El home office se instaló como norma en un segmento de la sociedad y con esta nueva modalidad surgieron nuevos desafíos en materia de seguridad. Muchos usuarios no estaban preparados para esta nueva forma de trabajo y comenzaron a desempeñar sus tareas desde su hogar empleando equipos que comparten con otros usuarios. Y al compartir computadoras, si éstas no están configuradas de manera adecuada, limitando el acceso a herramientas de administrador, por ejemplo, se amplifica la potencial superficie de ataque.
Hay que tener en cuenta también, que muchas veces se trata de dispositivos cuyo software está desactualizado simplemente porque el usuario no contempla la necesidad de hacer esta actualización y por eso lo posterga de manera indefinida, cuando lo cierto es que cada nueva versión llegan mejoras y parches de seguridad que protegen de vulnerabilidades identificadas.
Si a todo esto se suma el factor humano, las chances de ser víctima de un ciberataque crecen todavía más. Porque para identificar un link sospechoso, un correo que puede ser un intento de estafa o algún otro tipo de ataque es necesario estar atento e informados, algo que no siempre ocurre en materia de ciberseguridad.
Las cifras dan cuenta del complejo panorama que se da en en este ámbito. Según el último informe de la empresa de seguridad Fortinet, en Argentina, se registraron más de 900 millones de intentos de ciberataques durante 2020, de un total de 41 billones en América Latina y el Caribe. Considerando solo los meses de octubre, noviembre y diciembre, hubo 550 millones de intentos de ataques en el país.
“Los que se vieron con incrementos bastante importantes son los ataques tipo phishing, que tienen que ver con engaños a los usuarios. Tiene que ver mucho con ingeniería social. En el plano de las empresas, hubo varios ataques, como Ransomware y robo de datos sensibles, pero también, se revelaron varias vulnerabilidades, lo que demuestra que se debe implementar el Modelo Zero Trust y la revisión constante. El secuestro de datos fue frecuente, y siempre se pidieron rescates con criptomonedas. El usuario final (el humano) es la última frontera y quien manipula los datos”, explicó a Infobae, Sergio Dias, director regional para SSA de Forcepoint.
Cuáles son los principales riesgos:
A continuación, los principales factores de riesgo según datos del informe publicado por Fortinet
1. El trabajo remoto como puerta de entrada a las redes corporativas: se detectaron solicitudes HTTP maliciosas para aprovechar vulnerabilidades en varios productos de routers domésticos que podrían permitir a los atacantes ejecutar comandos arbitrarios. Éste es uno de los principales riesgos asociados al trabajo remoto: usuarios que trabajan desde sus hogares con equipos que no están configurados de forma adecuada, ni actualizados y tienen accesos a datos corporativos.
2. Las campañas de phishing: sigue siendo en principal modo de ataque porque depende del factor humano. Por más protegido que esté el sistema si el usuario cae en la trampa de hacer clic donde no debe o dar sus datos, sin ser consciente de los riesgos, toda la seguridad entra en jaque.
Se detectaron numerosas campañas con troyanos que llevan a cabo actividades sin el conocimiento del usuario y que generalmente incluyen el establecimiento de conexiones de acceso remoto, la captura de entrada de teclado, la recopilación de información del sistema, descarga/carga de archivos y la instalación de otros malware en el sistema. Los activos infectados pueden realizar ataques de denegación de servicio (DoS) y ejecutar o detener procesos. El malware JS/ScrInject.B! fue el más activo de la región en ese período.
3. Vulnerabilidades: se detectaron numerosos intentos de ejecución remota de código contra ThinkPHP y PHPUnit, un marco web utilizado por una gran cantidad de desarrolladores web. La vulnerabilidad ThinkPHP se dio a conocer en 2018 y permite a los atacantes obtener acceso al servidor e instalar software malicioso. Mantener los servidores actualizados ayuda a reducir el riesgo de exploits. Por lo tanto, si está utilizando ThinkPHP versión 5 o anterior, debe aplicar la última actualización o parche del proveedor.
4. Los botnets y los dispositivos IoT: el botnet Mirai, dirigida a dispositivos IoT, se utilizó mucho a lo largo de los años, y ha ganado un interés cada vez mayor por parte de los atacantes que apuntan a vulnerabilidades más antiguas en productos de IoT. En los últimos meses, Mirai se volvió más rápido, resistente y más evasiva. Los ciberdelincuentes son conscientes de que los dispositivos de IoT están menos protegidos y se aprovechan de eso.
Hay otros botnets, más antiguos que siguen activos en América Latina como Gh0st y Andromeda, también conocidas como Gamaru y Wauchos, aparecen como las más detectadas en América Latina, a pesar de que se publicaron parches y se tomaron medidas para eliminarlas en diciembre 2017. De ahí que sea tan importante, descargar las actualizaciones de los fabricantes y realizar actualizaciones periódicas es fundamental en términos de seguridad.
Medidas de precaución
Desde Kaspersky recomienzan asegurarse de utilizar la última versión del sistema operativo y sus aplicaciones, con las funcionalidades de actualización automática habilitadas para que el software esté siempre al día.
También subrayan que es importante estar actualizados en materia de ciberseguridad para estar alerta de los riesgos. Esto es especialmente importante para los responsables de IT que son los encargados de actualizar las infraestructuras se seguridad.
A nivel corporativo, si no es posible actualizar el software, se recomienda a las empresas hacer frente a este vector de ataque mediante la separación de los nodos vulnerables del resto de la red, junto con otras medidas.
También se sugiere habilitar la funcionalidad de análisis de vulnerabilidades y administración de parches en una solución de protección de endpoints. Así se pueden eliminar automáticamente las vulnerabilidades en software para infraestructuras, parchearlas de manera proactiva y descargar actualizaciones de software esenciales.
Además de lo ya mencionado, Dias de Forcepoint recomienda a los usuarios no abrir ningún correo, o hacer clic en ningún link embebido, sin verificar expresamente el origen. En caso de que se haya presionado en un enlace, se debe verificar en la página si es la URL oficial, así como en el candado el origen y veracidad del certificado digital.
No se deben descargar archivos adjuntos sin verificar el origen o dirección de correo origen y si se sospecha de haber sido vulnerado desconectarse de la red y advertir inmediatamente al área de seguridad de la empresa.
SEGUIR LEYENDO: