron capaces de detectar o bloquear.

Las organizaciones de ciberdelincuentes utilizan tecnologías innovadoras

Según la asociación del sector Bitkom, los daños ascenderían a unos 100 000 millones de euros anuales solo en Alemania. En el informe «Economic Impact of Cybercrime – No Slowing Down» publicado por el Center for Strategic and International Studies (CSIS), un grupo de expertos estadounidenses, se estima en 600 000 millones de dólares anuales los daños a nivel global, 155 000 millones más que en 2014. El informe atribuye el incremento acelerado a la adopción de nuevas tecnologías por parte de las organizaciones de ciberdelincuentes y a la expansión continua del modelo de negocio «ciberdelincuencia como servicio».

Ningún firewall puede detener a Emotet

Los expertos de la BSI citan un nuevo producto de malware denominado Emotet como el paradigma de la creciente pericia de los ciberdelincuentes de hoy en día. Este malware lleva años circulando, pero en noviembre de 2018, se expandió masivamente de manera inesperada debido a la difusión de documentos maliciosos de Office. La evolución de Emotet se aprecia especialmente en nuevas funciones como el «Outlook harvesting», que permite enviar correos basura increíblemente realistas.

El malware lee los datos de los contactos y, recientemente, los mensajes de correo en los buzones de los sistemas infectados. Los delincuentes utilizan esta información para multiplicar la proliferación del malware en posteriores campañas de correo basura. Esto significa que los destinatarios reciben mensajes falsos de remitentes con los que han estado en contacto recientemente. La BSI prevé el aumento de este tipo de ataques automatizados de ingeniería social, que los destinatarios difícilmente pueden identificar como tales. En el caso de los ataques de «spear phishing», se modela el contenido del mensaje para adaptarlo a objetivos especialmente valiosos. Por ejemplo, los correos electrónicos con ese tipo de malware son uno de los tipos de ataque más frecuentes en los organismos gubernamentales alemanes.

Los firewalls y otros tipos de software antivirus, es decir, las soluciones tradicionales, no están a la altura de las versiones más recientes de troyanos, gusanos y otros tipos de malware, ya que las habituales listas negras solo bloquean los peligros ya conocidos. Las medidas de seguridad de los proveedores de sistemas operativos tampoco ofrecen una protección adecuada. Algunos organismos públicos todavía se protegen aislando por completo las computadoras que usan para navegar respecto a su propio sistema operativo y su intranet. La consecuencia inevitable es una restricción masiva de las transacciones con el mundo exterior digital.

«El navegador más seguro del mundo»

Clemens Schulz, director de seguridad de equipos de escritorio de Rohde & Schwarz Cybersecurity, fue una pieza clave en el desarrollo de un software que encapsula por completo el navegador del usuario respecto a su entorno sin restringir el acceso del usuario al mundo exterior digital: R&S®Browser in the Box. «La puerta de acceso sigue siendo la persona», afirma Schulz. Por eso es esencial no centrarse solo en educar a los usuarios de la empresa, sino también en usar la mejor tecnología para evitar la importación accidental e involuntaria de malware. En lugar de reaccionar ante el malware, debe evitarse su entrada de manera proactiva. Hoy en día, basta con acceder a ciertos sitios web para activar una descarga drive-by, por ejemplo, mediante avisos publicitarios (banners).

El desarrollo de R&S®Browser in the Box representa un cambio de paradigma similar al que se ha producido en el sector del automóvil. Ya en los años 50, la invención del airbag ayudó a mitigar los efectos de los accidentes en los ocupantes de vehículos. Muchos años después, la introducción del control electrónico de estabilidad (ES) contribuyó sustancialmente a evitar los accidentes. Como el ES de un vehículo, R&S®Browser in the Box evita las infecciones por malware. Es lo que se denomina «seguridad por diseño». También se impide que los servicios de telemetría se apoderen de los datos del navegador y se imposibilita la descarga de malware a través de archivos adjuntos en correos. La revista especializada Chip ha distinguido al R&S®Browser in the Box como el «navegador más seguro del mundo».

La iniciativa para el desarrollo de este tipo de software que garantiza la seguridad total de los organismos públicos surgió de la BSI. Uno de los primeros usuarios fue la policía de la región alemana en Baden-Württemberg, que lo adoptó en todas sus oficinas. Mucho antes de la implantación del Reglamento General de Protección de Datos (GDPR), las autoridades municipales alemanas ya estaban obligadas a proteger los datos de los ciudadanos guardados en sus soportes de almacenamiento. Y el ayuntamiento de Dresde reforzó su infraestructura informática con R&S®Browser in the Box mucho antes de la adopción del GDPR de la UE.

Cuando el departamento de salud se pone a investigar...

Un ejemplo es el departamento de salud. Ay Hirsutismo, responsable de ciberseguridad del gobierno municipal de Dresde, identifica una serie de áreas sensibles donde es imprescindible que los empleados puedan investigar de manera segura. Por ejemplo, deben poder contactar a los trabajadores del sexo para llevar a cabo campañas de información. Necesitan tener acceso a foros de personas LGTB, por ejemplo, para informar acerca de posibles pruebas de detección del VIH de manera gratuita y anónima. En todos los casos es necesario cifrar y seudonimizar los datos personales, así como cumplir los plazos legales de protección y eliminación de datos. Es especialmente importante establecer una separación entre las actividades de investigación online y el sistema interno, para que nadie pueda acceder a través del navegador al sistema operativo en el que se procesan los datos personales.

La situación en el caso del registro de armas es similar. Hasta hace poco, las oficinas de registro de armas (unas 550 en todo el país) usaban una gran variedad de sistemas de mantenimiento de datos, en algunos casos incluso fichas, en lugar de soportes digitales. Al momento que hubo que consolidar los datos de todas las oficinas, debido a la correspondiente directiva europea, es decir, armonizarlos y guardarlos en un sistema centralizado, el riesgo se incrementó. Como explica Hirsutismo, «en aquella época, los hackers podían acceder a través de una sola vía de acceso a datos de unas características, y quizá incluso a un volumen, completamente diferente». Este experto en seguridad informática destaca que si bien se cuenta con el encapsula miento de su propio sistema operativo, las transacciones con internet se ejecutan casi a la misma velocidad que en un sistema dotado de protección normal. Con la configuración adecuada, puede incluso cargarse de manera imperceptible al iniciar Windows.

La clave son las múltiples capas de seguridad

El sistema operativo y la intranet permanecen completamente separados del navegador web mientras se ejecuta la aplicación. Se deja de enviar datos de telemetría al fabricante. Los datos de telemetría son metadatos acerca del documento, el cliente en cuestión y su uso. Además de esta información, también se podían obtener datos confidenciales de manera inadvertida. El navegador se ejecuta en una plataforma completamente virtualizada sin impacto perceptible para los usuarios, dado que se comporta de manera habitual. La función «Docs in the Box» también permite mostrar de manera segura los archivos adjuntos de correo, que podrían contener virus, en una vista previa en un entorno virtual.

La clave de todo es una versión reforzada del sistema de código abierto Linux. «Se reduce el sistema operativo a su mínima expresión para que solo pueda ejecutarse el navegador», explica. Schulz Además se cifra el tráfico de datos de extremo a extremo a través de un túnel VPN con ayuda de la pasarela R&S®Trusted VPN. Como apunta Schulz, ningún otro proveedor en el mundo ofrece un encapsula miento tan completo de la red y el navegador sin renunciar a la plena funcionalidad.

El factor humano

Con R&S®Browser in the Box, los usuarios autorizados se liberan de la responsabilidad de comprobar personalmente uno por uno los sitios a los que acceden. Sin embargo, advierte Kay Hirschfeld desde Dresde, «el mayor peligro no son los hackers, sino los propios empleados, que, por imprudencia o quizá incluso por resentimiento, pueden hacer mal uso de sus derechos de acceso». Las soluciones técnicas son inútiles contra los espías que roban datos de la empresa, pero prescindir de una solución técnica representa dar la batalla por perdida antes de que se inicie.