La fortaleza del Krak de los Caballeros y la ciberdefensa por capas: Algunas ideas

 

Después de la primera cruzada, tras la conquista de Jerusalén y el establecimiento de los reinos francos cristianos en tierra santa, la protección de estos nuevos enclaves y las rutas comerciales que atravesaban fue siempre una prioridad, y por ello se crearon y establecieron las órdenes militares religiosas, como los pobres caballeros de Cristo del templo de Salomón (Templarios) o la orden de los caballeros hospitalarios de San Juan de Jerusalén. Estos últimos, recibieron el enclave del "Krak" con su poderoso castillo en 1142, que procedieron a remodelar, convirtiéndolo en la fortaleza más inexpugnable de tierra santa, y que pasaría a conocerse como el "Krak de los Hospitalarios" primero, y más adelante como el "Krak de los Caballeros". En él, la orden estableció su sede durante más de un siglo y soportó asedios y ataques de todo tipo, incluso del propio sultán Saladino, sin ser jamás conquistada. Por ello, se ganó su fama de inexpugnable.

Figura 1: El Krak de los Caballeros hoy.

Este impresionante castillo situado en la actual Siria, que ocupaba una superficie de casi 9 hectáreas, se diseñó como cuartel fortificado, con murallas concéntricas de hasta 25 mts de espesor, y una guarnición de más 2.000 hombres y cientos de caballos, con provisiones como para resistir un cerco de años. Su diseño concéntrico con diferentes tipos de muros y torres, y su ubicación en altura, desde la que en días claros, podía divisarse el mar, hacía a esta fortaleza un modelo, que muchos monarcas europeos (Eduardo I de Inglaterra o Luis IX de Francia) quisieron copiar en sus países de origen, y T.E. Lawrence (de Arabia), la definió como el "castillo más admirable del mundo".

Figura 2: Plano del Krak de los Caballeros.

La historia cuenta, como decía, que jamás fue conquistada, y que solo al final de la presencia cristiana en estas tierras hacia la segunda mitad del siglos XIII, con una Orden Hospitalaria ya muy debilitada, el sultán de Egipto Baibars I, curioso personaje de procedencia eslava, decidió en 1271 sitiar el Krak con un numeroso ejército. Durante meses, la reducida guarnición resistió como pudo los embates de los mamelucos del Sultán. Baibars, al entender que iba a tardar meses y meses en conquistar el mítico castillo, ideó un engaño: envió una paloma mensajera al jefe de la guarnición que simulaba proceder del Gran Maestre de la orden (acuartelado en San Juan de Acre), con un permiso especial para rendirse. El engaño surtió efecto. Así, se entablaron negociaciones y finalmente, el Krak de los Caballeros, se rindió por primera vez en su larga historia.

¿Qué lecciones e ideas podemos obtener de este relato para nuestro dinámico y cambiante mundo de la ciberseguridad?

1.     La defensa por capas es idea muy poderosa: todas las capas protegen de los ataques, pero no al 100%. Al superponer diferentes tipos de defensas (el firewall perimetral, el correo electrónico seguro, el sandboxing en todas las capas, el antivirus de nueva generación, el rollback, etc.) nos aseguramos que si bien algún ataque puede escapar a alguna de ellas, es muy difícil que lo haga a todas.

2.    El punto débil. Toda defensa tiene un eslabón que la hace vulnerable. Al sumar diferentes tipos de defensa, de manera concéntrica, independiza cada una de ella y de sus debilidades. Cuando cae la muralla exterior (y lo detectamos), nos replegamos al siguiente anillo concéntrico.

3.    El engaño. Es el ataque más efectivo siempre. La guarnición de la fortaleza fue engañada por el clásico engaño del CEO: aprovechar un medio de comunicación aparentemente seguro para dar falsas instrucciones a los subalternos. Por ello, ante decisiones importantes, hay que tener un procedimiento de "doble comprobación" y evitar estas situaciones.

4.    La Autocomplacencia. No hay que fiarse nunca de nuestra aparente situación de invencibilidad. No hay castillo ni fortaleza que 1000 años dure. El Krak de los Caballeros resistió 12 asedios en 130 años. Parecía inexpugnable. Y al final, se rindió.

5.    La falta de información en tiempo real. Es vital disponer de sensores que te indiquen de forma instantánea que está sucediendo en la infraestructura, para poder tomar decisiones de forma rápida y poder aislar posibles zonas comprometidas por una intrusión con éxito.

Desde Sonicwall hace años que abogamos por el paradigma de la defensa en profundidad por capas, de forma inteligente, con sensores, para detectar y poder reaccionar en tiempo real a los ataques de todo tipo, de corte conocido y desconocido. Es la única manera de poder sobrevivir en este mundo online distribuido en el que nos hemos sumergido de pleno desde hace ya casi 1 año, y que va a ir a más en los tiempos venideros.

Los desaparecidos caballeros hospitalarios dejaron, en una de las galerías del Krak, junto a la gigantesca sala capitular, la siguiente inscripción esculpida en roca, que reza: "Ten riqueza, ten sabiduría, ten bondad, pero guárdate del orgullo que mancha todo lo que toca". Sabias palabras que aplican a nuestro mundo. Así sea.

El eslabón más débil: La caída de San Juan de Acre (1291) Lecciones de ciberseguridad

Año 1291. San Juan de Acre es el último bastión en tierra Santa de los reinos francos cristianos, tras casi doscientos años de presencia cristiana en la zona, originada en la primera cruzada. Acre es una ciudad-fortaleza imponente, con varios anillos concéntricos amurallados, torres de defensa imponentes, fosos, sólidas barbacanas, y sede de las órdenes militares más prestigiosas creadas para la protección de estos reinos: los templarios, los hospitalarios, los caballeros teutónicos, etc. Inexpugnable. O no.

Figura 1: El origen: La primera cruzada y la conquista de Jerusalen (1099)

Las órdenes militares están en conflicto continuo. Los egos, las envidias, los silos en la defensa, será una de las causas de la caída de Acre a manos del Sultán de Egipto. Éste, ha estudiado las defensas y sus puntos más débiles, y cree saber como tomar la ciudad-fortaleza. Durante meses, prepara el asalto, construyendo las más poderosas máquinas de asedio de la época, en secreto, y las traslada cientos de kilómetros hasta las puertas de la ciudad, para iniciar el asedio. Acre, además, tiene un punto débil a explotar, que además no está defendido por ninguna de estas aguerridas órdenes: La torre maldita.

Siempre ha sido el lugar por el que ha caído la ciudad, y a pesar de haber sido reconstruida por los cristianos desde el sitio por el que Ricardo Corazón de León tomó la ciudad hace ya unos años, no está tan bien defendida como el sector de los templarios o el de los hospitalarios, fuerzas de élite, muy temidas por los musulmanes por su ferocidad, disciplina y entrenamiento.

Figura 2: La Caida de Acre

Jalil, el sultán de Egipto con su imponente ejército, inicia el sitio, jugando al gato y al ratón con los defensores, y acaba descargando su ataque más virulento contra el eslabón más débil de todo el perímetro: La Torre Maldita. Entran en la ciudad, y a pesar de que los templarios aún resisten unos días en su cuartel general, la ciudad cae en manos de los mamelucos del Sultán y desaparece así el último bastión cristiano en Tierra Santa.

Es un momento terrible de la historia, del que podemos sacar una serie de lecciones para nuestro entorno de la ciberseguridad:

1.     Los Silos. Los templarios, los hospitalarios, los teutónicos, los venecianos, los pisanos, los franceses, los ingleses... Cada grupo miraba por lo suyo por su segmento asignado, no había un liderazgo claro de la defensa ni una visión unificada de todo. Eso lo sabía Jalil, y por eso sacó partido de la división y de la falta de unidad. Para una buena defensa, hay que tener información en tiempo real de lo que ocurre. Y poder gestionar las múltiples capas para detectar y parar cualquier ataque.

2.    La autocomplacencia. El ejército del Sultán se presentó antes las puertas de Acre el día 1 de abril de 1291. Los defensores no tomaron conciencia del peligro hasta que no tuvieron el ejército del sultán encima, e incluso en ese momento, siguieron discutiendo. Es muy importante conocer los riesgos y prepararse para ellos. En este tiempo, además, con el incremento exponencial de la superfície de exposición a la que estamos expuestos, es fundamental ser humildes y ponernos manos a la obra, construyendo y desplegando una defensa en profundidad, y listos para gestionar cualquier tipo de incidente, leve o grave.

3.    El eslabón débil. Siempre tendremos un eslabón débil, una "torre maldita". Y sabemos que es el endpoint, el usuario final. Por eso se han disparado los ataques de phishing, y por ello, debemos desplegar herramientas que incrementen sustancialmente su nivel de seguridad, que tengan en cuenta que todos podemos caer víctimas de un engaño, para salvaguardar las llaves de la torre: nuestros credenciales. Así, un antivirus de nueva generación, que analice el código en ejecución y lo bloquee si detecta intenciones poco claras, un análisis de las conexiones a la cuenta, para detectar robos de credenciales o "account takeovers", y siempre capas y más capas, segmentando aplicaciones, dispositivos, usuarios... Y en época de acceso remoto a nuestras redes, aplicaciones y datos, hay que limitar y gestionar mejor nuestra infraestructura.

Figura 3: Acre hoy.

Hay más lecciones, y espero poder añadir alguna idea más a este artículo. Al leer estas navidades el excelente libro de Roger Crowley sobre la caída de Acre "La torre Maldita", me di cuenta de que estas lecciones se podían aplicar claramente a nuestro increiblemente activo y cambiante mundo de la ciberseguridad, con lecciones que son universales e imperecederas. En SonicWall empezamos el año pasado predicando sobre estos conceptos y el de "Boundless Cybersecurity", ciberseguridad en un mundo sin perímetro. Y hace tiempo que hablamos de que la joya de la corona, el eslabón más débil, es el endpoint, y detrás de él, el usuario. Hoy los ataques se dirigen a él, porque son más efectivos, más virulentos, más lucrativos. Así, hay que centrarse en desplegar capas de seguridad, sin olvidar este factor, centrándose en toda la cadena, pero con especial foco en el endpoint, en el ser humano. Porque la ciberseguridad es un asunto de tecnología, de procesos y, sobre todo, de personas.