Hemos escuchado refranes como “Todo equipo es tan fuerte como su miembro más débil”, “todo sistema es tan rápido como su componente más lento”. Aplica de igual forma cuando hablamos de ciberseguridad
“Una organización es tan segura, como su sistema más vulnerable”
Y es aquí donde los encargados de la ciberseguridad, los responsables por la información del negocio deben detenerse a pensar sobre las siguientes interrogantes:
¿Qué enfoque debo usar para proteger mi organización?
¿Cuál es la mejor estrategia para asegurar mis activos?
¿Por dónde debo empezar?
¿Estoy realmente protegido? ¿a qué nivel?
No es fácil dar respuestas a todas estas interrogantes, pero si hay guías que pueden ayudar y sirven de apoyo para minimizar el riesgo de ataques a la infraestructura.
¿Por qué fue exitoso el ataque a Dyn?
Dyn estaba preparada ante ataques DDoS, desviar y contener este tipo de ataques, sin embargo, no fueron solo computadoras las que perpetraron esta operación, en su mayoría el flujo de querys provino de cámaras web, asistentes del hogar, sensores ambientales y muchas otras herramientas de la cotidianidad que requieren conexión a Internet, es decir, Internet de las Cosas (IoT, en inglés). Se estima que la cifra de dispositivos que participaron en el incidente fue de decenas de millones de IPs, un ataque verdaderamente masivo que afectó los DNS de Dyn por alrededor de 10 horas; ahora bien, para lograr controlar esta cantidad de equipos se usó el virus Mirai, este virus infecta dispositivos de IoT, usando al rededor de 60 passwords que por defecto que usan los fabricantes de estos equipos convirtiéndolos en zombis para ejecutar ataques masivos contra uno o varios objetivos.
¿Qué pasa después del ataque?
Las empresas y sus colaboradoras toman conciencia luego que las cosas ocurren, la botnet Mirai aún está disponible para ser rentada en la DeepWeb y apuntar sus dispositivos zombis a cualquier objetivo, la amenaza sigue latente y cualquiera puede ser la victima.
Hablando de configuraciones por defecto, en otro caso, identificamos como dos equipos de una empresa que hace outsourcing a un Banco, habian sido infectados por una botnet cuyo objetivo es robar información, dichos equipos por no ser criticos para la organización ni contar con buenas politicas para equipos de tercero estaban en un sótano y conectados a Internet fuera de cualquier norma o revisión de vulnerabilidades; estos equipos comenzaron a extraer información del Banco, quedando de nuevo en evidencia que si bien esta empresa tiene fuertes controles sobre sus equipos críticos no era así para los PCs de terceros, recepción y vigilancia entre otros, reduciendo la seguridad de la organización a la vulnerabilidad de estos dos PCs, volvemos: Una organización es tan segura como su sistema más vulnerables.
¿Qué debemos hacer?
En primer lugar, como usuarios debemos garantizar que nuestros dispositivos IoT, no posean la configuración por defecto, por lo menos debemos cambiar la contraseña por una contraseña robusta. En segundo lugar, para las empresas, incorporar en su plan estratégico iniciativas para hacer frente a ataques de Denegación de Servicio Distribuido (DDoS), tercero, dar mayor impulso a sus procesos de Gestión de Vulnerabilidades e involucrar a los líderes de la organización en la revisión de los entregables de este proceso identificando los eslabones débiles, cuarto, crear una línea base de configuración para cualquier equipo de la red y por último y no menos importante, la conciencia, establecer talleres de conciencia a las personas involucradas en los procesos de soporte técnico y configuración de equipos para que sean estos los primeros garantes en cumplir con las líneas base de configuración.
En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades que es uno de los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.
Jesús Dubront, CISM
Director
ADV Integradores y consultores
jesus.dubront@adv-ic.com | @jdubront | www.adv-ic.com | @adv_ic | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores
Blog Ciberseguridad ADV integradores y consultores 