La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 17-05

Una abrumadora evidencia circunstancial no es, sin embargo, una prueba

En el caso de los ataques informáticos, la cuestión de quién es el culpable es lo primero que se plantea a los forasteros. Uno quiere asignar un ataque, al menos mentalmente, a un autor.
Raimund Genes, Trend Micro
4 de mayo de 2017
Contenido:
Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

En muchos casos, sin embargo, esta pregunta supuestamente sencilla no puede responderse tan fácilmente. Sobre todo si uno se basa exclusivamente en los hechos objetivos y deja de lado la formación subjetiva de la opinión a través de la percepción local/temporal de la víctima o a través de la prensa.

Lo que ocurre cuando hay demasiada subjetividad se ilustra fácilmente con el ejemplo actual de EyePyramid, un "ladrón de información" que ha robado alrededor de 87 GB de datos en las últimas semanas. Esto incluye los de empresas privadas, pero también los de oficinas gubernamentales y otras organizaciones públicas.

EyePyramid tenía como objetivo más de 100 dominios de correo con más de 18.000 cuentas de correo. Las víctimas, algunas de ellas de alto rango, procedían de Italia y otros países europeos, pero también de Estados Unidos y Japón.

Con esta abrumadora evidencia, la conclusión era clara para muchos: ¡se trata de un ataque impulsado o patrocinado por el Estado!

Los medios de comunicación y el público en general acogieron con satisfacción esta conclusión. Por desgracia, sólo había un problema: ¡no era cierta!

En retrospectiva, resultó que las personas detrás de EyePyramid son un hermano y una hermana con intereses puramente monetarios. No una organización patrocinada por el Estado que se dirige a la próxima guerra cibernética.

Este incidente muestra claramente lo que ocurre cuando los hechos sólo se interpretan en el contexto "conveniente" de cada uno o se simplifican en exceso. Los investigadores de seguridad serios se limitan a la información técnicamente verificable cuando se trata de la "atribución", es decir, de asignar los ataques a los actores.

Por supuesto, también hay "pistas" que apuntan en una determinada dirección o cuya combinación se refuerza. Pero rara vez se encuentra la metafórica "pistola humeante" en la mano del atacante.

Seguir con EyePyramid: De hecho, las organizaciones progubernamentales (también) se vieron comprometidas. Estos son hechos objetivos. La simplificación de que un actor estatal debe estar detrás de esto es subjetiva y demasiado simplista.

Desgraciadamente, la información objetiva es mucho menos espectacular que la simplificación (incorrecta)...

Aunque la simplificación injustificada de los hechos me molesta como persona técnicamente interesada, el tema podría haber terminado en este punto. Si no hubiera efectos secundarios completamente diferentes:

Si, en la información, cada mosquito se convierte en un toro y cada acción cibercriminal se convierte en una ciberguerra por parte de actores estatales, esto también influye en la percepción de la seguridad o en el comportamiento de seguridad de todos nosotros.

Cuando en todas partes sólo se habla de ciberguerra y de actores estatales, la resignación se apodera de muchas empresas y particulares:

"¿Cómo se supone que yo, como persona/empresa, ya puedo protegerme contra un Estado?".

Alternativamente:

"¿Por qué un Estado se fijaría ya en mí?".

El "éxito" de este tipo de comunicación inflada es que muchos ni siquiera perciben el peligro real -a saber, los ciberdelincuentes comunes- y, en consecuencia, no toman las medidas de protección adecuadas.

Para decirlo sin rodeos: sí, hay actores estatales que operan con grandes presupuestos. Pero para las empresas normales y los particulares, estos actores son insignificantes desde el punto de vista de la evaluación de riesgos. El ciberdelincuente "normal", movido por el dinero, representa un riesgo mucho mayor.

Por lo tanto, mi petición en este punto: ¡No se deje inquietar por informes sensacionalistas sobre ciberataques por parte de actores estatales! Lleve a cabo una evaluación de riesgos de sus procesos empresariales, verifique qué actores suponen un riesgo real en ellos y establezca su estrategia de seguridad en consecuencia.

Por último, pero no por ello menos importante, tengo una petición para la prensa, los blogueros, etc: Hay cosas que no se pueden simplificar más. Esto también se aplica a las pruebas circunstanciales en los ataques informáticos. Incluso si la omisión/simplificación de pruebas circunstanciales puede conducir maravillosamente a "pruebas" que luego pueden colocarse como una gran sensación.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

Raimund Genes falleció inesperadamente en su domicilio el viernes 24 de marzo a consecuencia de un infarto.

El que fuera durante muchos años Director de Tecnología de Trend Micro ha cumplido 54 años. Construyó el proveedor japonés de seguridad informática en Alemania y Europa y le dio una voz importante en público.

A partir de 2014, Genes enriqueció la revista E-3 con sus comentarios actuales y sagaces como parte de la columna mensual sobre seguridad informática. También en este caso aportó una valiosa labor pedagógica a la comunidad SAP.

Publicamos su último comentario póstumo en esta página. Nuestras condolencias a su familia y amigos.

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Todos los artículos del autor

Escriba un comentario

Informe de Boomi World London: Integración-Plataforma-como-Servicio (iPaaS)

Retraso en la transformación en la comunidad SAP

Núcleo limpio

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.