Incidentes_Teletrabajo_Sidertia_Ciberseguridad

Tal y como se ha ido constatando con el paso del tiempo, el acceso remoto ha constituido un mecanismo ampliamente utilizado por las organizaciones para garantizar la continuidad de las operativas durante la pandemia.

El resultado en general ha sido bastante satisfactorio y por lo tanto el teletrabajo a buen seguro se va a mantener como una de las metodologías para la operación fuera de las instalaciones de la organización.

Sin embargo, también hay que indicar que el número de incidente, provocados por una mala configuración de los sistemas de acceso remoto, ha aumentado significativamente en este último año. El uso de tecnologías empleadas para el teletrabajo indudablemente aumenta la “Superficie de Exposición”. Sin el adecuado refuerzo de seguridad con una orientación hacia el “acceso remoto seguro” las entidades se exponen a situaciones de amenazas que una vez materializadas causan un considerable perjuicio.

Sidertia ha participado durante este año en diversos incidentes de ciberseguridad que vienen derivados de configuraciones de seguridad inadecuadas. El uso ineficaz de los métodos de autenticación, la falta de segregación de roles, el acceso ilimitado a los activos internos de la red, configuraciones erróneas de los mecanismos de intercambio de datos y un largo etcétera de fallos de seguridad, son aprovechados por lo atacantes para la intrusión en los sistemas tecnológicos internos.

¿Cómo aprovecha el atacante dicha situación?

Normalmente el atacante aprovecha de forma inicial una debilidad en los mecanismos de autenticación de los servicios de acceso remoto. El uso de un único factor de autenticación, suele ser uno de los puntos críticos y habitualmente empleados por el atacante para la entrada al sistema. Credenciales robadas, contraseñas reutilizadas o usuarios no segregados son algunos de los problemas que tienen habitualmente las organizaciones con respecto a este tipo de servicios. En las redes Darknet se ha incrementado los procesos de venta de credenciales robadas a usuarios y que pueden ser empleados para acceder remotamente a las entidades.

Aunque lo habitual es que el atacante emplee la debilidad en la autenticación para entrar en el sistema, no es lo único. Otro mecanismo es tomar el control, sin conocimiento del mismo, de un equipo doméstico empleado por un usuario para acceder remotamente al sistema corporativo. Empleado ese equipo como elemento de salto, implantará con posterioridad un sistema de conexión reversa para poder acceder a la infraestructura independientemente del equipo de salto empleado en primera instancia.

Una vez que el acceso se ha realizado, el atacante tendrá como objetivo realizar movimientos laterales para escalar privilegios y llegar al verdadero objetivo del ataque: los datos de la corporación. Es muy habitual que para ello empleen herramientas tales como Cobalt Strike o PowerShell Empire.

Lograda dicha elevación, tendrá en su mano la posibilidad de llevar con éxito diversas acciones:

  • Exfiltrar los datos con el objetivo de venderlos, de realizar una extorsión o incluso de materializar ambas.
  • Iniciar un proceso para degradar el sistema, incluyendo en ello la manipulación de servicios críticos como son los vinculados a las copias de seguridad, preparando el terreno para la última de las acciones a llevar a cabo.
  • Poner en marcha un Ransonware para paralizar la producción, buscando en ello un pago económico por liberar la información secuestrada o la recuperación de los servicios paralizados.
 
 

El uso de tecnologías empleadas para el teletrabajo indudablemente aumenta la “Superficie de Exposición”. Sin el adecuado refuerzo de seguridad con una orientación hacia el “acceso remoto seguro” las entidades se exponen a situaciones de amenazas que una vez materializadas causan un considerable perjuicio.

Pero las organizaciones deben tener en cuenta que el ataque no se circunscribe a estas acciones únicamente. Los ciberdelincuentes van a querer perpetuarse y sin un plan adecuado de expulsión del atacante, la problemática podría llegar a darse nuevamente pasado unos meses.

Sidertia ha contribuido durante este año y medio a analizar los riesgos y a disminuir las amenazas a las que se enfrentan las organizaciones. Disponemos de herramientas para medir la “Superficie de Exposición”, identificar los riesgos TIC a los que se enfrenta la entidad y diseñar un plan de adecuación en materia de seguridad. Este plan tendrá en cuenta diversos factores tales como la definición de una hoja de ruta de remediación a corto, medio y largo plazo, el aprovechamiento de los medios existentes o la definición de procedimientos operacionales de seguridad adecuados para la organización.

Si tu compañía ha sufrido un incidente de seguridad, ¡sabemos a lo que te enfrentas! Hemos participado tanto en la propia coordinación como en el apoyo en las tareas de los propios incidentes. También como no en tareas que derivan en los procesos post incidentes. Con procedimientos reglados, metodologías para la expulsión del atacante o la recuperación de los servicios esenciales y auxiliares, el personal de Sidertia ha ayudado a solventar situaciones altamente críticas.

Una vez que la situación se ha estabilizado y está garantizado que el atacante no tiene ningún control efectivo sobre los sistemas de la información, es momento de ponerse manos a la obra; para mejorar la seguridad corporativa, para evitar que lo que ha pasado vuelva a suceder y al final que con el paso del tiempo, que todo quede en un mal recuerdo.

 
ANA
ANA (Automatización y Normalización de Auditorías) es un sistema de auditoría continua desarrollado por el CCN-CERT que tiene por objetivo incrementar la capacidad de vigilancia y conocer la superficie de exposición. Con esta herramienta se pretende reducir los tiempos en la gestión de la seguridad, mediante una gestión eficiente de la detección de vulnerabilidades y de la notificación de alertas, así como ofreciendo recomendaciones para un tratamiento oportuno de las mismas.

Comparte:

Post Relacionados.

Adaptamos la
Ciberseguridad 360º
a tu organización.

Distintivo_ens_certificacion_MEDIA
CCN-CERT Acreditación Difusión Limitada
CCN CERT
SidertiaSolutionsIso9001
Sidertia obtiene el certificado en Administración de sistemas por IQNET
Sophos Partner Sidertia Solutions

Copyright © 2022

cookies-sidertia
Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
Entendido