Un hombre disfrazado, con multitud de documentos falsos, planos del edificio y tabletas que le ayudan a echar espuma por la boca y a fingir un ataque cuando se vea en un aprieto. Este golpe se ha estado preparando durante semanas. Después de haber llamado con antelación bajo falsos pretextos para asegurarse de que le esperan, sube por el camino de entrada, preparándose mentalmente para entrar en un Data Center de alta seguridad repleto de datos y aplicaciones críticas... Oye, ¿hay una puerta de salida de incendios abierta?
Mientras que la cibernética ocupa los titulares, la seguridad física de los Data Centers no puede pasarse por alto. Aunque parezca sencillo, los controles de acceso que protegen sus instalaciones -y a las personas que las recorren- pueden verse fácilmente comprometidos si una empresa es poco diligente en su enfoque. Entonces, ¿la seguridad física de los Data Centers es tan buena como las empresas hacen creer? "No", afirma Andrew Barratt, consultor principal de operaciones contra adversarios de la empresa de seguridad Coalfire. "Probablemente podría contar con una mano cuántos están bien pensados. Se olvida porque se da por hecho que es un producto básico". Y añade: "Todo el mundo piensa que todo eso funciona. Y luego no piensan en las amenazas del mundo real para esos controles físicos".
La seguridad física requiere reflexión
Barratt señala que para configurar bien la seguridad física, las empresas tienen que pensar correctamente los diseños y modelar adecuadamente las amenazas. De lo contrario, los controles de seguridad pueden convertirse a menudo en un "teatro", puesto que parece que cumplen su función, cuando en realidad son fácilmente burlados, ya sea por los atacantes o por el personal encargado de hacerlos cumplir.
"Algunos de los Data Centers más nuevos tienen cosas que parecen atractivas desde el punto de vista de la seguridad, pero luego se puede ver a la gente fumando al otro lado de la escalera de incendios, por lo que se podría haber entrado con un paquete de cigarrillos". Señala que los niveles de seguridad más bajos -en los que es más probable que funcionen los simples trucos de confianza de llevar chalecos de alta visibilidad- se dan en las instalaciones de los Data Centers corporativos que dan servicio a una empresa y sus filiales.
"Es mucho más común que haya una defensa periférica, un montón de controles de acceso muy rudimentarios, o que veas puertas sobre las que podrías estornudar y caer para entrar en un edificio. Incluso he visto algunos entornos en los que los propios guardias de seguridad te dejaban entrar si parecías estar luchando con la tarjeta de acceso", asegura Barratt.
– Sebastian Moss
"En mi experiencia, los que se han elaborado realmente bien son aquellos que han sido diseñados normalmente ex-militares", explica. "Han sido pensados puramente desde una perspectiva militar para su uso en entornos de infraestructuras nacionales críticas. Por lo general, las personas que mejor se dedican a esto profesionalmente son las que tienen la intención de que el gobierno, los militares o las infraestructuras críticas se alojen en ellas."
Un ejemplo de buen diseño podría estar en el aparcamiento. Debería haber una zona para prever y retener a los vehículos de los visitantes antes de que lleguen al parking final, para que puedan ser rechazados sin crear atascos. Otra sería las puertas: debería ser imposible que alguien siguiera a la persona que va delante de él. Sin embargo, esto es costoso, y a menudo se hacen recortes por razones comerciales.
Barratt sugiere que, en lugar de "soluciones cutres" que pueden ser vulnerables o crear una falsa sensación de seguridad en el personal de una instalación, a veces las empresas deberían simplemente aceptar los riesgos.
"A veces es mejor no hacerlo y saber que existe un riesgo ante el que la gente tiene que estar más atenta personalmente", afirma.
Rishab Verma, del equipo de pruebas de penetración de Defense.com/Bulletproof, señala que a menudo se descuidan las puertas de salida de incendios, que son un excelente punto de entrada y salida. "En ocasiones la gente la utiliza, tal vez para ir a comer y querer salir rápidamente, y simplemente se la dejan abierta", dice. "No hay una buena seguridad ni un buen control de acceso para las puertas de salida de incendios; solamente tendría que utilizar la salida de incendios para abandonar el edificio".
Señala que la falta de registro puede dificultar a las empresas el seguimiento del personal. El registro de las personas debe ser automático, tanto en la entrada como en la salida, y su incumplimiento -si, por ejemplo, les retiene una puerta en la salida- debe ser señalado.
El factor humano debe ser el centro de atención
Una de las principales vías de acceso de un especialista en pruebas de penetración a un Data Center es a través de las personas; engañando al personal de recepción y seguridad para que le dejen entrar directamente, o creando escenarios en los que se les pueda engañar o distraer el tiempo suficiente para permitir que un atacante entre.
"He perdido la cuenta de la cantidad de veces que me he puesto un traje a rayas y he entrado en un edificio porque la gente cree que pareces importante", dice Barratt. "Los trucos de confianza de la vieja escuela tienen mucho éxito y son difíciles de defender".
Equinix CSO Michael Montoya talks to DCD about the company's September 2020 ransomware attack, and how it responded and recovered
Los guardias de seguridad, a pesar de estar, pueden ser a menudo un punto débil en las defensas. Este personal, a menudo mal pagado y con funciones subcontratadas, puede estar excesivamente dispuesto a ayudar por miedo a perder su trabajo.
"Lo que realmente se requiere es un grado de hostilidad, en un entorno social donde la gente tiene una mentalidad muy de servicio al cliente. El gran punto de cambio en lo que respecta a la seguridad física es hacerles sentir que realmente forman parte del negocio y que tienen un papel valioso", dice Barratt. "Es necesario que el director general diga 'puedes detenerme y no te voy a despedir'. Incluso es probable que el director general tenga que dar ejemplo de vez en cuando. Se necesita liderazgo y una buena gestión y, en realidad, muy buenas habilidades sociales y gestión de equipos, para que no sientan que pueden dejarse doblegar por alguien que juegue la carta de 'soy más importante que tú'".
Los equipos de seguridad física funcionan con mayor eficacia cuando sienten que son una parte cohesionada de la empresa en general y se sienten capacitados. Si los guardias de seguridad contratados reciben un salario bajo y les preocupa que les despidan, no es tan probable que se mantengan alerta o se sientan lo suficientemente valientes como para desafiar a personas que podrían ser superiores a ellos.
Barratt señala que un CISO con el que trabajó tenía una cartera de edificios que incluía Data Centers, y estaba preocupado por los guardias de seguridad de sus instalaciones.
"En varias pruebas de seguridad, los guardias de seguridad eran en realidad la mayor debilidad porque estaban socialmente condicionados a ser útiles para la gente; cualquier cosa que pudieran hacer para sentir que eran valiosos para el negocio lo intentarían hacer", dice.
Lo que hizo este CISO fue reducir a la mitad su equipo de seguridad física y triplicar su sueldo. A continuación, los dividió en dos equipos y les obligó a operar en tácticas de estilo militar permanentemente, unos contra otros. Llevaban una tabla de clasificación y ofrecían recompensas a los equipos que tenían éxito.
"Era una jugada realmente fascinante porque la gente era mayoritariamente la misma, pero tenían permanentemente un equipo que estaba en alerta máxima porque sabían que sus homólogos estaban siempre intentando simular un allanamiento. Ese nivel de alerta cambió rápidamente su equipo de seguridad casi de la noche a la mañana hasta el punto de no confiar en nadie".
– DCD/Dot McHugh
Los controles de acceso no son impenetrables
Los controles de acceso físico, como las tarjetas de acceso, la biometría, los circuitos cerrados de televisión y las mantas, pueden hacer que sea mucho más difícil entrar en una instalación.
Sin embargo, muchos sistemas basados en tarjetas llave pueden ser fácilmente burlados. Hay dispositivos que pueden escanear las tarjetas en las inmediaciones y clonarlas. El cifrado de algunas tarjetas antiguas puede romperse y permitir a los atacantes crear perfiles completamente nuevos para ellas. Los errores de los empleados también pueden facilitar la vulneración de los controles de acceso fijos. El personal debe saber que debe mantener ocultos y asegurados elementos como las tarjetas llave.
"Dependiendo de la notoriedad del objetivo, los usuarios suelen publicar en las redes sociales fotos de sus tarjetas llave", dice Nicky Whiting, director de consultoría de Defense.com. "A partir de ahí, es muy sencillo crear su propia tarjeta llave con un diseño similar e imprimirla en algún plástico".
Eric Florence, consultor de ciberseguridad de SecurityTech, cuenta a DCD que en una pequeña instalación en la que trabajó anteriormente se realizaban pruebas de penetración periódicas, y que en un incidente se produjo un ataque en el que robó una tarjeta de seguridad a un empleado.
Keatron Evans, investigador principal de seguridad del Infosec Institute, afirma que recordar constantemente al personal -ya sea de seguridad o de funciones más técnicas- las posibles amenazas a la seguridad es la mejor manera de garantizar que los procedimientos se sigan correctamente.
"La regularidad con la que se recuerdan estas cosas es importante", afirma. "Cuando haces una buena campaña de concienciación sobre la seguridad, durante un mes, el porcentaje de éxito de la gente que bloquea los ataques y las cosas aumenta enormemente. Pero dejas de hacerlo y cinco o seis meses después, casi vuelves a estar como al principio".
Evans también señala la importancia de controlar a quienes se les da acceso en primer lugar para evitar que las tarjetas de acceso y la información importante caigan en manos equivocadas.
"Las empresas deberían hacer un mejor trabajo de escrutinio y comprobación de antecedentes porque hay casos de personas que se cuelan en lugares a través de ese mecanismo. No sólo los empleados técnicos, sino gente como conserjes, personal de limpieza; cualquiera que tenga acceso físico a las instalaciones". A veces, las empresas cometen errores aún más básicos que dejan sin efecto los controles existentes. Gillian Vanhauwaert, del equipo de pruebas de penetración de Defense.com/ Bulletproof, señala que en una instalación había un cartel que indicaba que había reuniones todos los miércoles a una hora determinada. Durante esa reunión, se puso una caja de papel en la puerta para que la gente entrara y saliera. "Se anunciaba cómo entrar, así que sólo tuve que esperar hasta esa hora y simplemente entré", dice.
Reciba las últimas noticias sobre la industria Data Center directamente en su bandeja de entrada
Gracias por suscribirse! Recibirá nuestra newsletter en el próximo envío