TAMAÑO DE LA LETRA 
Maximizar Fuente Minimizar Fuente
Alberto Rebollar, Director General de Sortis
La importancia de RRHH en los ciber ataques
POR Alberto Rebollar, Director General de Sortis, 00:01 | 19 de Mayo del 2017
©RRHHDigital.com
©RRHHDigital.com

Después de que el pasado viernes se produjese un ciber-ataque masivo a través de un Malware tipo Ransomware que explota las vulnerabilidades de los paquetes de actualización de Microsoft de Marzo, abril y Mayo de 2017, ha quedado claro que, además de las medidas de precaución en los sistemas que todas las compañías deben tener, es fundamental el factor humano, es decir, la colaboración de los departamentos de recursos humanos.

Desde SORTIS, sabemos que el vector de ataque principal es la red al tener habilitado el puerto 445, y el resto de vectores de ataque son los mismos de los ransomware (enlaces de correo, archivos adjuntos, internet, etc). Se trata de la mayor propagación de ransomware de la historia, si bien se espera que sea reproducido a mayor escala aún en los próximos tiempos.

El funcionamiento de WannaCry es relativamente simple: en cuanto uno de los archivos que lo contienen llega a un ordenador, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica (en el caso de que ha acontecido, 300 dólares en bitcoins) para poder recuperar el acceso a los archivos cifrados por el propio ransomware. De no pagarse esta cantidad en el tiempo acordado (para los afectados, en el plazo de tres días, prolongable a otros tres bajo la condición de un pago doble), todos los archivos son eliminados automáticamente.

Si el ordenador infectado forma parte de una red local, el resto puede verse infectado igualmente, motivo por el cual Telefónica ha dado la orden de apagar todos los equipos de la empresa de inmediato.

La lista de versiones de Windows que puede ser infectada, según el comunicado del Centro Criptológico Nacional, es la siguiente:

Windows Vista Service Pack 2
Windows Server 2008 Service Pacl 2 y R2 Service Pack 1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

En el caso de las versiones de Windows Vista, Windows 7 o Windows Server 2008, hay un problema añadido: Microsoft dejó de dar soporte y actualizaciones de seguridad a estas plataformas por quedarse obsoletas. De Windows 8 en adelante sí hay una actualización disponible que elimina la vulnerabilidad que hacía posible este ataque.

Medidas

Tras esta grave incidencia, queremos compartir una serie de medidas a implementar para paliar los efectos devastadores de la distribución de virus, malware y otro tipo de software malicioso, que impacta directamente en los costes y la seguridad de la información de las empresas.

De acuerdo a los marcos de manejo de incidentes (SANS, NIST y Navy) dividimos las medidas a implementar en los niveles de seguridad de la información en:

  1. Preparación
  2. Detección
  3. Contención
  4. Erradicación
  5. Recuperación

Preparación:

  • Parche agresivo.
  • Asignar privilegios mínimos.
  • Crear y proteger sus copias de seguridad.
  • Conectar con fuentes de inteligencia.
  • Preparar un plan de respuesta.
  • Proteja sus puntos finales.
  • Educar a los usuarios (Ingeniería Social).

Detección: En el caso de que su empresa se vea afectada con un ataque, tener establecidas las políticas de alertas minimizará el daño llegando al caso de impacto cero si las alarmas están correctamente implementadas, vigiladas y los procedimientos de actuación ante su aparición bien descritos:

  • Correos con enlaces maliciosos y payloads.
  • Implementar reglas de bloqueo para los ejecutables.
  • Busque señales de encriptación y notificación.

Contención: Si el ransonware ha superado los mecanismos de detección o los procedimientos de actuación no han surtido el efecto en el tiempo necesario, sigue siendo posible eliminar los procesos en ejecución y aislar el punto final afectado, mecanismo que ayudará a contenerlo localmente y evitar su difusión por la red interna de su empresa. 

Erradicación: Una vez contenido el ataque se debe erradicar de su red.

  • Reemplazar, reconstruir o limpiar las máquinas
  • Aunque se debe observar cada caso de manera individual, la recomendación general es la sustitución en lugar de la limpieza, ya que al igual que con cualquier tipo de malware, existe la duda razonable de existir residuos del malware ocultos en el sistema, capaces de volver a infectar los dispositivos.

Recuperación: El paso final es restaurar el servicio siguiendo el plan de recuperación de desastres de manera que todos los sistemas afectados se vuelvan a poner en funcionamiento recuperando su completa funcionalidad.

  • Restaurar desde una copia de seguridad limpia.
  • Busque el vector de infección.
  • Notificar a la policía si es apropiado.

Educación a los Usuarios (Ingeniería Social)

Las técnicas para conseguir la confianza y manipular a la víctima son diversas y se aprovechan:

  • Del respeto a la autoridad, cuando el atacante se hace pasar por un responsable o por un policía;
  • De la voluntad de ser útil, ayudar o colaborar que se aprecia en entornos laborales y comerciales;
  • Del temor a perder algo, como en los mensajes que tienes que hacer un ingreso para obtener un trabajo, una recompensa, un premio, etc.;
  • De la vanidad, cuando adulan a la víctima por sus conocimientos, su posición o sus influencias;
  • Apelando al ego de los individuos al decirles que ha ganado un premio o ha conseguido algo y que para obtenerlo tienen que realizar una acción que en otro caso no harían;
  • Creando situaciones de urgencia y consiguiendo los objetivos por pereza, desconocimiento o ingenuidad de la víctima.

Por último, tras conseguir su objetivo, tienen que apartarse sin levantar sospechas. En ocasiones destruyen las pruebas que puedan vincularles con alguna actividad delictiva posterior que ejecuten con la información obtenida (por ejemplo: accesos no autorizados si obtiene credenciales, publicación de información, etc…)

Para evitar el ransomware, o cualquier tipo similar de ataque realizado mediante ingeniería social, desconfíe de cualquier mensaje recibido por correo electrónico, SMS, Whatsapp o redes sociales en el que se le coaccione o apremie a hacer una acción ante una posible sanción.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • No abra correos de usuarios desconocidos o que lo haya solicitado: elimínelos directamente. No conteste en ningún caso a estos correos.
  • Revise los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfíe de los enlaces acortados o utilice algún servicio para expandirlos antes de visitarlos.
  • Desconfíe de los ficheros adjuntos aunque sean de contactos conocidos.
  • Tenga siempre actualizado el sistema operativo y el antimalware. En el caso del antimalware compruebe que está activo.
  • Asegúrese de que las cuentas de usuario de sus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Añadido a esto siempre es recomendable hacer auditorias de ingeniería social y si es necesario impartir formaciones, jornadas periódicas, cursos o programas diversos como:

  • Programa de seguridad básica para empleados y directivos
  • Concienciación Ingeniería Social
  • Jornadas de delitos informáticos para abogados
  • Jornadas informativas entorno educativo
  • Formación técnica específica en seguridad
  • ….

SORTIS, conocedora de que este mundo de la ciber seguridad es nuevo para muchas organizaciones, se brinda a apoyar a todos sus clientes y amigos en cualquiera de las etapas mencionadas para que los potenciales impactos en las operaciones de sus empresas no se vean afectadas en la medida que lo han sido otras compañías en todo el mundo.

 

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

RRHHDigital

ENVÍE SU COMENTARIO
Lo más leído
Los lectores Opinan

¿Está su empresa inmersa en un proceso de transformación digital?
Si, desde hace más de un año
No, aún ni nos lo hemos planteado
En algunas cosas si, pero queda mucho trabajo por delante
rrhhdigital-blanco
RRHH Digital
El periódico online de recursos humanos y empleo
Otros periódicos del Grupo Ediciones Digitales Siglo 21
Secciones
Contacto

Aviso Legal
© CopyRight 2016 RRHHDigital