Descubre Cómo los ISP Transforman la Ciberseguridad: El Debate que Todos Deberían Conocerpost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

El Papel de los ISP en la Ciberseguridad: Un Debate Necesario

Durante más de una década, la industria de la seguridad ha debatido qué papel deben desempeñar los proveedores de servicios de Internet (ISP) en la ciberseguridad. Los ISPs pueden tener un impacto mucho más amplio en la seguridad general debido a su posición en la red, ya que actúan como nuestra puerta a Internet.

Aún así, hay buenos argumentos en contra de los ISP que toman demasiada participación en el tema. Los proveedores de internet pueden, en un apartado específico, hacer mucho para mejorar la seguridad de todos, pero antes de entrar en eso, revisemos los argumentos en contra de los ISP que participan intensamente en seguridad:

Argumentos en Contra de la Participación Intensiva de los ISP en Seguridad

  1. Los controles de seguridad mal administrados pueden interrumpir actividades empresariales o legítimas: Si alguna vez ha utilizado una solución de prevención o detección de intrusiones (IPS), sabe que ocasionalmente tiene falsos positivos. Estos falsos positivos pueden bloquear el tráfico legítimo de los clientes que pagan por conectarse a internet.
  2. Cierta seguridad puede invadir la privacidad: Muchos controles de seguridad no solo monitorizan a dónde se va en Internet sino que también analizan profundamente el contenido del tráfico y registran toda la actividad para análisis forenses posteriores. Esto abre la posibilidad de que los ISP utilicen estos datos para otro propósito (aunque técnicamente, podrían estar haciendo esto de todos modos).
  3. Cierta seguridad se convierte en censura: ¿Cuál es la diferencia entre un sitio inapropiado y un sitio peligroso? A veces esto es un área gris. A veces un sitio web que desea visitar puede haber tenido un anuncio malicioso en él en el pasado y está en una lista negra. ¿Aceptaría que los ISP lo bloquearan?
  4. Los ISP no pueden asumir responsabilidad por los errores de sus clientes: En pocas palabras, no podemos responsabilizar a los ISP por nuestra seguridad porque no pueden controlar a sus clientes. Incluso si una organización tiene los mejores controles de seguridad en el mundo, su gente puede tener conductas de riesgo que los infectan.
  5. ¿Dónde termina la seguridad del ISP?: ¿Deberían los ISP monitorear nuestro tráfico solo por amenazas conocidas? ¿Deben ser nuestro firewall? ¿Deberían permitir acciones de IPS (prevención de intrusos) para bloquear exploits? ¿Deberían filtrar sitios maliciosos? ¿Deberían escanear nuestras redes en busca de vulnerabilidades y bloquear dispositivos que no han sido parchados? En cuanto a los controles preventivos de seguridad los ISP pueden ofrecer servicios de seguridad opcionales, pero en última instancia es decisión de sus clientes decidir si se protegen o no.

La Suplantación de Direcciones IP y el Rol de los ISP

La suplantación de direcciones IP (IP Spoofing) es un ataque muy antiguo y simple en el que un equipo malicioso envía un paquete de red con una dirección IP fuente falsa. Esta técnica ofrece valor limitado en los ataques normales, porque cuando se envían paquetes que afirman ser de otro equipo, ese otro equipo obtiene las respuestas, no usted.

Sin embargo, la suplantación de IP juega un papel importante en un tipo de ataque que tiene consecuencias mayores: ataques distribuidos de denegación de servicio (DDoS). Un ataque DDoS reflejado (Reflective DDoS attack) envía consultas a servicios particulares que pretenden ser la dirección IP de su víctima.

Por definición, los ISPs tienen pleno conocimiento de las direcciones IP públicas que todos recibimos y saben cuáles pertenecen a sus redes. De hecho, durante décadas han existido estándares comunes de Internet y mejores prácticas que detallan exactamente cómo los proveedores de red pueden prevenir la falsificación de direcciones IP configurando dispositivos de enrutamiento para validar direcciones de origen y bloquear tráfico suplantado. Algunos ejemplos incluyen RFC 2827, BCP 38 y el actualizado BCP 84. La mayoría de los equipos de red, desde ruteadores hasta appliances de seguridad, ofrecen funciones y filtros simples para bloquear el spoofing.

Lea también: Auditorías de seguridad: Blindaje contra ciberataques.

La buena noticia es que muchos ISP ya lo hacen. Según el Center for Applied Internet Data Analysis (CAIDA), alrededor del 70% del espacio IP no es suplantable (spoofable), lo que significa que muchos ISP están haciendo el filtrado. El problema es que si incluso unos cuantos ISP siguen permitiendo la suplantación, los atacantes pueden utilizar a estos rezagados contra otros.

Si hay algo que debemos exigir de todos nuestros proveedores de servicios de Internet, es implementar esta práctica común. Por lo tanto, aunque no creo que los ISP deben involucrarse demasiado en la seguridad por las razones mencionadas anteriormente, la suplantación de IP es un problema a nivel de red que podría ser fácilmente arreglado si la industria exigiera que todos los ISP siguieran las mejores prácticas.

Lea también: Ingeniería de seguridad y auditoría: una visión general

Lea también: Evaluación de la seguridad informática

tags: #rfc #seguridad #informatica