¿Se ha preguntado alguna vez desde cuándo la seguridad de la información es un reto para las empresas? En un mundo hiperconectado, la preocupación por la protección es constante. Y esto es así desde hace muchísimos años, desde la época en que la mayoría de los profesionales de la seguridad que viven hoy en día ni siquiera habían nacido.

La seguridad de la información no tiene fecha de aniversario. Es difícil establecer un punto de partida, dónde empezó todo. Lo que la compone es un amplio abanico de conceptos, con soluciones que se han ido creando e incorporando gradualmente a la definición que hoy conocemos.

Pero hay un concepto dentro de la Seguridad de la Información que, me atrevo a decir, puede tener un principio bien definido: el de SOC (Security Operation Center).

Una serie de herramientas comunes para vigilar y detectar amenazas, registrar y responder a incidentes, descubrir y corregir vulnerabilidades, tuvo su primera implantación, rudimentaria pero funcional, en el año 1986. ¿El protagonista de esta historia? Clifford Stoll. ¿El objetivo de este artículo? Demostrar que, hoy en día, muchos siguen sufriendo, innecesariamente, los mismos dolores que el Dr. Cliff hace más de 30 años.

Esta historia comienza en el Laboratorio Nacional Lawrence Berkeley, en los días en que la Reina Isabel ya había enviado su primer correo electrónico, en la recién creada Internet. El Dr. Cliff era astrónomo e investigador en Berkeley, una de las pocas universidades que tenía un ordenador "grande", un VAX 780. Hoy en día no parecería más que un viejo armario de Telecom. Hoy no parecería más que un viejo armario de telecomunicaciones. Pero entonces era tan caro que el coste de su procesamiento de 300 dólares la hora estaba supercontrolado, con un programa escrito sólo para cobrar el tiempo de CPU entre los usuarios de cada departamento.

Berkeley disponía también de otro raro artículo tecnológico de la época, un router Cisco que conectaba su laboratorio a Internet. Un buen día, el programa de contabilidad de uso de VAX llegó a fin de mes y no pudo encontrar al usuario responsable de 9 segundos de procesamiento, tiempo que entonces equivalía a 0,75 dólares.

El equipo decidió consultar los registros para averiguar qué usuario no había sido contabilizado. Pero, ¿dónde habían ido a parar los registros? Pues bien, el usuario que nadie sabía quién era había borrado sus rastros de los registros, que estaban en un directorio estándar al que todo el mundo tenía acceso.

Vale, entonces la estrategia era examinar el laboratorio terminal por terminal para intentar averiguar quién era. Pero, ¿qué pasa con el conjunto de 50 líneas telefónicas que acababan de instalar en el laboratorio para que los investigadores pudieran acceder al VAX de forma remota? ¿Y el nuevo router? ¿De dónde procedía la conexión?

En aquella época no existía ninguna herramienta de visibilidad de la red como las que tenemos hoy. No había que hacer espejos de puertos ni nada por el estilo. Era simplemente una novedad y lo que, a primera vista, parecía un simple error de redondeo en el software de facturación, era en realidad un usuario no autorizado trabajando en el VAX.

El Dr. Cliff decidió rastrear el origen de la conexión colocando 50 puentes en las líneas de módem, conectándolas en paralelo a 50 impresoras en serie, llamadas Teleimpresoras.

La idea del Dr. Cliff era imprimir todos los caracteres que pasaban por las líneas serie para poder identificar al usuario en cuestión y averiguar qué estaba haciendo en el VAX el visitante no autorizado. El Dr. Cliff podría haber hecho esto mediante software, pero como el usuario ya había borrado los registros una vez, le preocupaba hacer algo que fuera transparente desde el punto de vista de la conexión, de modo que fuera cual fuera la fuente, no hubiera forma de que nadie pudiera identificar la supervisión.

Así es como se implantó en 1986 el concepto de visibilidad de la red que tenemos en los SOC modernos.

El fin de semana siguiente, el usuario misterioso se conectó a través de una de las líneas telefónicas y, como estaba previsto, cada carácter que entraba por la conexión se imprimía en el formulario continuo.

El equipo de Berkeley tardó un rato en comprender los comandos ejecutados en esa conexión. No eran comandos comunes y algunos no tenían sentido. Estudiando el tráfico de esa sesión, el equipo comprendió que se trataba de explotar vulnerabilidades para escalar privilegios. Algo que también está al alcance de un SOC moderno: "leer" el tráfico capturado para extraer de él la inteligencia del atacante.

Lo que descubrieron fue que una vez conectado, y como root, el atacante utilizaba la VAX de Berkeley como puente a otra red, ARPANET, que a su vez servía de puente para acceder a MILNET, la entonces red militar estadounidense. Para entonces, la NSA, la CIA, el FBI y otras agencias ya estaban interesadas en el asunto. Aunque ninguna de ellas sabía cómo responder al incidente, que, por cierto, es otra atribución de un SOC moderno.

Pero, ¿cómo controlar las 24 horas del día los caracteres impresos en 50 impresoras diferentes? Era inviable. Si se hiciera hoy en día, sería como si el equipo tuviera que poner a una persona a vigilar todo el tráfico que pasa por el perímetro de Internet. Es humanamente imposible hacerlo sin automatización.

Tenía que haber una forma de generar alertas específicas sobre actividades maliciosas. El Dr. Cliff decidió añadir a la solución analizadores de interfaz serie. Cada módem tenía ahora dos puentes, uno para la impresora y otro para el analizador serie.

Con ello, el sistema de visibilidad de la red del Dr. Cliff tuvo su primer avance.

Gracias a la inteligencia obtenida del seguimiento del atacante, fue posible conocer los métodos de invasión que utilizaba y crear así reglas que detectaran los ataques.

El siguiente paso fue configurar los analizadores sintácticos para que, cuando detectaran un determinado conjunto de caracteres, avisaran al localizador del Dr. Cliff indicando a qué módem se había conectado el atacante.

Fue el primer IDS (Intrusion Prevention System) de la historia, en el que el tráfico malicioso activa una alerta para responder a incidentes. Con él, ya no sería necesario vigilar 50 impresoras sin parar y leer en tiempo real lo que se imprimía. El Dr. Cliff y el equipo de Berkeley podrían irse a casa y volver al laboratorio sólo en caso de ataque.

Pero no querían limitarse a cortar la conexión, ya que eso alertaría al atacante de que había sido descubierto. Lo que hicieron fue responder activamente al incidente sólo si el atacante empezaba a descargar documentos secretos de alguna base militar estadounidense.

¿Cómo fue esa respuesta?

El Dr. Cliff colocaba una llave magnética en el cable del módem, simulando una interferencia en la conexión para impedir o retrasar la descarga de datos confidenciales. De este modo, el ladrón de datos continuaría con los intentos de descarga, creyendo que el problema era de conectividad. Y ya tenemos quizás el primer IPS (Intrusion Prevention System) del que se tiene constancia. Impedir que un ataque tenga éxito es otro atributo de un SOC.

En este punto de la historia, ya habían pasado meses. Y lo que se sabía era que el origen de la conexión estaba en Europa. Pero rastrear una conexión transoceánica era demasiado complicado en aquella época. No había software ni nada automático, todo era manual. ¿Qué hizo el equipo? Llamaron al operador local, pidiendo que alguien buscara el origen de la conexión. Luego, al siguiente operador, con la misma petición de comprobar el origen de la conexión. El proceso se repitió hasta que pudieron llegar al autor de los ataques.

El problema era cómo mantener al atacante conectado y ganar tiempo suficiente para poder rastrear la conexión de extremo a extremo. La solución: crear una operación militar falsa llamada "ShowerHead".

El equipo y el Dr. Cliff inventaron varios documentos y oficios, crearon la SDI NET "Red de la Iniciativa de Defensa Estratégica", diseñaron topologías y descripciones de dicha red. También clonaron la base de datos de Berkeley, sustituyendo "estudiante" por "teniente", "profesor" por "coronel", etc. Para que pareciera real, crearon una red de servidores falsos y la ocultaron dentro de la red de Berkeley, para que el atacante viera la nueva red cuando buscara nuevos objetivos. Y esperaron.

Sin duda, es un ejemplo más de cómo los expertos de antaño ponían en práctica otra característica que se sigue utilizando en un SOC a día de hoy. La simulación fue el primer Honey Pot que se fabricó.

Cuando el hacker se conectó y encontró por fin la red secreta, empezó inmediatamente a descargar todos los documentos. Dado el volumen de información supuestamente confidencial, el atacante creyó haber encontrado algo grande. Y permaneció conectado durante varias horas.

Esto dio tiempo a las agencias estadounidenses para rastrear la conexión y poner en marcha a las autoridades de Hannover, la ciudad donde se encontraba Marcus Hess, el atacante que había sido perseguido durante tanto tiempo. Marcus vendía documentos secretos que obtenía al KGB soviético.

Un resumen de lo que el Dr. Cliff ha grabado con las herramientas que ha desarrollado:

• Irrumpir en 450 ordenadores de Milnet, incluida la base de datos Optimis del ejército estadounidense (Pentágono). El Google del Pentágono, por así decirlo;
• Descargue cientos de documentos secretos;
• Robo de credenciales de acceso / Establecimiento de nuevas credenciales;
• Trazado de la topología de las redes de destino;
• Cierre de procesos y modificación de datos;
• Exclusión de procesos y archivos de auditoría;
• Descifrado de contraseñas y cifrado mediante métodos de diccionario;
• Robo de credenciales mediante el rastreo de archivos (correos electrónicos y notas en las que los propios usuarios escriben sus contraseñas);
• Caballos de Troya;
• Explotación de vulnerabilidades para la elevación de privilegios;

¿Y qué vemos mirando por el retrovisor? Berkeley fue, a finales de los 80, el primer caso documentado de APT (Amenaza Persistente Avanzada) de la historia. Todas las etapas clásicas de una APT moderna están presentes.

Las lecciones aprendidas entonces son la base de parte de lo que practicamos hoy.

Una vez desvelado el misterio de los 0,75 dólares, el Dr. Cliff ya hablaba de políticas de control de acceso, revisión de privilegios, aplicación de parches para corregir vulnerabilidades, endurecimiento de servidores, actuación policial en casos de ciberseguridad (un término que ni siquiera existía todavía), procedimientos de respuesta a incidentes de seguridad, segmentación de redes, políticas de contraseñas, buenas prácticas de auditoría y varias iniciativas más, como los rudimentarios DLP. Todas disciplinas presentes en un SOC.

En otras palabras, el marco, el esqueleto, la base de gran parte de lo que hoy consideramos obligatorio para cualquier organización, se conoce desde hace 30 años. A pesar de ello, muchas empresas siguen sufriendo por no observar las lecciones aprendidas.

Concluyo con una pregunta más: ¿qué posibilidades tiene hoy en día una organización, sin un SOC equipado con los procesos, herramientas y mano de obra cualificada, contra una APT?

Si quiere conocer más detalles de la historia del Dr. Cliff, lea"El huevo del cuco", publicado en 1989.

Por Leonardo Camata