Hola amigos,
Hoy, aprovechando que se "celebra" el Día Internacional de la Seguridad Informática, quería aprovechar para dejaros un poco más de información acerca de las distintas amenazas que hay por la red y unos consejos a seguir en caso de que nuestra empresa caiga en un ataque desde el exterior, en relación a los ataques de 'malware'.
Antes de empezar, quería recordaros que ya hice una pequeña entrada con consejos en caso de que alguien consiguiera tener acceso a nuestras cuentas de correo electrónico o redes sociales. Podéis ver esta información a través del siguiente link. (Me han hackeado... ¿Qué puedo hacer?).
Esta entrada viene motivada por un artículo que me ha llamado la atención, y que deja el estado de la Seguridad Informática en niveles muy bajos (sobre todo en lo referido al mundo de las PYMES y autónomos). Con esto no pretendo que os pongáis a comprar cosas y a montaros un 'búnker' en vuestra empresa, pero sí que creo que es conveniente que conozcáis los peligros de la red, y cómo actuar en caso de que alguno de estos males impacte en la empresa.
Hoy, aprovechando que se "celebra" el Día Internacional de la Seguridad Informática, quería aprovechar para dejaros un poco más de información acerca de las distintas amenazas que hay por la red y unos consejos a seguir en caso de que nuestra empresa caiga en un ataque desde el exterior, en relación a los ataques de 'malware'.
Antes de empezar, quería recordaros que ya hice una pequeña entrada con consejos en caso de que alguien consiguiera tener acceso a nuestras cuentas de correo electrónico o redes sociales. Podéis ver esta información a través del siguiente link. (Me han hackeado... ¿Qué puedo hacer?).
Esta entrada viene motivada por un artículo que me ha llamado la atención, y que deja el estado de la Seguridad Informática en niveles muy bajos (sobre todo en lo referido al mundo de las PYMES y autónomos). Con esto no pretendo que os pongáis a comprar cosas y a montaros un 'búnker' en vuestra empresa, pero sí que creo que es conveniente que conozcáis los peligros de la red, y cómo actuar en caso de que alguno de estos males impacte en la empresa.
El caso es que, según los entendidos en la materia, más del 90% de las empresas españolas sufre, o ha sufrido, ataques en sus sistemas con malware (virus, troyanos, etc...) u otro tipo de ataques (botnets, denegación de servicios,...). Por lo tanto, he pensado que la mejor manera de empezar con esto, es explicándoos, en términos generales, qué amenazas hay ahí fuera. Probablemente no llegue a captar todas las variantes o tipologías de amenazas, pero imagino que podría ayudaros a cumplir con las pequeños pasos a seguir que os dejaré al final de esta entrada.
Para los fines de esta entrada, y siguiendo las pautas de la empresa ESET en su reciente guía, el impacto del malware ha aumentado recientemente debido a tres variables fundamentales: la cantidad, la complejidad y la diversidad:
|
Estos factores aumentan exponencialmente la aparición de las amenazas, además del impacto que tienen sobre nuestras vidas o la operativa diaria de nuestro negocio. Tened en cuenta que este tipo de cosas pasa en todos lados, no penséis que por ser una empresa pequeña vais a estar al margen de estas amenazas. Es triste, ¡pero cierto!
DIcho esto, también es conveniente enseñaros un pequeño listado de los tipos de 'malware' más comunes, de cara a que conozcáis un poquito más de este mundo de amenazas cibernéticas.
La propia palabra 'malware' es una contracción de 'malicious software', que se traduce en software malicioso que es, en esencia, lo que es un virus. Sin embargo, ¿sabéis qué tipos de 'malware' son los más comunes?
- Virus: quizás el tipo más conocido y, sin embargo curiosamente, hoy en día es uno los tipos de 'malware' menos comunes. Un virus informático funciona de manera similar que un virus biológico, ya que se trata de un "organismo" que se replica dentro de un huésped. En términos informáticos, es lo que se produce cuando descargamos un fichero que tiende a infectar y replicarse/copiarse por nuestro dispositivo.
- Troyanos: Apología al caballo de la famosa historia de Troya. Es un fichero que aparentemente es benévolo o inofensivo, pero que en realidad realiza acciones sin el consentimiento (o sin el conocimiento) del usuario. Una derivada de este tipo de 'malware' son los 'RATs' (Remote Access Trojans) que son los troyanos que permiten el acceso a nuestro ordenador desde lugares remotos.
- Spyware: Programas que se encargan de recoger datos de las actividades o datos personales de los usuarios, para enviárselos a un delincuente que explotará dichos datos para su beneficio.
- Denegación de Servicio (DoS): Este tipo de ataques ya lo comenté en mi entrada donde explico lo ocurrido a la empresa ProtonMail.
- Spam: Se trata del envío de correos masivos no deseados. Estos correos habitualmente se utilizan para redirigir a páginas maliciosas que infectan nuestros equipos con 'malware' de los otros tipos que menciono en esta lista.
- Botnets: son redes de equipos infectados que se utilizan para hacer ataques de Denegación de Servicio, enviar spam o simplemente atacar de manera masiva a cualquier persona o empresa.
- Ransomware: un tipo muy común recientemente en España. Es un tipo de ataque que cifra el contenido del ordenador, impidiendo que accedamos a los datos. Habitualmente, para este tipo de ataques, se pide un dinero de rescate ('Ransom' en inglés) para descifrar los datos. Sin embargo, hay muchos casos reportados en los que los delincuentes se quedan el dinero y no descifran la información (además de volver a cifrarlo 'a posteriori').
Existen otros muchos tipos de amenaza, pero creo que estos son suficientes para empezar.
Ahora que ya conocemos un poco más estas amenazas del siglo XXI, os dejo una serie de pautas a seguir una vez que nuestra empresa (o ordenador personal) acaba siendo víctima de estos ataques:
1. Identificar el problema: Saber qué nos ha infectado ayudará a saber cuáles son los pasos a seguir para lograr la desinfección y protección de nuestros sistemas. En algunos casos, no es posible identificar la infección de primeras, pero puede manifestarse de varias formas: ya sea un usuario que reporta que su ordenador tarda un tiempo excesivo en trabajar, ficheros que aparecen 'de repente' en el escritorio o páginas de internet que se abren sin que el usuario haga nada. En otros casos, como es el caso del 'ransomware', los atacantes quieren dejar evidente que has sido infectado para coaccionarte.
2. Determinar el alcance de la infección: Sabiendo cuántos dispositivos han sido infectados ayuda enormemente a detallar en más medida qué acciones a tomar, además de poder poner esos dispositivos en 'cuarentena' hasta la desinfección. Identificando qué ha sido afectado también podemos determinar qué información ha sido impactada: información sensible, confidencial de la empresa, datos personales de clientes,...
3. La continuidad del negocio es prioritaria: Tras saber si los equipos infectados son críticos o no, o la información que se ha podido ver comprometida, mantener el funcionamiento de las áreas críticas de la empresa será una de las prioridades (suponiendo que esto sea posible). En términos tecnológicos, la disponibilidad es uno de los pilares fundamentales que sustentan el funcionamiento de un negocio. Si los equipos críticos han sido impactados, deberán ser los primeros en volver a poner en funcionamiento. Estos aspectos suelen cubrirse en los Planes de Continuidad de Negocio (BCP, por sus siglas en inglés), donde se describen los pasos a seguir en diferentes escenarios de riesgo.
4. Contener la infección: Tras haber puesto los equipos en cuarentena, lo siguiente será trabajar en la identificación de los problemas creados por las amenazas. De esta manera, será más fácil permitir a los equipos aislados a que vuelvan al funcionamiento de la compañía, evitando que se extienda la infección de nuevo.
5. Eliminar la infección: Una vez que ya hemos detectado el problema, y hemos cubierto todos los "síntomas" ocurridos por ello, el siguiente paso será trabajar en la eliminación efectiva del problema. Llegados a este punto, es habitual poner medidas de seguridad adicionales sobre estos dispositivos: reglas en el cortafuego, instalar mecanismos de detección y prevención de intrusiones, etc.
6. Documentación de los hechos: Aunque es algo que se debería hacer durante todo el proceso, es conveniente documentar todo aquello que se detecte durante el proceso de desinfección. De esta manera, será más fácil determinar si la infección se debe a un ataque dirigido, a un descuido de un empleado, a un fichero recibido por un cliente que también está infectado, o cualquier otro motivo. Esto te ayuda a determinar los siguientes pasos a seguir. Por ejemplo, si se descubre que es un ataque dirigido, es razonable pensar que puede volver a ocurrir pronto.
7. Recuperar el 'Business As Usual': En otras palabras, lo que se intenta es retomar las actividades normales de negocio una vez que la amenaza ha sido contrarrestada y se han tomado las medidas para reducir el impacto o la probabilidad de que estos ataques se produzcan.
8. Finalmente, aunque relacionado con la documentación, es importante registrar las lecciones aprendidas. Es un buen momento para dejar por escrito los pasos seguidos, los pasos que podían haberse seguido mejor, las vías de comunicación más efectivas, etc. Aprovecha esta incidencia ya resuelta para tomarlo como una lección de aprendizaje, así como para mejorar los procesos de tu compañía. Probablemente, una vez que el problema ya ha pasado, ya puedes ser consciente de lo que puede ocurrir si no se actúa ante este tipo de cosas.
1. Identificar el problema: Saber qué nos ha infectado ayudará a saber cuáles son los pasos a seguir para lograr la desinfección y protección de nuestros sistemas. En algunos casos, no es posible identificar la infección de primeras, pero puede manifestarse de varias formas: ya sea un usuario que reporta que su ordenador tarda un tiempo excesivo en trabajar, ficheros que aparecen 'de repente' en el escritorio o páginas de internet que se abren sin que el usuario haga nada. En otros casos, como es el caso del 'ransomware', los atacantes quieren dejar evidente que has sido infectado para coaccionarte.
2. Determinar el alcance de la infección: Sabiendo cuántos dispositivos han sido infectados ayuda enormemente a detallar en más medida qué acciones a tomar, además de poder poner esos dispositivos en 'cuarentena' hasta la desinfección. Identificando qué ha sido afectado también podemos determinar qué información ha sido impactada: información sensible, confidencial de la empresa, datos personales de clientes,...
3. La continuidad del negocio es prioritaria: Tras saber si los equipos infectados son críticos o no, o la información que se ha podido ver comprometida, mantener el funcionamiento de las áreas críticas de la empresa será una de las prioridades (suponiendo que esto sea posible). En términos tecnológicos, la disponibilidad es uno de los pilares fundamentales que sustentan el funcionamiento de un negocio. Si los equipos críticos han sido impactados, deberán ser los primeros en volver a poner en funcionamiento. Estos aspectos suelen cubrirse en los Planes de Continuidad de Negocio (BCP, por sus siglas en inglés), donde se describen los pasos a seguir en diferentes escenarios de riesgo.
4. Contener la infección: Tras haber puesto los equipos en cuarentena, lo siguiente será trabajar en la identificación de los problemas creados por las amenazas. De esta manera, será más fácil permitir a los equipos aislados a que vuelvan al funcionamiento de la compañía, evitando que se extienda la infección de nuevo.
5. Eliminar la infección: Una vez que ya hemos detectado el problema, y hemos cubierto todos los "síntomas" ocurridos por ello, el siguiente paso será trabajar en la eliminación efectiva del problema. Llegados a este punto, es habitual poner medidas de seguridad adicionales sobre estos dispositivos: reglas en el cortafuego, instalar mecanismos de detección y prevención de intrusiones, etc.
6. Documentación de los hechos: Aunque es algo que se debería hacer durante todo el proceso, es conveniente documentar todo aquello que se detecte durante el proceso de desinfección. De esta manera, será más fácil determinar si la infección se debe a un ataque dirigido, a un descuido de un empleado, a un fichero recibido por un cliente que también está infectado, o cualquier otro motivo. Esto te ayuda a determinar los siguientes pasos a seguir. Por ejemplo, si se descubre que es un ataque dirigido, es razonable pensar que puede volver a ocurrir pronto.
7. Recuperar el 'Business As Usual': En otras palabras, lo que se intenta es retomar las actividades normales de negocio una vez que la amenaza ha sido contrarrestada y se han tomado las medidas para reducir el impacto o la probabilidad de que estos ataques se produzcan.
8. Finalmente, aunque relacionado con la documentación, es importante registrar las lecciones aprendidas. Es un buen momento para dejar por escrito los pasos seguidos, los pasos que podían haberse seguido mejor, las vías de comunicación más efectivas, etc. Aprovecha esta incidencia ya resuelta para tomarlo como una lección de aprendizaje, así como para mejorar los procesos de tu compañía. Probablemente, una vez que el problema ya ha pasado, ya puedes ser consciente de lo que puede ocurrir si no se actúa ante este tipo de cosas.
Espero que esta mini-guía de pasos os pueda ayudar a no perder la calma en caso de desastre. Hay gente mala ahí fuera, pero eso no debe detener tu empresa para que siga creciendo tanto en el "mundo físico" como en el "mundo cibernético". Ha quedado muy 'Matrix' esa última frase, ¿no? Bueno, vosotros sabéis a qué me refiero. |
¡Muchas Gracias!
Fran Security
P.D: ¡No olvides seguirme en las redes sociales! En Facebook (Fran Security) o en Twitter (@FranSecurity) de momento.
También puedes escribir consejos, opiniones o inquietudes por email ([email protected])