Ciberataques más frecuentes al no realizar una correcta gestión de la Ciberseguridad en RRHH
Está claro. El simple hecho de trabajar conectado a internet hace que todos estemos expuestos a malware, virus, y cualquier tipo de ciberataque en una empresa. Por eso resulta imprescindible estar informado de cómo detectarlos y qué hacer en caso de que nuestra seguridad informática haya sido vulnerada.
Alguna vez os hablamos sobre las buenas prácticas de ciberseguridad en los departamentos de recursos humanos y sus principales aplicaciones para la gestión de personas. Hoy queremos aclarar algunos conceptos relacionados con la tipología de ciberdelitos que con mayor frecuencia nos podemos encontrar en nuestro día a día. Siguiendo las pautas del INCIBE, Nos centraremos en estos tres:
1 Phishing
2 Ransomware
3 Botnet
1.- Phishing
Son correos electrónicos que suplantan la identidad de organismos públicos. Normalmente, estos emails, en su contenido, utilizan pretextos como el de informar al usuario sobre cómo validar los certificados electrónicos, requisitos técnicos para realizar trámites en la Sede Electrónica o indicar cuáles son los sistemas de firma y certificados admitidos. Para ello el destinatario debe hacer clic en un enlace para descargar un fichero que es el que instala el virus malicioso en el equipo.
Recomendaciones para evitar el phishing:
- No abrir correos electrónicos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
- Nunca responder a estos emails, ni enviar información personal.
- Cuidado al hacer clic en enlaces y descargar ficheros adjuntos en correos, SMS, WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener siempre el sistema operativo y el antivirus actualizado.
Algunos signos que indican que un dispositivo está infectado:
- Las herramientas de protección están deshabilitadas
- El dispositivo se reinicia o bloquea sin motivo aparente
- Aparición de programas y aplicaciones desconocidas instaladas
- Archivos desaparecidos o no accesibles
- El rendimiento baja
- Consumo de batería y datos fuera de lo normal
- Ventanas emergentes con anuncios, mensajes y pop-ups
- El navegador no responde a las búsquedas
En caso de duda, lo mejor es consultar directamente con la propia empresa, a la que hay que avisar siempre sí o sí, y con organismos especializados en este tema, como las Fuerzas y Cuerpos de Seguridad del Estado (FFCCSE) o la Oficina de Seguridad del Internauta (OSI).
2.- Ransomware
El ransomware es una actividad maliciosa, que, lamentablemente, se está extendiendo con mucha rapidez, causando un gran impacto tanto en empresas como en ciudadanos. Consiste en una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas, como ordenadores de escritorio, portátiles y dispositivos móviles.
Este software malicioso ‘secuestra’ la información de la empresa, impidiendo el acceso mediante cifrado y solicitando un rescate (en inglés, ransom) a cambio de su liberación. En las empresas causa pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona retrocesos económicos y daños de reputación.
Este tipo de ataque está creciendo exponencialmente debido a que es muy rentable para los ciberdelincuentes, porque:
- Cada vez hay más dispositivos susceptibles de ser secuestrados
- Es más sencillo secuestrar la información debido a los avances de la criptografía
- Los ciberdelincuentes pueden ocultar su actividad para lanzar ataques masivos
- Al utilizar sistemas de pago anónimo internacionales resulta complicado el seguimiento del delito
Cómo prevenir el ransomware
- Copias de seguridad. La principal medida de seguridad que permite recuperar la actividad de una empresa en poco tiempo, son las copias de seguridad o Se recomienda al menos, hacer y conservar dos copias de seguridad y guardarlas en un lugar diferente al servidor de ficheros. Lo ideal es almacenarlas en discos físicos o en soportes externos no conectados a la red de la organización.
- Navegar seguro. Utilizar redes privadas virtuales siempre que sea posible y evitar visitar sitios web de contenido dudoso.
- Actualizar. Cuanto más actualizados estén los sistemas que utiliza la empresa, menos vulnerabilidades tendrán y será más difícil que puedan entrar o infectarla. Hay que asegurarse de que los sistemas operativos, aplicaciones y dispositivos tengan habilitados la instalación de actualizaciones de forma automática y centralizada.
- Mínimos privilegios. Mantener los privilegios de seguridad de usuarios y grupos al mínimo, es decir, evitar que tengan más privilegios de los que necesitan. Se recomienda utilizar contraseñas robustas y políticas de bloqueo de cuentas ante un número determinado de intentos de acceso, así como eliminar o deshabilitar aquellas cuentas de usuario que no sean necesarias y no utilizar cuentas con permisos de administrador. También es recomendable utilizar programas para evitar que los usuarios instalen aplicaciones no permitidas, esto es, implantar políticas de restricción de software.
- Mínima exposición. Evitar la exposición al exterior de la red interna de la empresa o de aquella información o servicio que no necesita ser accedida desde el exterior de la misma. Para ello es necesario abrir una parte de la red, evitando siempre que el resto de la misma quede desprotegida a través del uso de cortafuegos o firewall, un sistema de seguridad capaz de establecer reglas para bloquear o permitir conexiones de entrada o salida de nuestra red. Aunque un cortafuegos no es suficiente para proteger los servidores internos de una empresa. Para descartar una posible brecha de seguridad existe además una configuración denominada zona (o red) desmilitarizada (DMZ) que ha de estar especialmente controlada y monitorizada.
- Configurar el correo electrónico. El email es una de las principales vías de entrada de mensajes con los que intentarán robar las contraseñas de acceso a los servicios de una empresa, y otros con engaños para instalar malware o visitar páginas dónde infectar a los usuarios. Entre otras medidas, los servidores de correo electrónico de una organización deben contar con filtros de spam, utilizar autenticación de correos entrantes, escanear todos los correos de entrada y salida para detectar amenazas, deshabilitar las macros de los ficheros de Office (o utilizar un Office Viewer) y desactivar el HTML en las cuentas de correo críticas.
- Plan de respuesta a incidentes. Como medida de carácter preventivo, la empresa debe tener preparado un plan de actuación o respuesta ante incidentes, que defina las fases de ‘Preparación’, ‘Detección y Análisis’, ‘Contención, Resolución y Recuperación’ y ‘Acciones posteriores al cierre’.
- Auditar. Resulta altamente recomendable realizar periódicamente una auditoría a los sistemas de la organización, tanto para poner a prueba sus mecanismos de seguridad, como para comprender la capacidad para defendernos de los ataques. ¿Qué aspectos se deberían auditar? Por ejemplo, protección antivirus, antispam y de filtrado de contenidos; administración de permisos de usuarios y accesos a servicios; seguridad de los dispositivos móviles; gestión automatizada de actualizaciones y parches; detección de vulnerabilidades; monitorización del uso de los recursos informáticos y de red; monitorización y análisis de eventos de seguridad en tiempo y real (SIEM)
¿Qué hacer si la empresa es objeto de ransomware?
1º No pagar nunca el rescate. Pagar no garantiza volver a tener acceso a los datos; al fin y al cabo, se trata de delincuentes. Además, si se paga es posible ser objeto de ataques posteriores pues, ya saben que esa empresa está dispuesta a pagar
2º Si está preparado el plan de respuesta a incidentes, aplicarlo para poder minimizar en lo posible los daños causados y poder recuperar la actividad corporativa lo antes posible. Este plan de respuesta, marcará las pautas a seguir para la obtención de evidencias para una posible denuncia de la acción delictiva.
3º Si la empresa no tiene Plan de respuesta ante incidentes rescatar la última copia de seguridad de la información para recuperar los datos perdidos.
3.- Botnet
Una botnet está formada por un conjunto de dispositivos conectados a Internet, un número generalmente elevado, que han sido infectados con malware y reciben órdenes de forma remota por parte de los ciberdelincuentes.
Los dispositivos infectados que forman parte de una botnet también se conocen como bots o zombis. Cualquier equipo que tenga conexión a Internet como ordenadores, servidores, routers, dispositivos IoT… puede infectarse y llegar a formar parte de una botnet.
Las tareas que realizan los equipos infectados son dirigidas normalmente desde un servidor central también conocido como C&C (del inglés Command & Control). Existe otra variedad denominada botnets P2P que carecen de ese único servidor C&C debido a la descentralización que proporcionan las redes P2P.
¿Cómo se infectan los dispositivos?
Los dispositivos se pueden infectar a través de diversos métodos, según el tipo de dispositivo que los botnet pretenden infectar. Los métodos de infección, denominados vectores de ataque, más utilizados son:
1. Troyanos. Este método suele afectar a dispositivos de usuario como ordenadores, smartphones o tablets. El ciberdelincuente consigue que la víctima descargue y ejecute un archivo malicioso infectado con malware. El troyano puede esconderse en diferentes ubicaciones: documentos adjuntos en correos electrónicos, ficheros enviados en servicios de mensajería instantánea o redes sociales, sitios web comprometidos, webs de descarga no oficiales…
2. Vulnerabilidades no parcheadas. Este vector de ataque puede afectar a cualquier dispositivo, ya que todos ellos pueden contar con vulnerabilidades no parcheadas que pueden llegar a ser explotadas por los ciberdelincuentes.
3. Configuraciones inseguras. Algunos dispositivos como routers y especialmente, los que forman parte del IoT suelen contar con configuraciones por defecto poco seguras, así como, con contraseñas débiles. Estas configuraciones débiles son usadas por los ciberdelincuentes para obtener acceso al dispositivo y convertirlo en parte de la botnet.
¿Cómo saber si una empresa forma parte de una botnet?
En España, el Instituto Nacional de Ciberseguridad, INCIBE, pone a disposición de todos los ciudadanos un Servicio Antibotnet, una herramienta que permite saber si la conexión a Internet asociada a una empresa -siempre que se encuentre dentro de España- está relacionada con algún tipo de botnet o red zombi. Además, proporciona información para localizar el dispositivo infectado, así como herramientas que sirven en la posterior desinfección.
En caso de detectar que la empresa está incluida en alguna botnet pasarían a estar en peligro la integridad y confidencialidad de la información que maneja, los recursos y su propia imagen. Todas las empresas, sea cual sea su tamaño, deben estar libres de esta amenaza y en caso de haber sido infectados, ser conscientes de la situación y saber cómo mitigarlo.
Ahora más que nunca, vigila la ciberseguridad de tu empresa y haz hincapié entre todos los miembros de tu equipo sobre la especial importancia de utilizar todas las herramientas que tengamos a nuestro alcance para evitar ciberataques en los departamentos de RRHH. Ten en mente que la vulnerabilidad más importante de cualquier sistema de información se encuentra en los usuarios.