Controlar la ciber-pandemia es posible

Hemos confeccionado un decálogo de medidas de protección básica para cualquier organización, y/o usuario individual durante estos momentos de aislamiento. Jonathan González, Asesor of Councel de BloomverTech y Castroalonso LET describe dichas medidas a continuación. Confinados en casa por motivos sanitarios, la tecnología ha demostrado, una vez más, que es una herramienta imprescindible para trabajar, para estudiar, para socializar y para, simplemente, poder tener un rato de ocio, en soledad o en familia. Sin embargo, la adopción plena de hábitos tecnológicos no es una tarea sencilla. No lo es ni tan siquiera para los tecnólogos. Como cualquier otra destreza, se precisa cierta práctica, un hábito. Disfrutar y trabajar, pero hacerlo de una forma segura, no es sencillo, pero tampoco es algo imposible. Solo hay que tener unas pocas ideas claras. Las preguntas que más se escuchan en estos momentos son ¿podremos seguir teletrabajando de ahora en adelante?, ¿hemos realizado la transformación digital, aunque sea de forma obligada?, realmente ¿estamos trabajando seguros?, ¿nos exponemos a una ciber-pandemia? Ahora mismo más del 50% de la población mundial se encuentra conectada a Internet, la mayor parte de ella con más de un dispositivo a la vez. Internet es capaz de soportar esto y más. Internet es una red comercial (de ordenadores) herencia de un diseño militar (MILNET, una red de control de arsenales nucleares diseñada por la DARPA, la Agencia de Proyectos de Investigación Avanzados de Defensa de EEUU) la cual fue trazada para la resiliencia, es decir, para tener capacidad de operación descentralizada, pero no para ser una red segura. Se entendía, que al ser una red militar cerrada, no era preciso incluir los requisitos de seguridad como necesarios. Esto se daba por entendido. Sin embargo, al liberarse el diseño de esta red, y convertirse en lo que hoy en día es Internet, hemos heredado un planteamiento inacabado. Inseguro. Esta es la razón primigenia, aunque no única, de los problemas a los que nos enfrentamos hoy en día. Volviendo al presente, debido a que la situación actual nos ha obligado a irnos a todos a casa y a colocarnos en la casilla de salida frente a una recesión de nuestras economías cual “cisne negro”. Ahora sí que todos estamos más concienciados con la seguridad tecnológica. Y esto es porque, de verdad en estos momentos, dependemos de la tecnología. Estoy seguro que muchas organizaciones comenzarán a prestar una necesaria atención a sus sistemas tecnológicos y a su seguridad, como nunca antes habían hecho. Nadie se acuerda de Santa Barbara hasta que truena, dice el refranero popular. Y es que, incluso en coyunturas complejas como las actuales tendemos a seguir subestimando la gravedad de las situaciones a las que nos enfrentamos. Esto está patente en nuestros hábitos. Los que trabajamos en el sector de la ciberseguridad decimos que la ausencia o presencia de un incidente es resultado de dos variables, interés y oportunidad. Interés en obtener algo, generalmente dinero y datos, que llevan también a la obtención por medios ilícitos de dinero, y oportunidad, que principalmente implica esperar el momento de un fallo en la seguridad, en la protección de redes y sistemas informáticos, y también un errores humano. Es de ley también reconocer que cuando se dice que un fallo de seguridad ha sido explotado por norma no es “un fallo” dicho textualmente, sino el sumun de una lista mayor de situaciones en las que todo se ha frustrado en cadena. Una vicisitud, que por sí sola, muy raramente ocasiona una debacle. Seamos sinceros, la tecnología es vulnerable. Esto incluye hardware y software. Al ritmo de avance actual inusitado las tecnologías emergentes no son necesariamente más seguras. Si marcamos un rango de tiempo aceptable de evaluación, digamos desde 2017 hasta el presente, casi el 60% de los sistemas mundiales han sido atacados con diferentes niveles de éxito. Más recientemente, la computación cloud y el 5G se han llevado la mala fama pero, allá por 2017 (y también antes), la computación on-premise, es decir en el data center tradicional, no lo hacía mucho mejor. No hay una cura milagrosa que arregle todos los problemas de seguridad. De hecho, la seguridad completa no existe. La única defensa real es el entrenamiento ante desastres, la coordinación y la supervisión constante. Entendiendo que la situación actual quizás supere a más de uno, desde Bloomver·Tech & CastroAlonso LET hemos confeccionado un decálogo de medidas que permita a cualquier organización, y/o usuario individual, conseguir un nivel de protección básica efectiva durante estos momentos de aislamiento:

1. 1.  En relación con la gestión de usuarios, credenciales y accesos, se recomienda el uso de credenciales diferentes por cada servicio que se está usando. No solo ahora, sino siempre, uno de los principales vectores de riesgo es la identidad digital. Cuando estamos en la oficina es posible que contemos con medidas de protección impuestas por la organización como el Single Sign On. Ahora en casa, en potencial ausencia de herramientas de gestión de identidades corporativas, es preciso replicar el comportamiento más básico para evitar la suplantación y/o robo de identidades. Recordar múltiples pares de credenciales es complicado, por lo que usar un gestor de contraseñas es casi imprescindible. Algunos de estos gestores de contraseñas son gratuitos. Ejemplos son KeePass, Bitwarden, Lastpass, 1Password, solo por mencionar algunos de ellos.
   2. A una gestión de usuarios, credenciales y accesos eficiente debemos sumar el uso de autenticación dual-factor o multi-factor (2FA y MFA, respectivamente). La autenticación de doble factor o multifactor combina dos o más credenciales independientes: lo que sabe el usuario (contraseña), lo que tiene el usuario (token) y lo que es el usuario (biometría). El objetivo de 2FA y MFA es crear una defensa por capas y conseguir que sea más difícil la obtención de accesos sin permiso. Si uno de los factores se ve comprometido, el potencial atacante todavía tendrá que enfrentarse al menos a otro desafío.
   3. Respecto a los ordenadores y dispositivos que usamos a diario, sean de trabajo o personales, mantenlos actualizados. Si usas un software antivirus, EDR (Endpoint Detection and Response) o DLP (Data Loss Prevention), asegúrate que estén actualizados a la última versión.
   4. Al respecto de nuestras actividades personales o profesionales desde casa, y en relación con el uso de redes sociales, siempre se ha de tener cuidado pero, en esta etapa tan crítica, es especialmente recomendable no compartir información, ni personal ni profesional, de forma innecesaria con terceros. Nunca se puede saber con total certeza quién está al otro lado de Internet, o de una llamada telefónica, y teniendo en cuenta que no nos podemos desplazar fuera del hogar, debemos tener presente que nuestras infraestructuras de trabajo hoy, más que nunca, pueden estar desprotegidas y susceptibles de ser atacadas físicamente. Sin darnos cuesta, podemos estar sujetos a campañas de suplantación de identidad que serían dificilmente detectables. Por esta razón, no abras archivos de trabajo en dispositivos personales que no estén asegurados y viceversa. Si bien es cierto que tenemos muchos equipos conectados en casa, debemos de respetar el uso personal/profesional de cada uno.
   5.  Verifica las fuentes. Se dice alegremente, pero sabemos que es muy difícil de conseguir sin ayuda. Cuando recibes una información, especialmente si es vía correo electrónico, pero sobre todo si no sabes si el contenido es 100% real, y si no conoces fehacientemente la fuente. Si te envían algún tipo de archivo como adjunto o con la forma de una dirección de descarga para que te lo bajes de Internet, desconfía. Lo más seguro es que sea un timo o una amenaza real. La regla de protección más básica es bien sencilla: si no conoces la fuente, y si no esperas nada, sea la fuente aparentemente conocida o no, no debemos abrir los adjuntos. No hagas clic sobre enlaces en los correos y no abras archivos sin estar 100% seguro de que el origen es quién dice ser y el contenido es inofensivo. Los cibercriminales utilizan temas de la actualidad, como el coronavirus, para atrapar incautos. Para verificar una fuente presta atención a las siguientes variables: fecha de la publicación o mensaje, fuente conocida o reputable, disponibilidad de terceros que puedan corroborar la información que has recibido, verificación de que te piden hacer algo con celeridad. Si algo te dice que la situación no está clara, muy posiblemente estés delante de un phising o un malware.
   6. Para conectarte con el trabajo usa conexiones seguras. Una conexión segura es una forma de VPN (Virtual Private Network, red privada virtual) o SDP (Software Defined Perimeter, perimetro definido por software). Si no la tienes olvídate por el momento de usar herramientas como Team Viewer, Any Desk o Remote Desktop, entre otros. Eso también aplica a otros tipos de conexiones y servicios de redes profesionales como WinBox, SSH, FTP, NFS, SMB, listeners de base de datos, etc… Si no puedes poner en servicio un canal realmente seguro es preferible que no te conectes a tu organización.
   7. Si eres el responsable de las comunicaciones y/o la seguridad de tu organización, incluso de las tuyas propias, y tienes el conocimiento, implementa unas reglas de control por origen en el firewall (cortafuegos) que permita excluir todos aquellos orígenes de conexiones con los cuales no tenemos contacto regularmente y/o son de alto riesgo. Implementa un sistema similar en el MDM (Mobile Device Management, Sistema de Gestión de Móviles) para supervisar todas las aplicaciones móviles. Y, aunque parezca absurdo, muchos firewalls, u otros dispositivos similares cuentan con un usuario y contraseña de fábrica que a veces quedan en el sistema por defecto. Asegúrate de borrarlos pues estos pares de credenciales serán los primeros en ser atacados desde fuera de la organización.
   8. En todo momento, asegúrate de saber quién está conectado, cuándo y de dónde. Implementa un control horario de conexiones a recursos corporativos. Incluso con credenciales válidas, un uso fuera de horario puede ser indicador de que un sistema puede estar siendo comprometido. Verifica constantemente los logs de los diferentes sistemas para supervisar los intentos de conexión fallidos y las conexiones realizas con éxito. Así podrás identificar conexiones sospechosas y eliminar a tiempo una posible amenaza.
   9.  Si hasta ahora no te habías planteado la posibilidad de consumir y distribuir tus recursos en cloud, estás ante una buena oportunidad para repensar el tema. Los proveedores de servicios de cloud, tanto en nube pública, privada como en nube híbrida, ofrecen flexibilidad absoluta técnicamente hablando, permiten una reducción de costes considerables, respecto a una inversión completa en datacenter tradicional, e inteligentemente implementado, permite que tu perimetro de seguridad se haga mayor, distribuyendo tus cargas de trabajo de forma híbrida entre tus propios recursos y los de la nube del proveedor, ganando en resiliencia.

La seguridad de la información es una tarea compleja para la cual, en muchas ocasiones, es mejor contar con un apoyo exterior. En Bloomver·Tech & CastroAlonso LET hemos puesto en funcionamiento una plataforma de servicios de seguridad especialmente orientados a cubrir situaciones complejas como la que se estamos viviendo en la actualidad. Nuestro principal objetivo es la gestión de la seguridad de nuestros clientes, aunque durante esta crisis sanitaria hemos generado soluciones modelo basadas en tecnologías cloud que pueden satisfacer las necesidades de muchas organizaciones en tiempo reducido para mejorar su seguridad. Todos nuestros servicios se estructuran conforme a la seguridad de los datos. No en vano nuestra matriz proviene del mundo legal. Generamos y consumimos inteligencia de amenazas para proteger a las organizaciones. Si te interesa, puedes conocernos mejor visitando nuestra web, en https://www.bloomver.com o nuestro perfil en LinkedIn.

Conclusión:

Trabajar, sobrevivir en estos tiempos grises, y disfrutar, seguros, y mediante la tecnología, es posible