Olivier Le Moal - stock.adobe.co

Lo básico Póngase al día con nuestro contenido introductorio.

¿Cómo prepararse para no ser blanco de los ciberatacantes?

Cambiar la configuración es un paso importante para obstruir posibles ciberataques, tanto como utilizar métodos avanzados de ciberseguridad que anticipen el comportamiento malicioso y activen los sistemas de protección antes de que el malware tenga la oportunidad de ejecutarse.

Si bien, la tecnología plug-and-play es una promesa atractiva y una realidad bastante peligrosa cuando se trata de dispositivos conectados a una red empresarial, en la práctica y en la percepción del usuario se considera genial y muy noble; cuando el dispositivo puede manejar todos los protocolos de red y el protocolo de enlace sin intervención humana, todos en algún momento nos llevamos por la euforia del momento plug-and-play y se nos olvida cambiar algunos valores predeterminados ampliamente conocidos, por lo que la conveniencia puede convertirse rápidamente en una vulnerabilidad.

Los que administramos y supervisamos redes de cómputo, sabemos que los valores predeterminados pueden ser peligrosos, por ejemplo:

Pensemos en los nombres y contraseñas de las cuentas de administrador: son muy delicadas e importantes, no obstante, no hay duda de que estas credenciales se utilizan ampliamente y las colocan disponibles para configurar algunos dispositivos y facilitar con grandes privilegios la incorporación de dispositivos a la red corporativa, estos dispositivos pueden ser vulnerabilidades significativas si no se cambian durante la configuración inicial, sin embargo, hay otros elementos de configuración que pueden ser igualmente peligrosos de formas ligeramente diferentes.

Actualmente y sin que muchos proveedores lo mencionen abiertamente, me he encontrado con numerosos incidentes en los que la configuración predeterminada de los servicios o aplicaciones en la nube ha dejado tanto la infraestructura como los datos vulnerables a los ataques.

EL concepto “Público” lo manejamos en un sin numero de lugares, sobre todo para el libre tránsito de las personas, sin embargo, en lo que respecta a equipos de cómputo, redes informáticas y la gran red, este concepto se encuentra muy devaluado o mal entendido.

Es evidente que los vendedores y los proveedores de servicios han estado cerrando esas vulnerabilidades, y ahora son mucho menos comunes de lo que eran hace un par de años, no obstante, los valores predeterminados que deben estar en el radar de los profesionales de seguridad: es frecuente no darle la debida importancia a las configuraciones por defecto o de fábrica, pero ningún nombre de usuario o contraseña predeterminados debería sobrevivir a la sesión de configuración inicial, punto, no hay más.

Después de 20 años de experiencia, tengo motivos de sobra para afirmar que dejar las configuraciones por defecto en un dispositivo de uso cotidiano supone un riesgo para la seguridad. Los profesionales de las áreas de TI y proveedores, o todos los que configuran un servicio, aplicación o pieza de hardware, debemos cambiar el nombre de usuario y la contraseña del administrador tan pronto como lo permitan los scripts de configuración.

¿Por qué deberíamos prestarles atención a estos temas?

Por seguridad. Consideremos el software que normalmente se instala para obtener alguna funcionalidad específica, como Microsoft Office o Google Chrome; por su parte, los servicios son software que normalmente viene con el sistema operativo, como por ejemplo el escritorio remoto o el administrador de redes inalámbricas.

Pues bien, hay aplicaciones y servicios que para funcionar correctamente piden permisos excesivos en forma predeterminada. Cuidado con ello. No siempre es necesario un perfil de administrador cuando uno de usuario podría utilizar los mismos programas y funciones.

Sin embargo, es recomendable hacer un hardening del sistema operativo y leer las recomendaciones de seguridad del fabricante, de esta manera se logra hacerlo más robusto, configurando adecuadamente las aplicaciones y los servicios de red.

No actualizar el firmware puede permitirle a un atacante aprovechar una vulnerabilidad y acceder a la información que maneja el equipo. Aplicar constantemente los parches de seguridad que van lanzando los fabricantes y desarrolladores ayuda a corregir problemas que pueden ser descubiertos después del lanzamiento del producto.

Mantener todas las aplicaciones o servicios que vienen por defecto en un dispositivo puede generar problemas, ya que podrían quedar desactualizadas y ser utilizadas para realizar algún tipo de ataque, así que es recomendable eliminar aquellas que no se utilicen.

Cuando se está configurando un nuevo dispositivo móvil o un sistema operativo es recomendable hacer configuraciones manuales para dejar activos aquellos procesos que realmente se vayan a utilizar, cifrar información sensible o generar nombres de usuario y perfiles propios, entre algunas otras tareas que pueden reducir el riesgo de intrusión no autorizada.

Cuando se quiere recuperar un dispositivo o servicio, por lo general se recomienda siempre restablecerlo a las configuraciones por defecto. Si bien es cierto que mantener las configuraciones por defecto es una forma fácil de instalar un nuevo dispositivo, utilizar alguna aplicación o empezar a trabajar rápidamente con un nuevo sistema operativo; también puede exponer la información, ya que un atacante puede reconocer fácilmente el método más fácil para vulnerar la seguridad de esos ajustes predeterminados.

Afortunadamente, algunos fabricantes ya han tenido en cuenta este problema y obligan a los usuarios a cambiar la contraseña durante el proceso de instalación, pero sería prudente que todos los dispositivos de conexión de redes lo realicen como parte de su proceso, estaría interesante liberar equipos con contraseñas predeterminadas únicas y no en serie, aunque, por supuesto, luego deberían ser cambiadas por otras más fuertes y seguras.

El desafío de la seguridad en la era del IoT

A pesar de las grandes ventajas que supone internet de las cosas (IoT), tener cientos de dispositivos conectados requerirá que los responsables de seguridad supervisen cientos de vulnerabilidades potenciales y mantengan la configuración predeterminada con estos dispositivos. El ataque DDoS masivo perpetrado por la botnet Mirai demostró cómo esto es un gran error.

Esta botnet fue diseñada para escanear internet en busca de dispositivos con bajos niveles de seguridad, como cámaras de seguridad, y acceder a ellos probando contraseñas tan simples como "admin" o "12345"; su estudio mostró que realiza más de 60 comprobaciones de combinaciones de nombres de usuario y contraseñas, con ello Mirai pudo acceder a casi 400.000 dispositivos.

Siendo honestos, este ataque podría haberse evitado si los fabricantes de hardware pidieran a los usuarios que cambiaran la contraseña predeterminada de sus productos, los encargados de sistemas o de las áreas afines debemos ser conscientes de que los dispositivos de IoT, como cámaras de seguridad o termostatos, está demostrado que son posibles vectores de ataque, aun cuando el dispositivo en sí no contiene información valiosa, es probable que esté conectado a una red con acceso a los archivos internos de la empresa.

Seleccionar los programas que utilizan los empleados

Cambiar la contraseña predeterminada no es la única medida que ayudará a aumentar el grado de seguridad de la empresa, por ello, en nuestra calidad de gerentes de TI, debemos evaluar qué programas y aplicaciones necesitan los empleados y cuáles no, para desarrollar sus labores con agilidad y normalidad, por supuesto, buscando especialmente aquellos que pueden representar una amenaza para la seguridad corporativa y establecer la configuración de cada dispositivo para reforzar la seguridad.

Al seleccionar el software esencial para la rutina diaria de nuestros empleados y mantenerlo actualizado, minimizamos el riesgo de amenazas debido a vulnerabilidades en las herramientas que utilizan, de esta forma, estaremos limitando los posibles puntos de acceso de los ciberdelincuentes.

Aun cuando cambiar la configuración es un paso importante para obstruir posibles ciberataques, es fundamental utilizar métodos avanzados de ciberseguridad que anticipen el comportamiento malicioso y activen los sistemas de protección antes de que el malware tenga la oportunidad de ejecutarse.

Es seguro que en estos momentos muchos estén realizando el plan estratégico de TI para 2021. Me gustaría darles un consejo: antes de pensar en grandes inversiones, destinen una sección de su plan a la concientización de los ejecutivos (directores, gerentes), tomadores de decisiones, propietarios, usuarios, clientes y proveedores en el tema de la seguridad de la información, inicien siempre con pequeñas metas sencillas, mientras suben el nivel de su entorno, podrán implementar grandes soluciones, ya que tendrán un ejercito de colaboradores despiertos a los ciberataques.

Sobre el autor: Rubén Bernardo Guzmán Mercado es ingeniero en Sistemas Computacionales con Máster en Tecnologías de Información. Puede contactarlo en: [email protected].

Investigue más sobre Gestión de la seguridad de la información

Close