Si eres administrador de sistemas, la red que gestionas es, sin duda, mucho más dispersa desde que entraron en vigencia las regulaciones del coronavirus sobre el teletrabajo.
La situación actual hace que incluso si tus compañeros ahora están usando sus propios ordenadores, y se están conectando a través de sus propias conexiones a Internet, sigue siendo “tu” red, y todavía representa un objetivo valioso como red, no solo como una serie de ordenadores individuales, para los cibercriminales.
Y, por supuesto, uno de los ataques más peligroso que puede sufrir tu red es, por supuesto, el ransomware.
Los ataques de ransomware a menudo dependen de que las víctimas cometan algún error básico que a menudo son bastante incómodos de afrontar: es natural suponer que no has cometido ninguno (o, al menos, no muchos), y puede parecer molesto y deprimente repasar lo básico.
Así que decidimos que encontraríamos una forma divertida de ayudarte a realizar un seguimiento de los errores comunes que a menudo conducen al ransomware, algo con rima y ritmo, así como con sentido.
Imagina que tu ordenador es una casa, y el ransomware una banda de ladrones, y canta con nosotros…
No cierres la puerta y luego olvídate
De cerrar las ventanas. <- PROTEGE TUS PORTALES DEL SISTEMA
No pienses que las llaves debajo del felpudo
Mantendrán fuera a los ladrones. <- ELIGE CONTRASEÑAS ADECUADAS
Cuando necesites hacer reparaciones,
No te encojas de hombros y digas: “Ahora no”. <- PARCHEA RÁPIDO, PARCHEA A MENUDO
No pongas un vigilante toda la noche
que escriba cosas en un libro,
Sin embargo, cuando recibes sus notas detalladas,
nunca eches un vistazo. <- EXAMINA TUS REGISTROS DEL SISTEMA
No compres alarmas, para después no conectarlas
Porque hacen su trabajo. <- SUPERVISA LOS AVISOS
Hemos resumido las acciones que puede realizar en 5 frases simples, de manera que sus iniciales sean PEPES, algo fácil de recordar.
1. Protege los portales de tu sistema
Los ciberdelincuentes a menudo buscan portales de acceso remoto como RDP (protocolo de escritorio remoto) y SSH (shell seguro) que no están debidamente protegidos, tal vez porque se configuraron temporalmente y luego se olvidaron.
Aprende a escanear tu propia red desde el exterior y asegúrate de que todos los servicios que estén abiertos y que escuchen conexiones estén allí, y que estén en tu lista de verificación de seguridad habitual.
Si no verificas los agujeros de acceso a tu red que se han dejado abiertos por error, ¡los ciberdelincuentes lo harán por ti!
2. Elige las contraseñas robustas
Cuando tienes prisa, especialmente si tienes que depender casi exclusivamente del acceso remoto durante estos días debido al confinamiento del coronavirus, es fácil tomar atajos para “hacerlo funcionar” y prometer que comprobarás todas las cerraduras y pestillos más tarde.
Sin embargo, cada vez que hay un gran volcado de contraseñas debido a una violación de datos, siempre encontrarás la contraseña “cámbiame” en algún lugar cerca de la parte superior de la lista.
Claramente, muchas personas comienzan con contraseñas básicas con todas las buenas intenciones de elegir una adecuada pronto, pero luego nunca lo hacen.
Utiliza contraseñas adecuadas desde el principio, más la autenticación de dos factores para aumentar la seguridad siempre que esté disponible.
3. Parchea rápido, parchea a menudo
No te expongas a posibles vulnerabilidades por más tiempo del necesario.
Mientras los delincuentes escanean tu red en busca de formas de entrar (ver 1), también pueden escanear en busca de servicios de acceso externo que no estén parcheados.
4. Examina los registros del sistema
Muchos, si no la mayoría, ataques de ransomware no ocurren instantáneamente o sin previo aviso: los delincuentes suelen tardar un tiempo, a menudo días y, a veces, más tiempo, para obtener primero una imagen de toda tu red.
Así es como se aseguran, cuando finalmente aprietan el gatillo que inicia los ataques, que obtendrán el resultado destructivo que desean para el rescate que planean exigir.
Por lo tanto, a menudo habrá numerosos signos reveladores en sus registros, como la aparición de herramientas de piratería “grey hat” que no esperarías que tus propios usuarios necesiten o usen; operaciones de administrador de sistemas, como la creación de nuevas cuentas que ocurrieron en momentos inusuales; y conexiones de red desde el exterior que no siguen un patrón habitual.
(El equipo de Sophos Managed Threat Response puede ayudarte en esto: saben no solo qué buscar sino también dónde encontrarlo).
5. Supervisa los avisos
Si has configurado tu sistema de alerta para que salte todo el tiempo, seguramente terminarás cansado de tanta alerta, y simplemente no les harás caso.
Pero ten cuidado de ignorar advertencias interesantes si mencionan que una amenaza potencial ya está bloqueada.
A menudo, las amenazas que aparecen en tu red no son solo eventos fortuitos, son evidencias de que los ciberdelincuentes ya están hurgando con cautela para ver qué acciones activan qué alarmas, con la esperanza de realizar un ataque mucho más grande más adelante.
Esto ayuda a los ciberdelincuentes a crear automáticamente listas de posibles víctimas para volver más tarde, por lo que tu mejor defensa es simplemente no estar en su lista.