Ciberseguridad

Fernando Acero: "Hay que poner los equipos en cuarentena al volver al trabajo presencial"

sara-olivo-escudo-digital

Guardar

Fernando Acero, una de las mayores autoridades europeas en materia de ciberseguridad.
Fernando Acero, una de las mayores autoridades europeas en materia de ciberseguridad.

En un momento en el que muchas organizaciones valoran la vuelta al trabajo presencial desde la situación de teletrabajo que impuso la pandemia, no podemos dejar de lado el análisis de los riesgoscibernéticos que puede entrañar la modificación de los hábitos laborales durante los últimos meses

Para ello, hemos entrevistado al Coronel del Ejército del Aire D. Fernando Acero, actualmente en la Reserva y CISO Global del Grupo Oesía. El Coronel, cuando estaba en activo fue primero Jefe de Operaciones de Ciberdefensa y posteriormente Director de Ciberdefensa del Ejército del Aire. Es una persona de reconocido prestigio en el mundo de la ciberseguridad y frecuente colaborador de medios de comunicación.  

¿Cree usted que con la vuelta al trabajo habrá más incidentes de seguridad en las empresas? 

Respuesta: Si se hacen las cosas bien y se mitigan adecuadamente los riesgos, no debería pasar nada malo. 

¿Por qué la vuelta al trabajo presencial entraña riesgos? 

Todo cambio en la forma de trabajar entraña un riesgo que es necesario gestionar adecuadamente. Además, en el caso del teletrabajo, es posible que los sistemas de los usuarios no hayan contado en su casa con las mismas medidas de seguridad presentes en las redes corporativas y eso ya es un riesgo importante a gestionar.  

¿Podría enumerar los riesgosmás importantes a los que se tienen que enfrentar las organizaciones en la vuelta al trabajo presencial? 

Durante el teletrabajo han podido ocurrir muchas cosas que han podido pasar desapercibidas para las organizaciones, básicamente considero los siguientes riesgos: 

  1. Equipos sin actualizar adecuadamente (Sistema operativo, aplicaciones, sistemas de seguridad, etc).  
  1. Presencia de equipos infectados con malware. 
  1. Equipos con software no corporativo de procedencia diversa o con software potencialmente no deseado (PUA). 
  1. Cuentas de usuario comprometidas. 
  1. Amenazas durmientes en mensajes de correo de phishing almacenados en local durante la pandemia. 
  1. Equipos sin una adecuada configuración de seguridad.  
  1. Datos corporativos que están fuera del control de la organización por políticas BYOD.  

¿Cuál es a su juicio la amenaza más peligrosa? 

Los equipos infectados sin duda y con un matiz muy importante. Durante la pandemia se han incrementado de forma considerable los ataques de Ransomware, Muchos de estos ataques son operados por humanos y están orquestados por fases en las que se usan distintos tipos de malware. Por ejemplo, Emotet, Trickbot y Ryuk. Por ejemplo, si un atacante ha logrado infectar un equipo corporativo con Emotet y se ha dado cuenta de que el equipo no está conectado a una red corporativa, es posible que lo deje durmiente y espere a materializar el ataque con Ryuk una vez que el equipo esté conectado a la red de la empresa.  

¿Qué recomendaría usted a las organizaciones para mitigar esos riesgos?  

Lo primero es crear un grupo de trabajo con el personal de ciberseguridad y sistemas para gobernar el retorno a las sedes.  

Lo segundo prepararse para lo peor y tener a punto el plan de continuidad de negocio actualizando y comprobando las copias de seguridad, realizar un snapshot de todas las máquinas virtuales, segmentando las redes, etc.  

Lo tercero crear un equipo técnico que atienda a los usuarios según vayan llegando a la sede de la empresa.  

Lo cuarto realizar una vuelta escalonada y controlada a las sedes.  

Lo quinto poner todos los equipos en cuarentena antes de conectarlos a la red de la empresa. 

¿Puede explicarnos en que consiste esa cuarentena?

La cuarentena consiste conectar los equipos a una red monitorizada y separada de la red de la empresa, desde la que los usuarios pueden seguir trabajando, pero con privilegios limitados sobre las redes y sistemas.  Mientras los equipos están en esa cuarentena de deberían hacer una serie de tareas básicas, por ejemplo: se comprobarán intentos de conexión anómalos, se actualizarán todos los sistemas, se comprobarán los correos electrónicos almacenados en local durante la pandemia, se eliminará todo el software no corporativo, se revisarán con varios motores antivirus, se comprobará su configuración de seguridad y se cambiarán las credenciales de todas las máquinas. Como es lógico en el caso de encontrar malware en los sistemas, se deberán tomar las medidas adecuadas para su eliminación. Por ello también es recomendable que la vuelta sea escalonada y que el número de personas que regresan a la sede lo sea en función del número de usuarios que pueda atender el Departamento de Sistemas.  Una vez hechas estas comprobaciones y tareas, se estaría en disposición de conectar los sistemas a las redes corporativas.  

"El Byod entraña enormes riesgos operativos y de ciberseguridad ante la falta de un adecuado control sobre los dispositivos y el uso dual (personal y profesional) que se hace de los mismos. Por otra parte, la ciberseguridad de las organizaciones avanza hacia políticas "zero trust" o como poco, de "mínimo privilegio", lo que choca de frente con el permitir el byod en las organizaciones".

Antes ha comentado que podría haber datos fuera del control de la organización por políticas BYOD durante el teletrabajo... ¿Qué recomienda desde el punto de vista de la ciberseguridad? 

Está claro que las organizaciones deben intentar a volver a tomar el control de su información. El método más sencillo puede ser mediante un dispositivo de almacenamiento USB, pero hay que estar seguros de que ese USB con los datos de la empresa que trae un empleado, no supone un riesgo para la organización. Por ello, es fundamental usar un mecanismo de exclusa, basado en equipos frontera y aduana, que permita analizar, monitorizar y hacer una transferencia segura de información a las redes corporativas desde dispositivos removibles. Aunque el principal vector de ataque a las organizaciones es el correo electrónico, no debemos perder de vista que los dispositivos USB son fuente de serios problemas ya que pueden tener amenazas físicas y lógicas, que pueden afectar a los sistemas de la organización si no ponemos los medios para evitarlos. 

¿Tiene alguna recomendación más? 

Lo que acabo de decir son recomendaciones genéricas, pero el riesgo real va a depender de la forma en la que se ha llevado el teletrabajo en cada organización, por lo que es necesario realizar un análisis de los riesgos y mitigar dichos riesgos adecuadamente.  Asimismo, hay que valorar las medidas de seguridad y de orquestación de las que dispone nuestra organización para detectar, bloquear y mitigar las ciberamenazas. Cuantos menos medios y sistemas de seguridad tengan en la organización, más cauto se ha de ser en ese regreso.  Además, si se considera que no se disponen de los medios humanos o materiales para llevar a cabo este proceso adecuadamente, se debería considerar la necesidad de disponer de dichos medios antes de comenzar con el retorno.  

¿Las empresas son conscientes de los peligros que entraña el BYOD (Bring Your Own Device, uso de equipos propiedad del empleado)?

El Byod entraña enormes riesgos operativos y de ciberseguridad ante la falta de un adecuado control sobre los dispositivos y el uso dual (personal y profesional) que se hace de los mismos. Por otra parte, la ciberseguridad de las organizaciones avanza hacia políticas "zero trust" o como poco, de "mínimo privilegio", lo que choca de frente con el permitir el byod en las organizaciones. La pandemia ha obligado que se hagan cosas no adecuadas por mera necesidad de supervivencia de las organizaciones , es decir, se han asumido riesgos, pero eso no significa que se deban mantener en el tiempo más de la cuenta y el byod es uno de esos riesgos. Pensemos que por permitir byod es mucho más probable que ocurra un ciberataque que si no se permite y el coste de ese ciberataque va a ser mucho mayor que el presunto ahorro que supone que los empleados usen sus propios dispositivos para trabajar. Los problemas de ciberseguridad asociados al BYOD son muchos y graves,

Podría enumerarlos

Entre ellos la falta de actualizaciones de seguridad, pero hay más... 

  • Ausencia de controles de seguridad en el sistema operativo.
  • Conexiones inalámbricas inseguras. 
  • Falta de cifrado. 
  • Ausencia de controles de seguridad para acceder al dispositivo, como MFA.
  • No poder instalar las herramientas de seguridad corporativas en dispositivos de usuarios. 
  • Instalación de aplicaciones no confiables.
  • Uso compartido del dispositivo entre varios miembros de la unidad familiar. 
  • Gestión de la información, permisos y configuraciones cuando un empleado cesa la relación laboral. 
  • Acceso forense al dispositivo si ocurre un incidente de seguridad.

¿ Donde hay más peligro, en los móviles, las tablets, portátiles o pcs?

Un dispositivo móvil, un portátil o una tablet, es más fácil que sea robada o perdida y si no tiene las medidas de seguridad adecuadas, representa un enorme riesgo para la organización. El el caso de los móviles hay fabricantes que permiten separar el uso profesional y el personal de dispositivo, pero para ello el dispositivo se ha de configurar adecuadamente para que haga esa separación. Es muy frecuente que los usuarios tengan sus cuentas de correo corporativas en teléfonos personales y algunos de esos teléfonos ni tienen contraseña de acceso, lo que es un gran riesgo para la seguridad.

Todos los dispositivos móviles deberían contar con cifrado y un mecanismo de acceso seguro, o de otro modo, todo lo que tiene el móvil, incluidas aplicaciones de acceso a servicios tan sensibles como banca o sanidad, estarán en riesgo, además de toda la información personal que tenga el usuario en el dispositivo.