MADRID, 24 Dic. (Fernando Saavedra/Áudea Seguridad de la Información) -
En la actualidad, muchas son las empresas, muchas de ellas con bastante proyección en el ámbito de la seguridad de la información y otras no tanto, que son víctimas de ataques que afectan a sus sistemas internos, pero, ¿sabemos realmente cómo un atacante puede entrar?
Las opciones de respuesta a esta pregunta son múltiples y en este artículo vamos a intentar desgranar alguna de ellas (que suelen ser las más populares), aunque en muchas ocasiones cuando se produce cualquier incidente hasta que no se realiza un análisis forense del mismo no se sabe realmente cuál fue fehacientemente su causa.
Estos análisis son costosos en muchas ocasiones en tiempo y, mientras se realizan, en algunas de las ocasiones es necesario parar la producción del sistema afectado, con las pérdidas económicas que puede llevar esta acción dependiendo de la operatividad para el negocio del sistema en cuestión.
En la actualidad, la manera más común de llegar a los sistemas internos es mediante un 'malware', ya que el mismo puede tener diferentes interacciones con el sistema que pueden ir desde quedarse residualmente recopilando información hasta cifrar todos los datos del mismo (en el caso del tipo 'ransomware') por ejemplo.
La manera en que este programa malintencionado entra dentro de una compañía también puede ser múltiple: un 'mail' que recibe un empleado, un 'usb' que se conecta dentro de la red con él dentro, la explotación de una vulnerabilidad, etc.
Otra forma común de poder llegar a los sistemas internos de la compañía es mediante los servicios externos que expone a Internet (el más popular es el servicio web y también el que más ataques sufre), explotando algún fallo de seguridad asociado al mismo.
En este caso, depende mucho de la arquitectura pero en la mayoría de las ocasiones se compromete el sistema que esta exponiendo el servicio en cuestión, llegándose además a comprometer los sistemas internos de la compañía, bien porque no estén bien segmentadas las redes externas o internas bien porque exista alguna interconexión entre ellas.
Aunque, como se ha dicho, los ataques a los servicios web son los más extendidos, no hay que perder de vista otros servicios que se exponen a Internet, como, por ejemplo, ftp, correo, vpn, etc. En muchas ocasiones es realmente fácil conseguir llegar a interactuar con los sistemas mediante riesgos que tienen los mismos.
Otro foco por el cual pueden entrar en tus sistemas es mediante la incorrecta configuración en terrenos de seguridad de tus redes, sobretodo las redes inalámbricas, ya que si es posible vulnerarlas también lo es el acceso a través de ellas a la red interna de la compañía, pudiendo llegar a comprometer todos los sistemas.
El último punto que se va a tratar en el presente artículo son los propios empleados de la compañía, los cuales son engañados con pruebas de ingeniería social y comprometen los sistemas internos de la compañía, en muchas ocasiones sin ni siquiera ser conscientes de ello.
Algunos ejemplos de esto pueden ser por medio de una llamada, en la que alguien se hace pasar por un técnico informático que le pide que le dé manejo de su propio ordenador; que reciba un 'mail', en el que se solicitan credenciales y las proporcione; o que acceda directamente a las oficinas de la compañía simulando ser un visitante común.
Hay que pensar que en ese sistema que puede llegar a ser vulnerado previsiblemente se encuentren datos críticos para el negocio. La exposición de esos datos puede producir pérdidas económicas y en muchos casos pérdidas en la reputación de las propias compañías, por lo que es necesario securizarse.
Para ello, hay que valorar todas las posibles entradas que puede tener un usuario malintencionado a nuestros sistemas y, una vez que las tengamos, ir una a una viendo la manera de blindarse (cabe destacar que en el presente articulo solo se han valorado alguna de ellas y que previsiblemente ni apliquen en algún caso).
Para el caso de la infraestructura, se deben de realizar auditorías de seguridad periódicas que nos ayuden a ir conociendo posibles riesgos en nuestros entornos para poder subsanarlos y, en el caso de las personas, haciendo que realicen cursos de concienciación para que no sean las causantes de un mal que puede hacer mucho daño a sus empresas.
