Control de nuestra infraestructura ante el COVID-19
Estos días de pánico colectivo y ante algo nunca vivido, a las empresas, organizaciones, centros educativos, asociaciones… no les ha quedado otra alternativa que lidiar con la situación y, minuto a minuto, tomar medidas excepcionales, decisiones rápidas, soluciones de última hora.
La necesidad de mandar a los empleados a casa por motivos de salud premia, está claro. No obstante, hay que tener en cuenta que para mantener la continuidad de los servicios se han abierto y publicado múltiples infraestructuras. No hay que olvidarse que los criminales siguen activos, con más tiempo que nunca y ahora, tienen muchas más opciones.
De forma general hay una mayor exposición de infraestructuras y personas, repercutiendo en un riesgo mayor de ciberdelitos de cualquier índole.
Esta apertura generalizada se da en una situación no planificada, no evaluada antes, y que exige un sinfín de particularidades que es necesario configurar a la carrera, en marcos de tiempo muy reducidos, y sin tener una cobertura adecuada de eficiencia de la misma:
- número elevado de conexiones remotas
- necesidades de accesos a recursos internos, servidores, aplicaciones, etc.
- necesidades de continuación de servicios
La exigencia de montar estos accesos, de configurar las necesidades para que los empleados puedan continuar trabajando desde su domicilio, hace que en tiempo récord, se implementen configuraciones que no han sido probadas antes, lo que hace que, la principal preocupación ante el desconocimiento de todo sea la de que “el empleado pueda seguir trabajando”, “La formación de los alumnos debe continuar”, pasando a un segundo plano la seguridad de nuestra infraestructura, que lleva protegiéndose con mucha intensidad los últimos años.
Esta solución en muchos de los casos ha dado lugar a escenarios en los que se han abierto accesos incluso a equipos personales, equipos no controlados, sin activar una verificación a nivel de host (se desconoce si están actualizados, si tienen antivirus, si tienen medidas de seguridad, si previamente tienen algún tipo de malware instalado, etc.).
Se han abierto redes, sin una previa planificación de estas acciones o si se ha hecho en mínimas condiciones de forma general. Tampoco se han analizado los riegos, premiando sobre todo la continuidad de los servicios, surgiendo como dudas principales, si la VPN va a soportar el volumen de tráfico. Se han adoptado medidas que a priori pueden solventar esta situación. Todo esto se realiza con las herramientas de las que ya se dispone dado que no hay tiempo para comprar soluciones, implementar nuevos fabricantes, valorar otros servicios.
Con el fin de establecer un escenario para el usuario lo mas parecido posible a su entorno de trabajo habitual, una de las prácticas habituales ha resultado ser la de permitir por VPN el acceso por escritorio remoto a la estación de trabajo del trabajador o directamente publicar este acceso RDP en Internet (practica que se ha incrementado exponencialmente según los datos registrados en herramientas tipo Shodan).
Claro está, que la primera opción es una solución un poco más protegida, siempre y cuando la VPN cuente con un doble factor de autenticación. En caso negativo, y en el escenario de un equipo personal no controlado que pudiera estar comprometido o monitorizado por cibercriminales, daría el acceso directo a la red interna de la organización en el caso de verse comprometidas las credenciales de acceso a este servicio, y con este desmadre de conexiones remotas repentinas ¿Serán los equipos de monitorización capaces de identificar cuáles son las de los “cibercriminales”?, ¡un gran desafío!
En el segundo caso, el escritorio remoto directamente publicado en Internet (RDP), el servicio queda como punto de mira. Se ha comprobado que el volumen de accesos de este tipo publicados se ha incrementado exponencialmente durante estas semanas. Los escaneadores masivos no van a dejar de realizar pruebas de fuerza bruta de con credenciales típicas en estos servicios, y el acceso se dará si la combinación de estas fuera exitosa.
En este caso, también existe la posibilidad de que el equipo del propio empleado, se encuentre comprometido y en el caso de que sus credenciales fueran comprometidas, tendríamos la misma situación de posibles accesos ilegítimos a la infraestructura.
En cuanto a este servicio se refiere, no hay que olvidar la vulnerabilidad publicada en Mayo del año pasado “CVE-2019-0708” (Remote Desktop Services Remote Code Execution Vulnerability). Esta vulnerabilidad permite la ejecución de código remotamente en caso de ser explotada exitosamente y además está vinculada a múltiples versiones de ransomware.
Aunque parezca que es una vulnerabilidad antigua, a día de hoy existen muchos sistemas todavía afectados y la publicación de precisamente este servicio al exterior supone un riesgo que hay que tener en cuenta.
Por otro lado, y ya para terminar de reventar la bomba, hay que sumarle la falta de concienciación de los empleados, que si se tiene en cuenta el pánico de estos días y la inseguridad ante realizar unas labores cotidianas de trabajo en situaciones extraordinarias, hacen que prestemos menos atención a la seguridad, incrementando así el riesgo del “eslabón mas débil” ante un ciberataque, que a día de hoy es uno de los focos principales para la entrada en una infraestructura mediante técnicas de ingeniería social.
Es muy fácil realizar un seguimiento de las noticias publicadas para realizar un listado de las empresas que han implementado el teletrabajo. ¿Como de difícil sería hacer un listado de empleados, obtener sus direcciones de correo o sus teléfonos?, y cuantos empleados en una situación como esta, ¿terminaría instalando software en sus sistemas ante una llamada supuestamente del CAU? ¿y facilitando el doble factor de acceso a la VPN?o ¿Abriendo adjuntos de correo sin verificar el remitente?
Es muy importante estos días mantener un plan de seguridad de acuerdo a las medidas que se vayan implementando. Hay que verificar que tenemos los mecanismos de seguridad adecuados para exponer nuestros sistemas, nuestra infraestructura, y sobre todo dar unas pautas de actuación de los empleados para el teletrabajo, basada en las siguientes premisas principales:
No facilitar información confidencial por ninguna vía (correo electrónico, SMS, teléfono).
Verificar siempre la legitimidad de los remitentes de cualquier comunicación.
No descargar aplicaciones desde fuentes no oficiales
No difundir informacion no verificada.
Extremar las precauciones en la navegación en Internet en general.
No conectarse a redes inalámbricas abiertas.
Fortalecer la contraseña de la red inalámbrica del hogar con credenciales robustas.
Pero sobre todo, no nos dejemos llevar por el pánico, vamos a mantener la seguridad de nuestra infraestructura.