Ciertos eventos recientes están cambiando la topografía del modelo de amenazas y de las metodologías de ataque a nivel internacional, a velocidades récord. Decir que el impacto de las noticias de seguridad de las últimas semanas es bajo sería totalmente errado.
Los Shadow Brokers liberaron frameworks de hacking gubernamental completos, hubo más revelaciones de VAULT 7 y otros hechos nefastos, que han elevado incluso a los creadores de scripts maliciosos menos talentosos a amenazas reales para las empresas.
Hay más exploits peligrosos in the wild que miembros en algunos equipos de TI
Si no lo crees, puedes volver a enterrar tu cabeza bajo la arena como un avestruz. Pero déjame decirte que números récord de brechas en redes enteras y sistemas de pago se están convirtiendo en el evento informático de facto para investigar, en lugar de ser infecciones a usuarios a pequeña escala como las que solían plagar a las empresas.
Es hora de adaptar tu plan de juego al mundo real: una batalla que te enfrenta a los atacantes que te tienen como objetivo a ti, a tu empresa, tu hogar, tus dispositivos electrónicos y potencialmente cualquier dispositivo de comunicación que sea capaz de conectarse a una red.
Cuando llegamos al punto en que los sistemas Windows 2008 R2 pueden ser totalmente comprometidos en menos de 120 segundos, es hora de ponerse serios, y rápido. Aquí hay algunas cosas que puedes hacer para seguir en juego e igualar la seguridad de tu red a los estándares del siglo XXI.
RDP: Remote Death Protocol
¿Te gusta el protocolo de escritorio remoto? Bien, a los atacantes también. Sí, aman aprovecharse de ese puerto pobremente defendido ya que la recompensa puede ser muy grande.
En vez de tener que usar una shell a veces no persistente, pueden iniciar sesión directamente con una interfaz de Windows o utilizar otras herramientas para ejecutar aplicaciones en tu servidor de forma remota. La fruta al alcance de la mano, la que menos cuesta conseguir, son las credenciales abandonadas que tienen demasiados permisos, las cuales se te olvidó eliminar hace años, similares a "helpdesk:helpdesk" u otras combinaciones que nunca, nunca, deberían haber existido.
También es posible comprometer otras cuentas que parecieran estar más protegidas por contraseñas, especialmente si la clave deriva de un aspecto de tu empresa. De esta manera, un atacante podría generar fácilmente una lista de palabras, compuesta por unos cientos de miles de palabras y frases de tu sitio web o la descipción de la compañía, para entrar como administrador aprovechando el puerto RDP potencialmente abierto.
Como administrador, deberías pensar en cambiar el puerto (no a 3390, sino a algo diferente) o usar RDP sobre una conexión VPN, cerrando el acceso exterior a los cibercriminales.
Otra idea incluso mejor es tener un mecanismo de control secundario, como doble autenticación, que te permita tener algo que el potencial atacante no tendrá: un token o contraseña de uso único.
Microsoft tiene incluso la capacidad de bloquear cuentas que tratan de autenticarse más de un determinado número de veces (las instrucciones están aquí).
Windows se actualiza, el firmware se actualiza, todo se actualiza
Con en lanzamiento de varios exploits que afectan a Windows 8, Windows Server 2012 y SMBv3, actualizar Windows se ha vuelto más importante que nunca. Hay más exploits peligrosos in the wild que miembros en algunos equipos de TI; están precompilados, esperando ser utilizados.
Como mencionamos anteriormente, la publicación de la lista de Shadow Brokers con exploit kits supuestamente robados al gobierno es una verdadera causa de preocupación, dado que estas herramientas ahora se están usando para ataques en tiempo real. La buena noticia es que Microsoft ya parcheó la vulnerabilidad 0-day relacionada y otros problemas de seguridad.
La pregunta es, ¿cuán actualizados están los parches en tu red? Actualizar es un esfuerzo continuo, ya que no dejan de aparecer nuevas amenazas que deben ser atendidas, y se descubren nuevos agujeros de seguridad que deben ser cerrados. A veces, esto incluye actualizar tu antivirus.
Toma como ejemplo a CVE-2017-0199, una vulnerabilidad que recientemente se convirtió en un módulo de Metasploit para su facilidad de uso. Este exploit 0-day ha sido visto descargando Dridex y otros malware, y puede ser modificado para tener múltiples payloads.
Este exploit comenzó a recibir atención el 11 de abril de 2017. Al momento de escribir, ESET era uno de los apenas nueve fabricantes que detectaba los adjuntos con este payload.
Ve por lo seguro y duerme tranquilo de noche
Cuantas menos huellas dejes públicas en Internet, mejor. Cierra esos puertos que no necesitan estar abiertos para todo el mundo. Si tu empresa usa una aplicación web que se puede obtener desde Internet, asegúrate de que está protegida, bien configurada y sin código vulnerable.
Lo último que querrías es que tu software de CRM (customer relationship management) u otra plataforma de comunicaciones corporativas se vea comprometida, y que los datos de clientes y empleados queden a disposición de un atacante que reside del otro lado del planeta.
Explicarle esto a tus clientes puede ser difícil; sin embargo, no sería la primera vez que sucede y definitivamente no será la última, como demostró este reciente asunto relacionado con HipChat.
El mundo de la seguridad informática gira muy rápido. Si no te detienes a mirar a tu alrededor de vez en cuando, podrías perderte lo que está pasando.
Sigue leyendo: ¿Por qué el software es vulnerable? La importancia de los parches