Cabecera blog ciberseguridad

10 consejos (indispensables) para levantar un muro de ciberdefensas

Levantar un muro de ciberdefensas exige contar con profesionales cualificados

El equipo de Ciberseguridad de Tarlogic elabora un manual básico para crear una estructura de ciberdefensas mínima: limitar la exposición de servicios a Internet, doble autenticación, revisiones de seguridad, actualizaciones de software…

En el mundo de la ciberseguridad, el cuento de Caperucita Roja bien podría ser un libro de cabecera para hacer divulgación. Uno en el que el papel de inocente niña lo protagonizan las miles y miles de empresas que cada día se juegan el tipo en la Red sin apenas ciberdefensas y sin valorar adecuadamente lo mucho que se juegan. Y en el que el Lobo lo encarnan las incontables amenazas que orbitan por Internet: ransomware, malware, phishing, ataques de fuerza bruta

La moraleja del cuento es, seguramente, la mejor descripción del escenario al que se enfrentan empresas e instituciones, ciudadanos anónimos y entidades de todo tipo: desconfía. El malo puede estar en cualquier esquina.

Sí, la inquietante cama de la abuelita podría esconderse incluso en cualquier rincón de la empresa. Aparentemente inocente. Implacablemente feroz.

Es seguramente por eso que desde hace años las instituciones gubernamentales, y las empresas de ciberseguridad como Tarlogic, llevan alertando de la necesidad de armarse. De protegerse para contener unas amenazas que no paran de crecer.

Solo un dato. Según la Interpol, en el primer cuatrimestre del 2020 uno de sus proveedores detectó circulando por la Red 907.000 correos basura, 737 incidentes de tipo malware y 48.000 urls maliciosas. Y eso solo es lo detectado por un operador.

A la vista de todo ello, el equipo de Ciberseguridad de Tarlogic ha elaborado un sencillo manual para levantar un muro de ciberdefensas. Una estructura diseñada con algunos protocolos y actuaciones básicas para proteger cualquier clase de negocio.

Son 10 consejos que ayudarán a su empresa a minimizar daños y a ponérselo más difícil a los actores hostiles.

Vayamos al grano…

1 – Segundo factor de autenticación

Utilizar un segundo factor de autenticación evita de forma exponencial el robo de contraseñas y el acceso a aplicaciones corporativas. Ninguna seguramente tan transversal como el servicio de correo electrónico.
Aplicaciones como Google Authenticator, FortiToken, Yandex, o FreeOTP, por citar solo algunas, le ahorrarán muchos quebraderos de cabeza.

Cualquier herramienta 2FA le permitirá, por ejemplo, contener los riesgos derivados de contraseñas tan ridículas como la muy extendida 123456. El password más extendido del mundo, de acuerdo con multitud de informes.

Una contraseña que es poco menos que un caramelo para cualquier ataque de fuerza bruta.

Perder el control del mail, o de un acceso VPN a la red de la empresa porque alguien ha robado o adivinado tu contraseña puede desatar una tormenta al proporcionar a los actores hostiles información crítica sobre la operativa de la compañía.

Quién sabe incluso si una puerta de entrada a los sistemas de la misma, el primer paso para propagar un ataque de ransom.

Ya sea para el acceso al correo electrónico, a la VPN o a tu cuenta de fornite y redes sociales, usa siempre segundo factor (2FA) en tu vida personal y profesional. Te ahorrarás muchos disgustos.

2- Web application firewall

Cualquier empresa que quiera optimizar sus ciberdefensas debería contar hoy con esta herramienta. Ayuda a mitigar ataques de denegación de servicio al tiempo que habilita firewalls para bloquear eventuales ataques de los que pueda ser objeto su web, una plataforma móvil o una API.

Un web application firewall generalista como Cloudflare, o soluciones WAF a medida en entornos gestionados como los de SysAdminOK habilitan una protección 24/7 contra ciberataques sin ralentizar el sitio web, una prioridad para los gestores de los dominios.

La irrupción imparable del comercio electrónico y la proliferación de servicios cloud obligan a las empresas a cuidar sus plataformas web, convertidas hoy en muchos casos en generadoras críticas de negocio.

Por establecer una analogía, proteger una web o una app es ya casi tanto para miles de empresas como proteger la fábrica que produce sus bienes.
Y a nadie se le ocurriría dejar la fábrica de noche sin vigilancia y con las puertas abiertas de par en par, ¿verdad?

Un WAF no evita realizar periódicamente auditorías de seguridad web, pero reduce de forma considerable el número de ataques exitosos.

3- Reglas de firewall, el filtro digital

La seguridad perimetral es ya un mandamiento a la hora de crear ciberdefensas. Y pocas ayudas son tan eficaces en este ámbito como las reglas de firewall, una solución que permite limitar la exposición de servicios a Internet.

De nuevo, un ejemplo quizás sea lo más ilustrativo. No son pocas las firmas que cuentan, además de con una web convencional, con un servidor expuesto a Internet que ofrece servicios de valor para sus actividades.

Pues bien, las reglas de firewall limitan el acceso a esa infraestructura solo a las aplicaciones que se deseen, y no al conjunto de actores que circulan por Internet. Esta herramienta se convierte así en una suerte de cortafuegos que minimiza daños, un filtro de mucho valor cuando se trata de estos servicios.

Limitar con un firewall las conexiones entrantes a las máquinas accesibles desde internet y a servidores de la DMZ es importante, pero también lo es limitar que estas máquinas se puedan conectar libremente a Internet.

De lo contrario, seguro que los malos lo aprovechan para sacar información de la empresa desde ahí.

4- Actualizando, que es gerundio

Es una norma básica, elemental, pero no siempre respetada a nivel empresarial. Óscar Mallo, CyberSecurity advisor de Tarlogic Security, insiste en que es vital mantener actualizado todo software con el que se trabaje, pero muy especialmente todo aquel que tenga visibilidad en Internet.

«No hacerlo te expone a posibles ataques con vulnerabilidades conocidas», advierte. Y es que los proveedores de software no solo realizan actualizaciones de forma periódica para mejorar sus servicios, sino sobre todo para optimizar la seguridad de sus programas y evitar incidencias digitales.

Mantener una política estricta en este campo aisla a la marca de problemas ya localizados y mentaliza a las plantillas de la necesidad de proteger sus equipos.

Una cuestión esta, la de la sensibilidad de los empleados, que no es una variable menor en esto de la ciberseguridad.

En el mercado es posible encontrar productos que detectan versiones de software obsoletas y por tanto vulnerables. Desde soluciones como Tenable Nessus para realizar una auditoría de seguridad de sistemas internos y expuestos a Internet, a otras orientadas a actualizar el software de PCs de usuarios como Microsoft SCCM o Patch my pc.

En la misma línea, es altamente recomendable garantizar las actualizaciones automáticas de las estaciones de trabajo de cada empleado mediante políticas de grupo.

Adicionalmente si existen desarrollos de aplicativos propios de la organización sería conveniente trabajar con herramientas como Snyk para identificar vulnerabilidades en el código o componentes integrados que puedan estar desactualizados.

5- SPF, DKIM y DMARC, la Santísima Trinidad del mail

Vaya por delante un dato. El correo electrónico es la principal fuente de problemas de ciberseguridad a nivel mundial. Se calcula que un 82 % de los ciberataques que se detectan tienen su origen en un mail malicioso.

Sentada esta base, parece razonable concluir que todo lo que hagamos por el servicio de correo electrónico es poco menos que prioritario. SPF, DKIM y DMARC son protocolos de autenticación de gran ayuda para evitar la suplantación de identidad, y por tanto fraudes como el phishing.

  • SPF (Sender Policy Framework) es una protección de correo que ayuda a evitar la recepción de correos falsificados. SPF​ identifica quienes son los servidores de correo (SMTP) que están autorizados para enviar los correos electrónicos para un dominio.
  • DKIM (Domain Keys Identified Mail) complementa la protección anterior agregando una firma digital a cada correo para que se pueda garantizar que es legítimo y no ha sido manipulado.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) define cómo debe proceder el que reciba un correo que incumple las políticas SPF o DKIM, rechazandolos, poniéndolos en la carpeta de correo basura, o aceptándolo.

Lo ocurrido con el caso de la farmacéutica gallega Zendal hace solo unos meses da buena cuenta de la importancia de incorporar estos protocolos a la línea de ciberdefensas de cualquier compañía.

La firma sufrió el conocido como fraude del CEO, y los actores hostiles lograron sustraer más de nueve millones de euros de los fondos de la empresa.

Más allá de las contribuciones en materia de suplantación, estos protocolos proporcionan mayor seguridad a los servidores de destino, lo que a la postre impide en muchos casos que los mails que enviamos acaben en la bandeja de spam.

6- Una red, muchas redes

La empresa de Carmen, una pequeña imprenta localizada en las afueras de Madrid, llevaba un tiempo con una buena racha. Trabajando mucho. Y ganando algo de dinero. Un escenario que saltó por los aires a comienzos de año, cuando un ataque de ransomware la obligó a pagar un rescate de 25.000 euros, algo así como el beneficio neto acumulado en el 2020.

Su caso, a pequeña escala, es solo uno de los muchos que ilustra la dimensión del fenómeno. La lista de rescates pagados en los últimos meses por estos ciberataques no deja lugar a dudas. Desde los 4 millones de Colonial a los 10 millones que le reclamaron a Garmin.

Los incidentes con ransom se han convertido en uno de los grandes protagonistas del mundo de la ciberseguridad de un tiempo a esta parte.

Contener estos ataques al cien por cien puede resultar casi imposible dada la intensidad con la que se comportan los grupos de ransom. Pero sí se pueden tomar algunas medidas. Por ejemplo, segmentar las redes internas de la compañía en distintas VLANs, desplegar máquinas de salto fortificada con un buen hardening que permitan acceder de un entorno a otro.

Una adecuada planificación a nivel de arquitectura de red contendrá la capacidad de los actores hostiles de propagar su ataque si logran penetrar en sus sistemas.

Segmentar las redes evitará que los malos transiten por su casa como por una autopista, secuestrando y encriptando datos. O lo que es lo mismo, robándole ante sus propias narices.

Puede que la inversión no sea barata. Pero compensa. Al fin y al cabo, se lo estará jugando todo.

7- Backup, o el que guarda siempre tiene

Que la información es poder ya pocos se atreven a discutirlo. Los datos son el petróleo de esta era y en cualquier empresa su control es decisivo para garantizar la viabilidad del negocio.

A la hora de crear ciberdefensas, así pues, disponer de una política de backup perfectamente organizada y estructurada puede convertirse en su tabla de salvación en episodios como los citados ataques con ransom.

En síntesis, salve su información para salvar su negocio.

Pero de nuevo, no todo vale. Lo explica con detalle Óscar Mallo: «Si una empresa hace uso de proveedores externos o de un servicio en la nube (una opción cada vez más extendida), asegúrese de que cuenta con un cifrado de información adecuado».

En algunos casos, se recomienda incluso recurrir de forma periódica a soportes físicos, discos duros, por ejemplo, para contar con una última opción que salvaguarde las actividades de la compañía.

Hacer uso de sistemas de almacenamiento externo a largo plazo como Amazon Glacier, con un bajo coste por GB, configurados para que el usuario que realiza el backup no tenga permisos de borrado, son una buena alternativa para hacer backups y recuperarse ante un desastre.

Las empresas no se pueden permitir hoy renunciar a las ciberdefensas

8- Roles de usuario: cada uno, a lo suyo

Segmentar los roles de usuario es otra de esas decisiones que va a ayudar a la empresa a crear una estrategia de ciberdefensa. Permitir que todos los empleados se conviertan en los administradores locales de sus equipos es algo así como dispararse en un pie.

Si cuentan con estos permisos, podrían instalar sin querer un programa malicioso de los miles y miles que circulan por la Red.

Tenga presente además que, al estar conectado a sus sistemas, ese código acabará propagándose por todos los equipos sin solución de continuidad. Extendiendo así el problema al conjunto de la organización.

Las empresas deben limitar la capacidad de sus trabajadores de manipular sus equipos. Solo así minimizará las amenazas que proceden del universo digital.

9- Sin software [malicioso] hay paraíso…

Aplicar algo tan sencillo como las políticas de restricción de software le ahorrará muchos sustos. Bloquear la capacidad de un empleado de ejecutar cualquier archivo .exe le impedirá propagar por la empresa los múltiples códigos maliciosos que viajan por Internet vestidos de programas legítimos.

La solución de AppLocker es una herramienta muy útil en este caso para las plataformas de Windows.

Este no es un consejo menor. Los anteriores tampoco, vaya por delante.
Los programas de intercambio de archivos como Ares, BitTorrent, Vuze o el viejo eMule han familiarizado a millones de usuarios con la instalación de programas con todo tipo de regalos (adware, Malware, ..) en sus ordenadores.

Permitir que ese hábito cotidiano se traslade a sus empresas es un error.

Crítico seguramente. Porque cualquier programa ajeno a su supervisión puede convertirse en el germen del caos.

10- Ciao a las macros de los documentos de Office

Es uno de los puntos críticos de infecciones a nivel de empresa. Y por tanto alude al último, pero en ningún caso el menos importante, de los consejos que proponemos desde Tarlogic: deshabilite las macros de los documentos de Office. Le economizará muchos disgustos.

El Incibe ha alertado en varias ocasiones sobre este particular. Una de las últimas, al hilo de la propagación de un virus tipo Crypt0l0ker que se expande a través de correos electrónicos con apariencia legítima.

El mail invita al receptor a abrir un fichero adjunto autoejecutable que infecta los ordenadores a través de las macros de Office. Al hacerlo, se libera un ransomware que encripta los ficheros del usuario. Y, cómo no, reclama un rescate a cambio de devolverlos a su legítimo propietario.

Así que ya lo ven, deshabilitar las macros puede ser extremadamente útil para dar un esquinazo a los actores hostiles.

Y por último… Al César lo que es del César

Nos dejamos muchas cosas en esta ecuación, cifrar la información, contraseñas, antivirus de nueva generación (EDR/XDR)… así que el último consejo de este manual básico es en realidad una enmienda a la totalidad.

La ciberseguridad se ha convertido en una disciplina estratégica a las puertas de lo que se ha bautizado como cuarta revolución industrial.

Contar con los servicios de una empresa de ciberseguridad parece por tanto una obligación más que un ejercicio de voluntarismo.

Servicios como los de pentesting o hardening, las auditorías de seguridad web y el control de vulnerabilidades son ya aliados estratégicos para cualquier compañía que quiera proteger su negocio. Y qué decir de los servicios ofensivos de red team o defensivos de blue team y threat hunting

Las empresas del presente han de procurarse un proveedor solvente e innovador si quieren pensar en el futuro.

Los servicios de ciberseguridad no pueden esperar. Recuerde, los malos no descansan.

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/

En TarlogicTeo y en TarlogicMadrid.