Seguridad Informática. Sobre mitos y verdades…

El mundo fue asolado por el WannaCry, gusano que ataca una vulnerabilidad de Windows empleando un “exploit” denominado “EternalBlue”, supuestamente desarrollado por la NSA, agencia de seguridad nacional de USA y filtrado por un grupo de hackers. Su accionar es codificar criptográficamente la información y pedir un rescate a cambio de la clave (llamativamente, bajo por cierto, unos trescientos dólares).
De este ransomware del cual se ha hablado y escrito profusamente, desde diversas ópticas y entretejiendo todos los niveles de conspiraciones posibles, nos ha dejado algunas enseñanzas, que por lo imprecisas, no dejan de ser inquietantes:
La guerra por el control de la información y dispositivos conectados evidentemente existe.
La guerra psicológica mediática, se ha extendido al mundo virtual.
Es difícil diferenciar la realidad (y sus profundos motivos), de la fantasía que también tiene sus profundas motivaciones.
Lo que se ha dicho es novelesco y escapa a nuestra capacidad como detectives.
Accionar de países con potencial nuclear, agencias de inteligencia, vulnerabilidades usadas por agencias de seguridad para espiar a la gente… estupidez de grandes empresas que no se cuidaron de esta vulnerabilidad… todo es posible. Ante la incertidumbre, vamos a los hechos por nosotros constatados.
La tasa de incidencia de este Ransoware en nuestros clientes, en Argentina fue: 0%.
Repito, hablamos del universo acotado de nuestros clientes y en nuestra área. Esto no quiere decir que el ransomware no haya transitado por nuestro país y que no haya afectado a nadie. De hecho hubo muchas empresas afectadas en todo el mundo.
Por lo que comentaron expertos, el virus era poco avanzado, aunque llamaba la atención el buen diseño de su mecanismo de gusano.
Hace unos meses hubo una oleada de los ransomwares: Locky y Wallet. Esa vez circularon, sin repercusión en la prensa. Ambos virus piden rescate por algunos miles de dólares, a cambio de la clave para desencriptar la información.
En esos casos, el 20% de nuestros clientes fuero afectados en forma directa, con distintos grados de daño. Lógicamente, el daño dependía directamente del nivel de seguridad que disponían y casi siempre se requiere de la “complicidad inocente” de quien hace “click” donde no se debe.
Algún cliente estuvo al borde del colapso nervioso y quería pagar rescate, algo que recomendamos no hacer.
El ramsomware en todas sus formas EXISTE. Desconocemos quien lo genera y los verdaderos motivos que pueden estar detrás de cada ataque, pero existen.
Cada empresa Pyme de nuestro país, sufre un promedio de entre 400 y 600 ataques en el año. La mayoría ni se entera (cuando están protegidas). Estas son nuestras estadísticas.
Casi todos estos ataques son de tipo robótico. Son como ladrones oportunistas que pasan por la calle y observan la casa para ver si los dueños salieron, si la puerta está abierta, si la ventana está cerca del nivel de piso, si el fondo de la casa linda con un baldío… Buscan debilidades y muchos se basan en ingeniería social (cuento del tío) con mayor o menor grado de refinación para que algún incauto haga “click”.
¿Qué hacer?
Todo depende del presupuesto y del daño que nos pueden hacer. Mi tío cerrajero, sabía que el costo de la cerradura que alguien estaba dispuesto a comprar estaba en función de lo que tenía que proteger.
Hoy en día, perder información crítica y sufrir un daño en los sistemas, aunque no haya información especialmente valiosa para alguien, significa tiempo y el tiempo es dinero.
Es el tiempo que se detiene nuestra actividad, sumado al tiempo que tardamos en reconstruir la información, sumado al extra que tendremos que pagar por un servicio para reparar, restaurar y atemperar daños en una Pyme de 10 personas, que tenga que parar 5 días, algo mínimo si no está protegido y suponiendo que tiene respaldos de información no mayores a una semana, puede perder:
Sueldos ociosos: $ 70.000
Servicios Informáticos extras: $ 30.000
Pérdida de ventas dependerá del negocio… pero mínimamente las ventas deben cubrir los sueldos, así que de margen establecemos: $ 80.000
Hasta aquí: $ 180.000; sin contar daños a la imagen de la empresa.
Digamos que es un análisis mínimo y básico y va a depender de cada actividad en particular, pero son valores importantes. Digamos que ni siquiera imaginamos un gusano que sea capaz de robar sus claves bancarias…
La seguridad es un conjunto de elementos, acciones y procedimientos, que día a día se deben implementar, mantener y actualizar en toda red de datos.
Mínimamente esto implica:
Controlar el acceso a dispositivos críticos (remota, local o físicamente).
Disponer de Firewall y reglas generales de acceso.
Disponer de Proxy, a los efectos de controlar acceso a lugares no deseados.
Mantener todo el software y sistemas actualizados. Dejar de usar software discontinuado.
Disponer de una estructura de redes virtuales, que acote el tipo y la prioridad de tráfico de redes a distintos sectores lógicos de la red y servidores.
Disponer de políticas de seguridad por usuario que acote el accionar del mismo. Es el error cuando hay muchos usuarios administradores y un virus entra… con esos privilegios.
Establecer políticas antispam, dentro de lo posible, que minimice la llegada de emails con posible contenido malicioso.
Establecer políticas de resguardos de información automática y con criterios incrementales, que permita “volver a un punto seguro” de ser necesario.
Establecer criterios de retorno de un desastre permitiendo restablecer los sistemas en los servidores en un mínimo tiempo.
Educar a los usuarios a los efectos que entiendan los peligros de acceder a ciertos sitios y de hacer “click” en un lugar incorrecto.
Disponer de un sistema de seguridad integral (ya no el viejo “antivirus”) que observe el malware en todas sus formas y que actúe de manera centralizada.
Disponer de herramientas diagnósticas que permitan rápidamente detectar, qué es lo que está ocurriendo.
Cumpliendo con estos preceptos, es probable que permanezca indemne ante muchos ataques, salvo aquellos muy virulentos o que estén especialmente dirigidos a su Empresa.
Aunque recuerde que para sufrir un ataque dirigido, debe poseer información extremadamente valiosa para alguien. Ante estas situaciones hay que aplicar criterios de seguridad a la medida, además de lo que planteamos anteriormente.
Si se aplicaron todos estos criterios, y algo ocurriera, el daño suele circunscribirse a alguna terminal, ó a algunos archivos ó en el peor de los casos a algún servidor.
Es importante tomar conciencia. Muchas veces se evita pagar por un sistema de seguridad integral, cuando su costo es apenas una fracción al año de lo que perderíamos ante la ocurrencia de un evento. Ídem con el hecho de llevar correctamente las actualizaciones de software.
Tenga presente que nadie trabaja gratis. Los “antivirus gratuitos” son versiones reducidas, que buscan que se compre una licencia paga a cambio de una mejor prestación ó en el peor de los casos pueden ser otras cosas.
No cometan el error de asociar el concepto de software de código abierto (como un Linux) a un antivirus gratuito. El antivirus gratuito, no sólo no protege correctamente, sino que genera la falsa sensación de estar protegidos.
Es hora de tomar conciencia y tomar a la seguridad informática, seriamente y sin paranoias; sólo trabajando en forma profesional, correcta… y con consultores profesionales.

Estamos a su disposición:

CONTACTO