La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 17-05

Una abrumadora evidencia circunstancial no es, sin embargo, una prueba

En el caso de los ataques informáticos, la cuestión de quién es el culpable es lo primero que se plantea a los forasteros. Uno quiere asignar un ataque, al menos mentalmente, a un autor.
Raimund Genes, Trend Micro
4 de mayo de 2017
Contenido:
Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

En muchos casos, sin embargo, esta pregunta supuestamente sencilla no puede responderse tan fácilmente. Sobre todo si uno se basa exclusivamente en los hechos objetivos y deja de lado la formación subjetiva de la opinión a través de la percepción local/temporal de la víctima o a través de la prensa.

Lo que ocurre cuando hay demasiada subjetividad se ilustra fácilmente con el ejemplo actual de EyePyramid, un "ladrón de información" que ha robado alrededor de 87 GB de datos en las últimas semanas. Esto incluye los de empresas privadas, pero también los de oficinas gubernamentales y otras organizaciones públicas.

EyePyramid tenía como objetivo más de 100 dominios de correo con más de 18.000 cuentas de correo. Las víctimas, algunas de ellas de alto rango, procedían de Italia y otros países europeos, pero también de Estados Unidos y Japón.

Con esta abrumadora evidencia, la conclusión era clara para muchos: ¡se trata de un ataque impulsado o patrocinado por el Estado!

Los medios de comunicación y el público en general acogieron con satisfacción esta conclusión. Por desgracia, sólo había un problema: ¡no era cierta!

En retrospectiva, resultó que las personas detrás de EyePyramid son un hermano y una hermana con intereses puramente monetarios. No una organización patrocinada por el Estado que se dirige a la próxima guerra cibernética.

Este incidente muestra claramente lo que ocurre cuando los hechos sólo se interpretan en el contexto "conveniente" de cada uno o se simplifican en exceso. Los investigadores de seguridad serios se limitan a la información técnicamente verificable cuando se trata de la "atribución", es decir, de asignar los ataques a los actores.

Por supuesto, también hay "pistas" que apuntan en una determinada dirección o cuya combinación se refuerza. Pero rara vez se encuentra la metafórica "pistola humeante" en la mano del atacante.

Seguir con EyePyramid: De hecho, las organizaciones progubernamentales (también) se vieron comprometidas. Estos son hechos objetivos. La simplificación de que un actor estatal debe estar detrás de esto es subjetiva y demasiado simplista.

Desgraciadamente, la información objetiva es mucho menos espectacular que la simplificación (incorrecta)...

Aunque la simplificación injustificada de los hechos me molesta como persona técnicamente interesada, el tema podría haber terminado en este punto. Si no hubiera efectos secundarios completamente diferentes:

Si, en la información, cada mosquito se convierte en un toro y cada acción cibercriminal se convierte en una ciberguerra por parte de actores estatales, esto también influye en la percepción de la seguridad o en el comportamiento de seguridad de todos nosotros.

Cuando en todas partes sólo se habla de ciberguerra y de actores estatales, la resignación se apodera de muchas empresas y particulares:

"¿Cómo se supone que yo, como persona/empresa, ya puedo protegerme contra un Estado?".

Alternativamente:

"¿Por qué un Estado se fijaría ya en mí?".

El "éxito" de este tipo de comunicación inflada es que muchos ni siquiera perciben el peligro real -a saber, los ciberdelincuentes comunes- y, en consecuencia, no toman las medidas de protección adecuadas.

Para decirlo sin rodeos: sí, hay actores estatales que operan con grandes presupuestos. Pero para las empresas normales y los particulares, estos actores son insignificantes desde el punto de vista de la evaluación de riesgos. El ciberdelincuente "normal", movido por el dinero, representa un riesgo mucho mayor.

Por lo tanto, mi petición en este punto: ¡No se deje inquietar por informes sensacionalistas sobre ciberataques por parte de actores estatales! Lleve a cabo una evaluación de riesgos de sus procesos empresariales, verifique qué actores suponen un riesgo real en ellos y establezca su estrategia de seguridad en consecuencia.

Por último, pero no por ello menos importante, tengo una petición para la prensa, los blogueros, etc: Hay cosas que no se pueden simplificar más. Esto también se aplica a las pruebas circunstanciales en los ataques informáticos. Incluso si la omisión/simplificación de pruebas circunstanciales puede conducir maravillosamente a "pruebas" que luego pueden colocarse como una gran sensación.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

Raimund Genes falleció inesperadamente en su domicilio el viernes 24 de marzo a consecuencia de un infarto.

El que fuera durante muchos años Director de Tecnología de Trend Micro ha cumplido 54 años. Construyó el proveedor japonés de seguridad informática en Alemania y Europa y le dio una voz importante en público.

A partir de 2014, Genes enriqueció la revista E-3 con sus comentarios actuales y sagaces como parte de la columna mensual sobre seguridad informática. También en este caso aportó una valiosa labor pedagógica a la comunidad SAP.

Publicamos su último comentario póstumo en esta página. Nuestras condolencias a su familia y amigos.

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.