Medidas de seguridad contra el malware

8 junio 2017
Opinión
Josep Ma Solanes 0

Tras el toque de advertencia del malware WannaCry sobre nuestras instalaciones, ya es momento de haber analizado y poner las contramedidas de seguridad correspondientes para que algo parecido no vuelva a pasar. Sé que muchos de vosotros estuvisteis aplicando las actualizaciones a los sistemas de la manera que fuera para protegeros del él. Era la solución, sí. Se podía haber evitado, también.

WannaCry sacó a la luz un problema con el que siempre insisto mucho: las actualizaciones y los sistemas obsoletos. Y lo vuelvo a repetir:

Hoy día, para evitar problemas graves, es mucho más importante tener las actualizaciones del sistema operativo y aplicaciones al día, que no intentar cerrar los entornos y estar con los dedos cruzados para que no pase nada.

Incluso mucho más importante que tener un antivirus que funcione para detección de firmas. De acuerdo, ver que tenemos un antivirus instalado nos da una falsa sensación de seguridad, más allá de esto no hay nada más:

  • Los antivirus NO protegen de malware que explote vulnerabilidades de las aplicaciones o sistemas operativos.
  • Los antivirus NO protegen de ransomware que secuestre tus datos, lo pueden paliar evitando que te cifre todo el contenido, pero lo que se ha cifrado ya se ha cifrado.
  • Los antivirus NO pueden detectar todos los virus que se generan. A los cuatro días de aparecer el WannaCry se creía que ya existían unas 500 variantes diferentes del virus que los antivirus no detectaban.

Existen kits de herramientas que permiten que cualquier persona sin conocimientos pueda crear un virus, es tan sencillo como indicar que quieres explotar y que debe hacer el virus. Una vez programado el virus, se ofusca el código (vaya, que no lo conoce ni su madre). Preparado el archivo se lanza al mundo, y no sólo eso, sino que en cinco segundos se puede volver a ofuscar el código y volver a lanzar (ya tenemos otra variante) y así sucesivamente. Por mucha firma o patrón que intente encontrar dentro del código, sino es con un sistema de inteligencia artificial que analice el comportamiento de la aplicación, poco tengo que hacer para detectarlo. 

¿Como se infecta con un virus? Con la distribución del mismo y, actualmente, la mejor forma de hacerlo es por la ingeniería social: atacando directamente al punto más débil, el usuario. En esta lucha es muy importante su concienciación y formación en materia de ciberseguridad, al igual que lo es la prevención de riesgos laborales.  

Tenemos que dedicar esfuerzos y recursos a estos frentes: Sistemas operativos y aplicaciones actualizadas, menor superfície de ataque y concienciación y formación del usuario.

 

Sistemas operativos y aplicaciones actualizadas para evitar problemas de seguridad

Huelga decir que tenemos muchos administradores de sistemas y muchas empresas en que su premisa es que no se os ocurra aplicar actualizaciones. Chicos, mantened los sistemas así y veremos cuanto tiempo aguantan. Es momento de hacer inventario y definir una buena política de actualizaciones, al menos de los sistemas operativos, ya sea de clientes como de servidores; como también lo tendrían que ser los navegadores de Internet, los lectores PDF y las aplicaciones más críticas (para evitar ataques dirigidos) y conocidas.

Que no se os pase por la cabeza decir que con Apple, Linux, o cualquier otro esto no pasa… Más lejos de la realidad, pasa con TODOS, el campo de batalla es todo, no existe una burbuja que te proteja.

De hecho, a fecha de hoy, el sistema más vulnerable es el kernel de Linux, seguido del sistema operativo Apple Mac Os X. Vosotros mismos podéis echarle un vistazo al top 50 de la lista de vulnerabilidades publicadas.

Que la empresa que esté detrás solucione la vulnerabilidad, lo antes posible; que tu como administrador apliques la corrección, lo antes posible a todos tus sistemas; y que los malos de la película exploten esta vulnerabilidad; son demasiadas variables para que dependa el funcionamiento de tu sistema. Recorta eliminando o minimizando las que puedas.

Empieza por no utilizar sistemas operativos obsoletos y, si tiene que ser el caso porque de momento no hay ninguna otra alternativa, proteger los elementos débiles con todas las medidas correctoras adicionales posibles, como aislarlos de la red de VLANs y pasar todo el tráfico por el cortafuegos de última generación.

 

Menor superfície de ataque para aumentar la seguridad

¡Más no es mejor! si una cosa no la utilizas, NO la instales!!! Menos es más!!! Nada de aplicaciones y aplicacioncitas en los servidores!!! Los trabajos se hacen desde tu equipo de escritorio con privilegios de usuario (¿que no es administrador no?, ya que tienes otra cuenta para hacerlo). Nada de instalar todo el software o características en los servidores, sólo el que necesite para ejecutar la tarea concreta. ¿Por que un servidor web tiene que tener instalado y activado el servicio de archivos o las impresoras? ¿Que lo utilizará? No, pues se desinstala. No porque venga por defecto es bueno que esté activado. Aquí es donde el trabajo del administrador de sistemas sale a la luz, tienes que ser limpio, pulido y meticuloso.

¿Que no lo puedes controlar todo? Tranquilo, para eso hay, en las redes Windows Server con Active Directory las políticas de grupo, y/o la automatización mediante scripts y plantillas. No es casualidad que haya aparecido el concepto de DevOps en nuestras instalaciones. Son muchos parámetros que se tienen que tocar y controlar y, de memoria o manualmente, no se llega a todo. Automatiza TODO lo que puedas: instalaciones del sistema operativo, aplicar configuraciones, etc…

A fecha de hoy, ya hace casi un mes del ataque de Wannacry, en que todos corrieron a aplicar las actualizaciones en los sistemas. Ha pasado tiempo suficiente como para que nos hayamos relajado y otras cosas. ¿Cuántos de vosotros habéis formateado algún equipo del sistema? Habéis deshabilitado el protocolo SMB v1? Os habéis asegurado que se ha aplicado la corrección del SMB v1? Si la respuesta os la tenéis que pensar, vamos mal. Aplicamos la corrección puntualmente, pero la foto ya ha variado, por lo tanto, vuelves a ser vulnerable a lo mismo. Asegurad los sistemas para que NO tengáis que estar pensando en qué me he dejado si despliego o cambio equipos.

El sistema es tan seguro com lo es el punto más débil del mismo.

 

Formación al usuario en ciberseguridad

Queráis o no queráis, al final, el usuario tiene la última palabra, él es el desencadenante de las acciones. Como consecuencia, la clave de esta batalla es disponer de una buena política en ciberseguridad, donde todos (dirección, trabajadores, proveedores de servicios externos…) esté plenamente implicado, consciente y formado.

Pequeñas sesiones formativas, recordatorios constantes, implicación con lo que puede pasar, concienciación que ciertas acciones son perjudiciales no sólo para la empresa sino también para él. Abrir correos electrónicos que no tocan, acceder a páginas web de dudosa calidad, acceso a redes peligrosas (hoteles, aeropuertos, plazas de ciudades, redes de otros clientes…), conectar dispositivos a la red informática: USB que he encontrado por el suelo, teléfonos móviles o equipos particulares (o sin control), etc…

Sé que es muy difícil, lo vivo cada día en la propia piel, pero no podemos bajar la guardia en este aspecto clave. Lo más fácil son otros caminos, lo sé, pero no son tan efectivos como este punto.

 

Educación en ciberseguridad

La última reflexión que me ronda por la cabeza es la preocupación que tengo ahora mismo sobre nuestros niños, adolescentes y jóvenes. Y, en especial, nuestro sistema educativo. Sí, lo habéis leído bien. Si bien la hornada que sube son nativos digitales, nos hemos olvidado completamente de un aspecto fundamental, la educación digital.

Saben utilizar las aplicaciones, hacen cosas con ellas, pero la mayoría no saben el porque, simplemente funciona o han deducido que se hace así. Saltando un aspecto muy importante: la seguridad, o lo que es lo mismo, cuestionarse porque lo necesitan y cuál es su uso. Recientemente hemos tenido un símil muy bueno, las famosas preferentes de los bancos. La gente las contrataba sin saber qué eran ni qué hacían, simplemente les daban más rentabilidad hasta que… Puf, todos sabemos lo que pasó.

Al menos en mis tierras, por el motivo que sea y, sobre todo, en la etapa formativa inicial y secundaria, no se tiene en cuenta este aspecto, ofreciendo barra libre. Desde la utilización de sistemas de dudosa calidad y procedencia, aplicaciones que hoy existen y mañana no bloqueando o perdiendo el acceso a los datos, instalación de aplicaciones sin control en cualquier dispositivo, abrir conexiones desde el exterior a sistemas internos, poder conectarse a cualquier lugar porque sí, etc…

No es extraño pues, que cuando estas personas se incorporan al mundo de la empresa, choquen frontalmente en aspectos muy básicos como es la seguridad y funcionamiento de la misma, para hacer lo que simplemente han hecho toda su vida y nunca nadie les ha dicho lo contrario.

Alerta que no es un problema aislado de un sector, sino que es transversal a parte del incumplimiento sistemático de unas cuántas leyes que hemos tenido que crear para aplicar el sentido común. Personalmente lo he experimentado con:

  • Médicos colgando informes médicos confidenciales en Google Drive o GMail y, por si fuera poco, sin cifrar.
  • Ingenieros trabajando con proyectos de propiedad intelectual en el Dropbox gratuito, Megaupload; y sorpresa, después la competencia tiene el mismo prototipo.
  • Administrativos conectando el móvil particular al ordenador del trabajo, pasando malware al sistema informático corporativo y cifrándolo para pedir un rescate.
  • Gerentes conectándose a Wi-Fis públicas abiertas, introduciendo las credenciales de la Intranet de la empresa con un montón de advertencias de certificado no válido; para acabar detectando accesos desde todas las partes del mundo a la vez a la intranet.
  • Abogados, auditores de cuentas, trabajadores sociales, etc….

Y lo más fuerte para mi, los informáticos NO son una excepción!!!

  • Informáticos de sistemas que instalan aplicaciones en los servidores a raudales.
  • Programadores que utilizan frameworks y aplicaciones enlazadas la una con la otra hasta el infinito con origen desconocido.

La lista es inacabable….

Se tuvo que crear una ley que se llama LOPD, y otra que el día 1 de mayo de 2018 entra en vigor, el Reglamento General de Protección de Datos de la Unión Europea (RGPD para los amigos) que tanto nos lleva de cabeza a todos… Ignorantia juris non excusat, el desconocimiento de la ley no sirve de excusa. ¿Donde se dice esto? Aún no he conocido a nadie que cuando llega a la empresa sabe que esto existe y que es de obligado cumplimiento.

En definitiva no se ha inculcado una higiene digital, tal com se hace con otros aspectos de nuestro entorno (economía, medio ambiente, geografía, historia…) sino que se aprende al vuelo o se obvia. Y, por mucho que lo enseñes en casa, si en la escuela se obvia y/o no se le da la importancia que le corresponde, el niño, al ver que los otros no lo hacen, pasa a obviarlo completamente para no ser el «bicho raro», entrando en la misma rueda, llegado a la vida adulta encontrándolo lo más normal del mundo.

Considero que es un error, como tantos otros, que debe corregirse de inmediato en nuestro sistema educativo, al igual que hacen las empresas, incorporando la concienciación y formación en ciberseguridad que bastante falta les hace en un mundo cada vez más digital

 

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author: