Ciberataques paralizan empresas en Argentina

Para terminar de destruir el mito que “estamos lejos del mundo y no nos va a ocurrir”, algunos titulares han comunicado lo siguiente:

Cita textual tomada del portal minutodecierre.com:

“Galeno sufre un ataque informático de hackers, con pedido millonario de rescate y la atención de salud comprometida»

«La propia página web de la tercera prepaga del país admite dificultades técnicas. Se habla de un ataque al estilo «ransomware»: encriptación de datos y pedido de un rescate millonario. El problema ya afecta la atención de la salud por parte de Galeno.”

Fin de la cita textual.

Más allá del hecho puntual, estamos frente a un ataque “clásico” de ransomware, donde el ingreso al “Castillo” (llamemos así a la Red Privada de la Empresa y por la analogía de cómo se plantean las defensas) se logra por fuerza bruta en accesos remotos, por alguna “puerta trasera” en algún dispositivo ó por algún “click” indebido de un usuario desprevenido luego de una actividad de ingeniería social previa.

Pero hay algo más para sumar. Hace algunas semanas vivimos un ataque muy particular a un cliente nuestro. Específicamente a su servidor de oficina dado que los servicios de ERP actuales están alojados en VPSs en la nube y bajos los esquemas mixtos de seguridad. Es decir fue un ataque muy parcial, que no logró su objetivo y acotado por la segmentación implementada.

El cliente en cuestión observó algo extraño en algunos archivos PDFs que habían cambiado su extensión. No dábamos crédito de lo que estaba pasando. Un ataque DIRIGIDO a una Pyme, con el propósito de encriptar archivos y extorsionar. Primer caso, para nosotros, teniendo en cuenta que la gran mayoría de los ataques no se inicia en forma dirigida y se encuentran rastros de intentos por “fuerza bruta” y en modalidad “al voleo”.

Ingresaron con una password de un usuario que estaba de vacaciones usando el vínculo de VPN al primer intento, y plantaron un script que encriptaba archivos de base de datos. Todo hecho en forma burda, en media hora de trabajo, pero efectivo. Fracasaron en su objetivo porque no accedieron al sistema actual (no contaban con información actualizada) y lo poco que encriptaron fue revertido.

En nuestros monitores, hace tiempo que venimos observando cientos de ataques que no llegan a su objetivo y en algunos casos nos llamaba la atención el “modus operandi”. Formas, horarios, secuencias, demasiado estudiadas, demasiado precisas.

Este planteo excede la combinación de un bot que busque vulnerabilidades más un malware que haga su trabajo. El bot y el virus son facilitadores. La acción en muchos casos se complementa y completa con acción directa; en algunos casos un hacker toma el control y dirige u opera en forma directa. Esa es nuestra premisa.

Hay otra estadística que venimos observando; quienes fueron atacados y pagaron el rescate, en un porcentaje muy alto, son atacados nuevamente.

Es decir, nuestro antiguo decálogo de seguridad, publicado en otra entrada del blog, debe ser complementado con nuevos conceptos de seguridad. El concepto de enemigo INTERNO llegó a la Pyme y ya no se trata solamente de un usuario confundido por un email bien hecho y dirigido.

Estas acciones se veían sólo en las grandes corporaciones donde se compite por secretos industriales, patentes, licitaciones multimillonarias, clientes cautivos de servicios, relaciones con gobiernos etc. No más; realizar un ataque es cada vez más económico y cualquier suma de dinero es importante.

No hay “castillo” que resista un ataque, si el frente interno es débil.

Muchos puntos a observar. Acceso wireless, passwords anotadas en cualquier lado, passwords “prestadas”; es lo más obvio. Pero hay mucho más…

¿Pensó en un candidato que se postula para ingresar a la empresa?

Nos han comentado de casos que interceptan las comunicaciones de entrevistas laborales y ofrecen a los candidatos “permeables” mucho dinero por, por ejemplo conectar un dispositivo en cualquier PC interna o realizar alguna acción específica (piense en los casos cuando se facilita una PC ó acceso a extraños sin tomar los recaudos de seguridad).

Un visitante ó un empleado que durante años sumó rencores y acumuló información de su empresa. Todo individuo puede ser vector de un ataque.

Las grandes corporaciones y las multinacionales tienen esto claro. Las Pymes y no tan Pymes como el caso inicial planteado, suelen ver estas realidades como ajenas o lejanas, ese es el error.

Al decálogo de seguridad que planteamos hace un tiempo, donde básicamente se remarca que la seguridad está en todos los niveles de la red a saber router/firewall/Soft de Seguridad+Antivirus/Switch/AccessPoint/Accesos/Terminales,/VLANs/VPNs/Servidores virtualizados en ambientes mixtos etc. hay que sumarle nuevas acciones y trabajar con el siguiente principio:

Seguridad de Confianza Cero”

Es decir, dar por sentado que un ataque puede venir tanto del exterior de la empresa como del interior, por lo tanto se elimina la relación de “confianza” de usuarios y dispositivos por el simple hecho de estar del lado interno de la red local. Nadie es confiable hasta que se verifique.

Trabaja con dos elementos:

1) Microsegmentación. Es algo que ya hacemos, pero que hay que llevarlo al máximo. Distintos servidores y distintos sectores para distintas aplicaciones o servicios. Un acceso remoto debe ser un servicio aparte que no es el mismo que maneja el motor de bases de datos, que no es el mismo que maneja archivos, ni es el mismo que maneja las listas de accesos y no es ni cerca el mismo en que se hace backup y además que los backup estén en distintos niveles y sectores y lugares… y etc. etc. etc. Es llevar ese concepto a la máxima expresión.

2) Validación Multifactor. Todos los usuarios internos o externos, deben validar por más de un medios su identidad. El más común es con dos factores, es decir, además del usuario y password, por ejemplo, se envía un código por otro medio (habitualmente el teléfono celular registrado) que tiene una validez de pocos minutos. Tal como hoy en día usan muchas empresas, especialmente los Bancos.

Estos criterios, son aplicados tanto a usuarios externos como INTERNOS. La defensa de nuestros datos es una ciencia dinámica y debe ser tratada en forma integral.

La información es el activo más valioso de una empresa y...
...no se suele invertir lo necesario en cuidarlo.

Deje un comentario