Novedades

Seguridad Informática

Vamos a hablar sobre seguridad informática, no desde la perspectiva del desarrollador, sino con una mirada más cotidiana. Te presentamos los cuidados necesarios dentro de cada organización y los aspectos de la infraestructura que deberíamos considerar.

Contenido

  1. Los Scripts
  2. Phishing
  3. Ejemplo de ataque malicioso
  4. ¿Cómo prevenir los ataques maliciosos?

1. Los Scripts

Hoy en día los programas de ordenador permiten la ejecución de múltiples funciones, y algunas de ellas pueden ser provistas a través de scripts* y permitir realizar operaciones de manera automática. Esto es bueno desde un punto de vista de automatización de tareas, pero no faltan quienes aprovechan estas funciones para ejecutar código mal intencionado en nuestros ordenadores y así obtener acceso, robar información, etc.

scripts*: Un Script es un archivo de texto que contiene una secuencia de comandos a ser ejecutados por un ordenador. Los hay de distintos tipos. Por ejemplo: JavaScript, PowerShell, VBScript.

Cuando estos son utilizados con intensiones fraudulentas pueden servir de medio para infectar nuestros ordenadores con distintas amenazas:

  • Virus informáticos.
  • Troyanos o “trojan horses”.
  • Grabado de teclas pulsadas o “keystroke loggers” o “key loggers”.
  • Archivos de registro de información o rastreo “cookies”.
  • Programas espía de transmisión “spyware”.
  • Programas de llamamiento de anuncios “adware”.
  • Ransomware

2. Phishing

Es común que, sin pensar el alcance, compartamos información en redes sociales del tipo: para qué empresa trabajamos, qué tipo de trabajo tenemos, quienes son los clientes, tipo de tecnología utilizada. Incluso muchos suben fotografías del trabajo sintiéndose orgullosos, ¿quién no lo estaría? Y esto no está mal, es una forma de mostrar nuestras capacidades, de conectarnos, darnos a conocer. Pero debemos ser conscientes que este es un punto de entrada para quien quiera hacernos caer en el error de abrir un documento supuestamente importante, pinchar en un enlace de un supuesto proveedor, transportista, etc.

¿Quién no ha recibido un sms en su móvil informando que no han podido entregar el paquete porque faltan datos de su dirección? Sí, cuidado porque este tipo de phishing* está muy de moda.

phishing*: técnica de ingeniería social que consiste en el envío de correos electrónicos, sms que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario.

Cuando recibimos este tipo de comunicación, siempre que sospechemos del remitente o no, debemos evitar abrir documentos adjuntos, clicar en los enlaces, o responder con información sensible.

Chequea siempre cosas como:

  • la forma de expresarse de nuestro colega,
  • el tipo de archivo que ha enviado,
  • el día que realiza el envío,
  • pregúntate: ¿porqué envía un enlace cuando nunca lo hace?,
  • corrobora que la cuenta de email sea la correcta. Por ejemplo, podemos encontrar cosas como @ggmail.com, @corrreos.com, @Fasebook.com (sí podemos encontrarlo).

También pude suceder que el email sea válido, debido a que el atacante pudo robar las credenciales del remitente, por eso es importante prestar atención a la manera de expresarse de nuestro colega.

3. Ejemplo de ataque malicioso

Para comprender mejor cómo funcionan estos tipos de ataques maliciosos plantearemos la siguiente situación.

En la empresa “X S.L.” el personal de administración recibe un reclamo a nombre de uno de sus clientes, en el correo envía una factura en formato de Microsoft Word. La persona a cargo en ese momento abre el email e inmediatamente intenta abrir el documento adjunto.

Nota: Word permite la ejecución de Macros, estos macros permiten ejecutar rutinas como cualquier script en nuestros ordenadores. Por omisión Word bloquea la ejecución de Macros para archivos de los cuales no somos propietarios. Pero, nos pregunta si queremos habilitar la ejecución de estos.

Continuando con el relato, el usuario preocupado por resolver el inconveniente de su cliente habilita la ejecución de Macro para poder ver la supuesta factura. A partir de ese momento se ejecutan las rutinas maliciosas dando lugar a una brecha de seguridad que puede afectar a toda la organización.

Esto permite al atacante:

  • Tomar control de nuestro ordenador,
  • Robar información,
  • Bloquear nuestro acceso al ordenador,
  • Intentar tener acceso a otros ordenadores de nuestra Red, servidores, propagando aún más su código malicioso y llegando a lo más profundo de nuestra organización.

Sus objetivos pueden ser variados:

  • Vender la información,
  • Obtener información para atacar otra institución,
  • Solicitar dinero para liberar nuestros datos,
  • Hacernos pasar un mal día,
  • etc

Entendamos los pasos de un ataque de este tipo.:

  1. Reconocimiento: En esta etapa el atacante investiga objetivos buscando vulnerabilidades, brechas de seguridad.
  2. Armamento: Con la información recogida prepara el malware y herramientas que van a utilizar contra su objetivo.
  3. Entrega: Proceso en el cual se infiltra en los sistemas llegando a los usuarios, puede hacer uso de emails, sms, en los cuales se envían los documentos maliciosos, explotando las vulnerabilidades del software y hardware.
  4. Explotación: En esta etapa se infiltran aún más en la red aprovechando las vulnerabilidades detectadas.
  5. Instalación: Ya con acceso a los ordenadores de la red, se inicia la instalación del malware y otras herramientas para poder tomar el control total y asegurar su comunicación con la red infiltrada.
  6. Mando y control: Haciendo uso del malware y las herramientas, aseguran su comunicación con la red infiltrada.
  7. Acciones sobre objetivos: Los objetivos pueden ser variados, pero con control total sobre la red infiltrada pueden realizar ataques a otras empresas, ataques de DDoS, encriptar los discos duros y solicitar rescate, etc.

4. ¿Cómo prevenir los ataques maliciosos?

Cómo ya vimos desde la recepción de un simple email o sms podemos comprometer no solo nuestro ordenador si no todo dispositivo conectado a nuestra red. Comprendiendo los pasos anteriormente mencionados podemos tomar algunas medidas de prevención y mitigación de daños.

  1. Capacitar a los miembros de nuestra organización, explicar lo que puede causar la apertura de un simple archivo o enlace. Tomarnos un momento en analizar la comunicación recibida, emails del emisor, tipo de documento, lenguaje utilizado, etc.
  2. Endurecer las políticas de seguridad en los ordenadores, por ejemplo

    a. No permitir la ejecución de MACROS para archivos de los cuales no somos propietarios.

    b. No permitir la ejecución de scripts de PowerShell sin firmar por entidades de confianza.

  3. Implementar herramientas de seguridad en servidores de Email, anti-spam, etc.
  4. Implementar Firewalls de tercera generación (NGFW) los cuales también ayudan a tomar acciones contra el paso 7, analizando el tráfico y bloqueando los paquetes peligrosos.
  5. El uso de passwords fuertes y de doble factor de autenticación ayudan a mitigar el impacto.
  6. Lista blanca de Aplicaciones, permitiendo solo instalar aquellas aplicaciones requeridas para realizar las tareas de la organización.
  7. Uso de Anti-Malware, estos pueden usarse en combinación con antivirus. Analizan el comportamiento del tráfico y los procesos en ejecución, analizan sus firmas y pueden asistir con la remoción. Estos también ayudan a tomar acciones contra el paso 7.
  8. Mecanismos de filtrado Web, permitiendo filtrado dinámico de sitios maliciosos.
  9. IPS de nueva generación, estos permiten analizar el tráfico de nuestra red y detectar las posibles comunicaciones maliciosas.
  10. End-Point Detección y respuesta (EDR), Estos permiten detectar posibles amenazas en accesos no autorizados a servicios (end-points) inusuales.
  11. Segmentación de la Red, permitiendo dividir la red según los servicios que esta deba brindar y la información con la que debe operar. Disminuyendo el acceso a datos sensibles y el acceso cruzado.
  12. Administrar la configuración de los equipos (Hardware) manteniendo debidamente actualizados los sistemas disminuyendo las vulnerabilidades conocidas. Monitorear los cambios en el hardware para detectar cualquier configuración que se vea vulnerada.
  13. Una buena política de Backups para disminuir las posibles pérdidas causadas.
Todas estas herramientas, algunas de hardware y otras de software, la organización de la información y, principalmente, la capacitación de todo el personal; ayudan a mitigar el impacto de una posible intrusión.

Si analizamos las medidas de seguridad propuestas, hay varias que podemos implementar con una baja inversión y, en lo personal, creo que es el primer paso que deberíamos tomar dentro de toda organización.

  • Capacitar al personal,
  • Endurecer las contraseñas, Uso de doble factor de autenticación,
  • Crear VPNs para segmentar la red y el acceso a los servicios e información,
  • Endurecer las políticas de los servicios de Email
    1. Anti-Spam,
    2. Anti-Phishing
  • Mantener tanto Software y Firmware de nuestro hardware actualizado,
  • Implementar una política de Backups,
  • Eliminar los servicios de que no se utilizan de nuestros dispositivos. Por ejemplo, si tenemos instalado el servicio de IIS y no se utiliza, deberíamos removerlo para evitar que una vulnerabilidad quede expuesta y sirva como punto de entrada para manos mal intencionadas.
  • Permitir solo la instalación de aplicaciones verificadas y necesarias para realizar las tareas de la organización.
  • Filtrado web, hoy podemos encontrar DNS seguros, Routers que implementan filtrado activo, evitando acceder accidentalmente a un enlace malicioso.

Espero que esta pequeña nota ayude a tomar conciencia del daño que un ataque cibernético puede causar a nuestra organización y de las medidas que podemos tomar para mitigar el mismo.

Photo Gustavo Padial
Gustavo E. Padial Odorico
Technical leader en Virtusway

Descubra cómo podemos ayudarle

Déjenos su solicitud, uno de nuestros comerciales lo contactará a la brevedad.