31 agosto 2010

El riesgo de los PenDrives

Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos "sensibles" que se almacenaban en pendrives, así como la gran predisposición de las personas a "curiosear" el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones.

A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de los principales focos de infección de los PCs, y aunque no he sido capaz de encontrar estudios actuales al respecto, estoy prácticamente seguro de que el uso de memory sticks cada día es más habitual, y no creo que la sensibilidad de los datos almacenados en ellos haya disminuido (de hecho, lo más probable es que haya aumentado). Tanto la capacidad de almacenamiento como la fiabilidad de estos dispositivos ha crecido, a la vez que su precio ha disminuido enormemente, de forma que cada vez es más habitual encontrarse con este tipo de dispositivos. Y la verdad es que no es de extrañar, ya que su utilidad es enorme, dado que son ultraportables y accesibles de forma prácticamente universal.

Desde el punto de vista de la seguridad tampoco tiene que ser mala esta proliferación. Estamos maximizando la disponibilidad de la información almacenada en ellos, lo cual es positivo. El mayor problema es que su uso puede provocar una disminución de la confidencialidad (que suele ir asociado habitualmente al aumento de disponibilidad, pero que en este caso supone una disminución adicional por el importante potencial de pérdida que tienen estos dispositivos) y también una diminución de la integridad (como siempre que se generan copias de una información y no la "sincronizamos" apropiadamente). Algo habitual en esto de la seguridad (sería genial que se inventaran soluciones capaces de maximizar los 3 factores simultáneamente, verdad?), pero que en general no se suele gestionar de manera eficiente.

Es cierto que en el mercado existen productos que tratan de solucionar el tema de la confidencialidad mediante la introducción de cifrado nativo, con control de acceso autenticado bien mediante password o bien mediante autenticación biométrica. Pero también es cierto que el uso de este tipo de soluciones es bastante residual, y normalmente limitada a entornos corporativos. ¿Está justificado el elevado precio de este tipo de soluciones, normalmente muy superior al de los dispositivos sin ellas? Si los precios de ambos productos fueses equivalentes seguramente se conseguiría mejorar enormemente la seguridad de la información en toda la sociedad... ¿Merecería la pena subvencionarlos?

A diferencia que para el caso de la confidencialidad, el mercado no ha buscado soluciones específicas para solucionar los problemas de integridad asociados al uso de los PenDrives. Es cierto que existen multitud de herramientas que pueden resolver estos problemas, pero curiosamente no suelen ser funcionalidades que se integren de manera nativa en los productos de gestión de memorias USB. Parece como si, por una vez, la integridad de la información fuese un problema secundario, cuando "de siempre" ha sido el parámetro más cuidado (y quizás por ello también el que menos nos preocupa, ya que suele ser el más transparente).

En definitiva, desde 2008 se han incrementado bastante las soluciones disponibles para los problemas ocasionados por las memorias flash USB, pero ni su evolución ha sido todo lo buena que se podría haber esperado ni sobre todo su adopción se ha extendido tanto como hubiera sido deseable. En la actualidad nos encontramos con un panorama en el que los riesgos derivados del uso de las memorias USB, cuya expansión continúa siendo imparable, aumenta lenta pero progresivamente. ¿Responderá finalmente la industria de la seguridad con soluciones apropiadas para los riesgos a los que nos enfrentamos? ¿Será capaz la sociedad de madurar en la adopción de soluciones de seguridad apropiadas? Me temo que a los profesionales del sector todavía nos queda mucho trabajo por hacer...

6 comentarios:

Sergio Hernando dijo...

Hola Joseba,

Buen artículo. Me he permitido hacer un remix en mi blog :)

Un saludo,

Anónimo dijo...

Buena reflexión. Yo me he encontrado dos tipos de actitudes en relación a este tema:
a) Actitud radical donde contemplan el usb como riesgop potencial y bloquean la conexión salvo contadas excepciones, suministrando soportes corporativos con unas minimas medidas de seguridad (Visto en sector banca).

b) Actitud condenscendiente donde minimizan la problemática de seguridad y consideran inviable revocar los derechos que han adquirido los usuarios respecto al manejo de estos dispositivos. Creen impopular la medida dado el grado de extensión de esta mala práctica.

En este segundo caso además, teniendo datos demostrando que los incrementos de infección malware están causados por el uso de este tipo de dispositivos dentro del ambiente corporativo. No hablemos de la justificación basada en la protección de la confidencialidad.(Visto en sector sanitario)

Creo que en estos entornos al Responsable de seguridad le da miedo ser demasiado impopular y además tiene el problema de que esta mala práctica está muy extendida entre la alta dirección, por lo que tiene complejo hacerla prosperar.

En ese caso, trata de buscar medios alternativos de protección pero el inventariado y control de soportes sería la medida más razonable. Si no controlas los soportes, no puedes controlar la información.

Anónimo dijo...

Un ejemplo de este tipo de estudios actual es

Portable Storage Device Survey - Report 2010 - New Zealand Public Sector

http://seguridad-informacion.blogspot.com/2010/09/portable-storage-device-survey-report.html

Joseba Enjuto dijo...

La verdad es que la solución no es sencilla. Desde la confidencialidad es fácil decir que los PenDrives son malos, pero no olvidemos que la disponibilidad también debe ser una preocupación del responsable de seguridad, y aquí las tornas cambian... Seguro que todos hemos visto usar una memoria USB para "restaurar un backup".

Viendo el informe, parece claro que la tendencia es la prevista, y que las soluciones de seguridad actuales normalmente se orientan a la gestión / securización del soporte más que a la gestión / securización de la información que almacena. Quizás este cambio de orientación sea la clave para el futuro, sobre todo viendo la evolución actual (DLP, DRM, ...).

Anónimo dijo...

Pues como los disquetes en los 80. Fuente de Virus y de datos confidenciales que no deberían ser vistos por otras personas...

Joseba Enjuto dijo...

Efectivamente, como los diskettes en los '80, salvo que ahora el potencial de extracción de datos es bastante mayor, ya que el ratio tamaño del soporte / tamaño de los datos ha crecido. Aunque ahora, a diferencia de aquella época, existen herramientas para gestionar estos dispositivos móviles... La verdad es que no sabría decir en qué caso el riesgo es mayor, aunque si consideramos la tasa de penetración de estos dispositivos, quizás la situación haya empeorado.