Seguridad: hay que ser proactivo

Internet puede asemejarse al cuerpo humano. Cuando entran los virus, el organismo desarrolla mecanismos de defensa contra la enfermedad, luego esto ayuda a crear las vacunas. Las empresas de seguridad funcionan así. Luis Corrons, director técnico de Panda Security nos informa que el punto de partida para desarrollar un software de seguridad, es que el hacker dé el primer paso, para luego contraatacarle.

MuyComputerPRO: Panda ha tenido un importante papel en el caso del botnet Mariposa. ¿En qué ha cosistido exactamente esa labor de la compañía?

Luis Corrons: Hemos estado participando desde el principio, aportando técnicamente nuestro conocimiento y know-how. En Mayo de 2009, Defence Intelligence hizo público el descubrimiento de una nueva red de bots, bautizada como “Mariposa”. Además de la información facilitada en su momento, en ese momento se empezó un trabajo que ha durado meses, cuyo objetivo era acabar con una red criminal que estaba detrás de lo que iba a convertirse en una de las mayores redes de bots de la historia.

Lo primero que se hizo fue crear el Mariposa Working Group (MWG), del que forman parte Defence Intelligence, el Georgia Institute of Technology y Panda Security; junto a expertos de seguridad y agencias y cuerpos de seguridad de diferentes países, la idea era aunar fuerzas para tratar de eliminar la botnet y llevar a los criminales ante la justicia.

Una vez recogida toda la información, lo más importante era planificar cómo quitar el control de la red a los criminales que estaban detrás, así como poder identificarlos. Una vez localizados los diferentes paneles de control desde los que mandaban instrucciones a la red, pudimos ver qué tipo de actividades llevaban a cabo. Principalmente se dedicaban a alquilar partes de la red de bots a otros criminales, robo de credenciales de los equipos infectados, cambio de resultados a los usuarios cuando utilizaban motores de búsqueda (Google, etc.), y mostrar popups de publicidad.

La finalidad, como podéis ver, era puramente económica. El grupo de delincuentes detrás de Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda. Localizar a los criminales se volvió realmente complicado, ya que siempre se conectaban a los servidores de control de Mariposa a través de servicios anónimos de VPN (Virtual Private Network, Red Privada Virtual), lo que imposibilitaba localizar la dirección IP real que tenían, la mejor pista que nos podría llevar hasta ellos.

El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots. Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.

Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 13 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.
 

El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.

MCP: ¿Cuáles son las principales tendencias en seguridad empresarial para este 2010? ¿qué es lo que más están demandando?

LC: Sin duda alguna, servicios de seguridad desde la nube ofertados bajo la modalidad de Security-as-a-Service. Las principales razones de esta elección radican en que suponen un ahorro del 50% con respecto a la adquisición e instalación de las soluciones tradicionales, y, por otro lado, permiten una gestión más cómoda de todo el parque empresarial, incluyendo usuarios itinerantes o móviles, oficinas remotas, etc. Igualmente, la protección se ofrece prácticamente en tiempo real, al estar siempre conectado con los sistemas de Inteligencia Colectiva de Panda Security.

Las soluciones tradicionales exigen una labor de mantenimiento que incluye la descarga varias veces al día del fichero de firmas así como su distribución mediante agentes de comunicación al parque, lo que supone un retraso en su aplicación.

Por otro lado, el impacto en el rendimiento de los equipos también se ha reducido muchísimo, al no tener que tener en local todo el conocimiento (fichero de firmas almacenado en los PCs o servidores). Además, para nuestro Canal de distribución también aporta muchas ventajas, como el hecho de poder gestionar la seguridad de muchos clientes desde una única consola web.

Según los principales analistas a nivel internacional, este segmento es el que más crecerá en los próximos años. En Panda Security estamos registrando unos grandes crecimientos en este segmento, debidos tanto a la migración de clientes de soluciones tradicionales a las nuevas Cloud Protection, como a la adquisición de nuevos. Estamos en torno al 125% de crecimiento.

MCP: ¿Qué da más prestigio… prevenir o curar?

LC: Curar implica que has tenido un problema, por lo que reaccionas. A nosotros nos gusta proteger de forma proactiva, evitando de esta manera que nuestros clientes se infecten. Bajo nuestro punto de vista, da más prestigio adelantarte al problema.

MCP: ¿Están las empresas concienciadas sobre la inversión que tienen que hacer en materia de seguridad?

LC: Cada vez más, aunque la maduración del mercado en materia de seguridad va poco a poco. Evidentemente, siempre depende mucho del tamaño de las compañías de las que hablemos. Si son grandes, es muy raro encontrar un parque sin políticas de seguridad, uno o varios responsables administrándolo, y con seguridad instalada.

Sin embargo, si hablamos de pymes de hasta 100 puestos, por ejemplo, sí vemos que todavía hay deficiencias que convendría solventar, causadas bien por despreocupación, por falta de conocimiento o concienciación o por falta de inversión. Por lo menos, estas son las conclusiones que se desprenden de nuestro contacto diario con el mercado y del Primer Barómetro Internacional de Seguridad en pymes.

MCP: Pongámonos a imaginar una solución de seguridad «perfecta» para una empresa. ¿Cuáles serían sus características?

LC: Yo no hablaría de solución de seguridad perfecta, sino de sistemas operativos, aplicaciones de gestión y ofimáticas, etc., perfectas. No nos engañemos, las soluciones de seguridad tienen sentido en el contexto de sistemas y aplicaciones no seguros, que son aprovechados por los hackers para difundir sus creaciones maliciosas e infectar a los usuarios.

Lamentablemente, y aunque se ha avanzado tremendamente en el ámbito tecnológico de seguridad de los últimos años, el destino de las compañías de seguridad es ir siempre detrás de los “malos”. Por lo tanto, no es tanto que tecnológicamente se tenga que desarrollar el producto perfecto –que es uno de nuestros objetivos-, sino que para poder reconocer las amenazas de Internet, necesitamos recibirlas de antemano en los laboratorios, analizarlas y dar la vacuna correspondiente. Por lo tanto, el punto de partida siempre será un hacker que desarrolla su virus, gusano, troyano, etc., y que lo distribuye.

En lo que sí estamos avanzando tremendamente es en el ámbito de ser capaces de detectar un porcentaje de dichas amenazas sin conocerlas con anterioridad, y en hacer cada vez más rápidas las vacunas para aquellas que no podemos resolver por tecnologías proactivas o heurísticas, de forma que reducimos la ventana de riesgo para nuestros usuarios.

MCP: ¿En qué es más fuerte Panda y en qué tiene que mejorar?

LC: Somos muy fuertes en tecnología, y además, reconocidos internacionalmente. Tradicionalmente, hemos reinvertido el 30% de nuestra facturación en I+D+i, que desarrollamos íntegramente en España, y esto nos ha llevado a ser los primeros en lanzar tecnologías de seguridad al mercado que, posteriormente, han sido imitadas por otras compañías de seguridad (y la mayoría de las veces, gracias a la adquisición de compañías tecnológicas, no por desarrollo propio).

Éste ha sido el caso, por ejemplo, de la seguridad desde la nube, un concepto en el que hemos sido pioneros, que desarrollamos y lanzamos al mercado en el año 2007, dando como resultado el primer antivirus que protege 100% desde la nube, Panda Cloud Antivirus (www.cloudantivirus.com), lanzado el pasado mes de abril de 2009. Posteriormente, los competidores han seguido nuestros pasos, y dos años después van introduciendo al mercado sus soluciones.

Nos queda mejorar en muchas cosas. Como nosotros decimos, cada día es una oportunidad de mejora, ya que siempre se puede hacer mejor. Y aplica en todos los ámbitos, en el tecnológico, en las soluciones, en el marketing y ventas, etc.

MCP: ¿Qué aportan los partners de Panda a la compañía? ¿pensáis ampliarlos?

LC: Siempre estamos ampliando nuestro Canal de distribución. El tener socios tecnológicos que desarrollan un canal de venta te aporta muchas cosas, no sólo negocio (evidentemente), sino también la granularidad que permite tener partners distribuidos a lo largo de toda la geografía española, con las ventajas que conlleva en cuanto a servicio y atención al cliente.

Luis Corrons, director técnico de Panda Security.