En las últimas semanas estos programas dañinos ocuparon los titulares de medios especializados y masivos en general. Se llegaron a leer y escuchar afirmaciones de lo más absurdas sobre el tema. En esta ocasión tuvimos la oportunidad de contar con la opinión de Gonzalo García, Director de ventas para América del Sur de Fortinet, que se ocupó de poner algunas cosas en claro.
A raíz del último ataque cibernético que sufrieron múltiples empresas y organizaciones a nivel mundial hace algunas semanas, me pareció importante compartir algunas ideas y recomendaciones que los Responsables de Seguridad Informática puedan tener en consideración ante otro eventual ataque con el fin de minimizar los efectos o en definitiva evitarlos, reconociendo a la vez que muchos de estos eventos no se han hecho públicos, hasta ahora.
Como primer punto, es importante entender que todo sistema operativo puede estar expuesto a esta problemática, ya que todas las aplicaciones son falibles y pueden ser vulnerables a distintas amenazas, por lo que es sustancial conocer cómo evitar, o en el peor de los casos, gestionar de manera apropiada y a tiempo un ataque de estas características.
Para entender este tipo de ataques es necesario empezar por comprender su origen y aprender a detectar las señales de aviso que funcionan como alarmas para prevenir una vulneración del sistema.
Por ejemplo, desde el último 14 de marzo se han disparado diversas alarmas, que de ser atendidas a tiempo podrían haber evitado el daño hecho por el Ransomware WannaCry. Cuando Microsoft dio el primer aviso de manera pública sobre esta vulnerabilidad, le otorgó la denominación de crítica y dejó claro que se trataba de una debilidad que permitía ejecución de código remoto; y es en ese momento que se debió activar un protocolo de instalación urgente ante este tipo de fallos de seguridad.
Una segunda y más drástica alarma surge el pasado viernes 14 de abril, cuando Shadow Brokers, dejó disponible un archivo de 117.9 Mb con el código para explotar la vulnerabilidad MS17-10.
Sin embargo, lo más importante a considerar, quizá, es que la ventana de tiempo para reaccionar ante un evento como este es muy pequeña y lo más probable es que no sea suficiente para actualizar los sistemas y tomar las medias del caso ya que es una tarea compleja, lo cual responde la principal incógnita que surge ante estos ataques: ¿Por qué no prever y evitarlo?
La mejor recomendación para solucionar estos problemas desde su origen es tener un procedimiento que abarque la aplicación urgente de parches de seguridad críticos para cada caso en particular, conocer la ventana de tiempo en el que estarán expuestos y saber con qué medidas contar para actuar en caso de sufrir una irrupción durante ese período de exposición y vulnerabilidad.
Por ejemplo, durante los hechos más recientes, las soluciones de Fortinet bloquearon de manera exitosa este ataque a través de herramientas como FortiGate, FortiSandbox, entre otras.
Tal como mencionamos al comienzo, este hecho tomó notoriedad y fue mediático debido al éxito del ataque, pues muchas veces éstos resultan ser bloqueados por las organizaciones y pasan desapercibidos ante la población a pesar de estar siempre ante una eventual ventana de ataque.
Para culminar, aquí van algunas recomendaciones que ayudan a minimizar la exposición a este tipo de ataques:
- Que la infraestructura de correo electrónico esté combinada con sistemas de seguridad de Anti-SPAM, antivirus de email y sistemas de prevención de amenazas persistentes avanzadas (ATP) para prevenir que el canal “correo electrónico” sea utilizado como vector de ataque.
- Implementar Firewalls de nueva generación, no sólo para el perímetro de la organización, sino también para segmentar las redes internas y, en caso que una brecha sea detectada, crear una zona de exclusión donde esta amenaza sea contenida. Es deseable que sistemas de IPS y antivirus de red estén implementados para el tráfico entre subredes internas. También entre zonas de seguridad debemos nuevamente combinar el uso de sistemas ATP para que puedan inspeccionar el tráfico sospechoso que circula de forma entrante o saliente.
- Contar con tecnología de Wifi que permita también implementar capacidades de seguridad para así asegurar que cualquier dispositivo contaminado que esté conectado a nuestra red inalámbrica pueda ser contenido.
- Implementar sistemas de correlación de eventos, que tengan conciencia de las últimas amenazas y que ante un estado de alerta puedan reaccionar avisando y/o, de ser posible, reforzando automáticamente las políticas de seguridad del perímetro y de la(s) zona(s) afectadas.
CLAVES PARA EL CANAL
Gonzalo García deja en claro que, si bien la mejor defensa ante este tipo de amenazas es la correcta actualización de los sistemas, esta es una tarea que, por distintas razones, tiende a ser postergada. Este es un problema que sólo se puede solucionar mejorando la gestión de la Seguridad Informática, para lo que se puede contar con la ayuda de herramientas semiautomáticas.
La clave más importante de la que habla García es la importancia de contar con herramientas que actúen proactivamente ante nuevas amenazas y las detengan, no por haberlas identificado con nombre y apellido, sino por su comportamiento sobre los sistemas. Esto proporciona una capa de Seguridad Informática fundamental, que es la que nos protege de las nuevas amenazas, aunque los sistemas no estén debidamente actualizados.
En este punto la posición del cliente final es que la adquisición de este tipo de herramientas representa una inversión importante. El problema de Wanna Cry dejó en claro que este tipo de inversión tiene un fuerte retorno cuando evaluamos el impacto total sobre el negocio que puede tener ser víctimas de un ataque de este tipo.
