La situación generada por la expansión de la pandemia del COVID-19 y la necesidad de control de la misma, está provocando que muchas compañías hayan tenido que tomar la decisión de proporcionar mecanismos y herramientas de trabajo remoto para sus empleados.
Bajo este marco, sabiendo que en España la cifra de trabajadores que ya aplicaban el teletrabajo se situaba tan solo el 3 %, y con las premisas de “urgencia” e incluso en muchas ocasiones “improvisación”, muchas de las acciones que las compañías realizan comenzarán a provocar un uso indebido y más allá, me atrevería a decir “no conocido”, de las herramientas. Todo ello, generará una sobreexposición hacia los ciberatacantes. Al final, no hay que olvidar que en muchas ocasiones las compañías no están preparadas para el trabajo en remoto, al menos masivo.
Los departamentos de TI están yendo todo lo rápido que pueden aportando soluciones y desplegando las mismas, pero también improvisando: generando plataformas de acceso temporales (Web Site con Aplicaciones corporativas), desplegando o activando en sus sistemas perimetrales (FW, concentradores, etc.) las tan ansiadas VPN, para intentar habilitar grandes picos de sesiones de usuarios no habituales, y abriendo permisos adicionales a perfiles de usuarios para permitir el trabajo desde casa.
Todo esto genera muchos cambios en escaso tiempo, muchos planes, reorganizaciones de procesos, etc. con muchas dudas y en muchas ocasiones también con poca organización, al final ¡la urgencia manda!
Pues bien, entendamos que si habitualmente hacer cambios necesita controles de despliegue y ajustes, no tenemos que decir que hacerlo sin tiempo y con prisas lo que genera seguro son muchas brechas de seguridad.
¿Qué NO hacer ante esta situación?
Por un lado, hay que entender que las cosas en la arquitectura IT de vuestra compañía han cambiado drásticamente en horas o máximo días, sin tiempo para pensar, sin tiempo para predecir, ni simular.
Y entendiendo que el gran enemigo de la seguridad es la improvisación, juntamos ambas cosas en una coctelera y nos da como resultado un buen “pastel” para los ciberdelincuentes.
Con esto, seguro que nos vamos a encontrar en la tesitura de haber realizado algunas de estos actos temerarios:
- Configuraciones débiles de FW
Para poder generar las VPN y todos los permisos a recursos que se accedían sólo desde dentro de la LAN, ahora se acceden desde VPN… más vale que la VPN esté bien controlada.
- Usuarios trabajando desde casa
Con portátiles de la compañía (menos riesgo), pero también con equipos propios (más riesgo), equipos no controlados por el departamento. IT de la compañía y por lo tanto sin protección corporativa o mucho más ligera.
- Conectividad privada (doméstica) de los trabajadores
Accesos Internet sin control, WiFi domésticas, WiFi compartidas, etc.
Todo como veis, genera un excelente caldo de cultivo y una extensión enorme de la superficie de ataque… y los ciberdelincuentes, frotándose las manos.
Encima, nos encontramos con que las campañas de phishing, generan creatividades magníficas aprovechando en estos momentos la información falsa sobre la pandemia del COVID-19. Y no solo phishing tradicional, sino que también nos estamos encontrando un crecimiento del vphishing (Voice Phishing) ataques que para los usuarios no son tan conocidos y que los ciberdelincuentes maquetan muy bien ocultándose en esta campaña del COVID-19. El eje común de estos ataques es usar el miedo al nuevo virus para que los usuarios piquen en la trampa. La recomendación para los usuarios debe de ser que no hagan las cosas con urgencia, que las hagan con calma, y, sobre todo, que se muestren siempre recelosos de informaciones y envíos que no sean o dirijan a fuentes oficiales.
Recomendaciones básicas (Do the Basics)
Os queremos hacer pensar un poco, pararnos esos segundos que no hemos parado antes y repensemos para hacer lo básico:
- No lancemos servicios empresariales que se expongan a Internet por primera vez. Por favor, no abramos ERP, CRM, etc. que no estén bien diseñados y preparados para ser accedidos de manera segura desde Internet. Si no tenemos más remedio, hagamos los deberes básicos y limitemos las conexiones, protejámosla detrás de un FW, WAF, etc.
- Hagamos que el desktop corporativo siempre lance la VPN al arrancar, no dejemos la opción en manos el usuario, que además puede no estar acostumbrado a su uso.
- Activemos protección de EndPoint a todos los equipos remotos e intentemos que no sea el antivirus gratuito.
- Intentemos que la navegación de esos usuarios sea controlada, a través de nuestra salida corporativa, para así que sea filtrada por nuestros equipos corporativos de seguridad.
- Revisemos las reglas del FW después de las prisas, 30 minutos de revisión nos pueden evitar 2 días de locura por dejar las cosas tan fáciles a los atacantes.
- Sigamos las políticas de permisos que estén activadas, elevarlas y controlarlas, pero evitar hacer nuevos grupos y permisos para que no queden en el olvido y sean una posterior puerta de entrada.
- Hagamos una pequeña guía de uso a los usuarios. No caigamos en la falsa sensación de que ya son conocedores de todo, su entorno de trabajo cambiará, y no son expertos en ciberseguridad (ni deben serlo). Sigamos concienciándolos como piedra angular de la ciberseguridad de la compañía.
- Mantengamos informados a los usuarios en buenas prácticas IT, “gastemos” un poco de tiempo semanal, en darles información de ataques/riesgos más comunes y píldoras de cómo actuar. Esto les hará estar atentos en todo momento.
Y lo más importante, hagamos las cosas lo más serenamente posible, identificando los riesgos que se están abriendo y asumiendo, para que cuando volvamos a la situación de partida podamos recuperar todo el control y no nos dejemos abiertas cosas por distracción, prisas e improvisaciones.
José María Ochoa
Area Manager Cybersecurity (OneseQ – By Alhambra IT).