Cómo protegerse contra los ciber-ataques dirigidos
Aunque recientemente el espionaje nacional y el gusano Stuxnet han cosechado muchos titulares, el aumento del fraude en la banca online a causa de los troyanos y del phising dirigido asociado (emails maliciosos que se dirigen a personas específicas dentro de la organización) siguen siendo hoy las mayores amenazas para la mayoría de las empresas.
El bloguer especializado en temas de seguridad Brian Krebs ha dado una cobertura en profundidad al aumento de este fraude y, en especial, a los troyanos bancarios.
El pasado mes de septiembre, el Grupo de Trabajo Anti-Phising asimismo estimó que las pequeñas y medianas empresas en EE.UU podían estar perdiendo hasta 750 millones de euros anuales a causa del fraude bancario.
La magnitud de este fraude, así como de la sofisticación de la ingeniería social, pueden parecerle desalentadores a cualquiera que trate de mantener el dinero de su empresa dentro del banco y su nombre fuera de las columnas de Brian Kreb. Pero, como cualquier otra amenaza a la que deban enfrentarse las empresas, la mejor solución sería una defensa en profundidad, abordando la seguridad desde varios enfoques que se refuercen mutuamente y que se respalden, si la seguridad falla en alguno de los niveles. Dentro de esta tarea, algunas recomendaciones útiles serían:
1. Actualizar periódicamente la protección antimalware.
Una adecuada protección antimalware en los equipos cliente, en las redes informáticas y en los sistemas de correo electrónico constituye un elemento fundamental de la protección empresarial en primera línea de fuego. Normalmente, el malware se cuela en las compañías a través de archivos adjuntos en los emails o a través de enlaces en correos spam que dirigen a los usuarios a páginas web maliciosas para la descarga de archivos. En este ámbito, una solución anti-malware de tipo empresarial le otorgaría al administrador de red un control absoluto sobre las políticas de seguridad, sobre la gestión de parches y actualizaciones, al igual que le permitiría realizar una monitorización centralizada.
2. Disponer de cortafuegos, detección de posibles intrusiones y sistemas de protección en equipos y redes informáticas.
Los cortafuegos también son un factor muy importante en la primera línea de defensa. Configurados adecuadamente, estos elementos de la seguridad suponen una gran ayuda en la protección de las redes informáticas y de los equipos cliente. Eso sí, no hay que olvidar que la protección contra intrusiones y los sistemas de detección requieren de una atención “humana” y no sólo automática, para el mantenimiento y para la monitorización, ya que “alguien” debe leer los registros. Estos sistemas de detección de intrusiones, también suponen una ayuda importante para llevar a cabo análisis forenses después de producirse un ciberataque.
3. Deshabilitar los puertos USB en equipos cliente o, al menos, su funcionalidad de autoejecución.
Las memorias USB se han convertido en unos accesorios muy útiles y muy utilizados. Desafortunadamente, los ciber-criminales también los usan como medio para propagar malware. De hecho, se cree que los gusanos Conficker y Stuxnet se propagan precisamente a través de estos dispositivos, por lo que su tratamiento debe quedar adecuadamente contemplado en las políticas de seguridad de las empresa. También es una buena idea educar a los usuarios sobre los peligros que conllevan estos dispositivos.
4. Actualizar periódicamente los sistemas operativos y las aplicaciones, especialmente los navegadores Web y todos los productos de Adobe.
Un número muy importante de los ataques producidos por malware y hacking han sido posibles debido a la existencia de sistemas operativos o aplicaciones en los que no han sido implantados los correspondientes parches de seguridad. Incluso los denominados ataques zero-day (que se aprovechan de vulnerabilidades desconocidas hasta el momento) también pueden evitarse antes de que los propios parches estén disponibles, a través de workarounds (arreglos temporales ligados a problemas detectados en los sistemas). Y es que estos “apaños” a menudo se publican tan sólo unos días después de los primeros informes de explotación.
5. Dado que los troyanos bancarios a menudo se instalan a través de archivos adjuntos maliciosos o de enlaces incluidos en un email, quizás sea conveniente considerar el uso de equipos dedicados (que no incluyan clientes de correo) para el acceso a las cuentas bancarias.
Múltiples troyanos se ejecutan en Micrososft Windows, por lo que una línea adicional de defensa para la empresa podría ser el uso de otros sistemas operativos en los equipos utilizados para la banca online.
6. Formar a los empleados, para que los mismos sean conscientes de los problemas e importancia de la seguridad informática.
Demasiadas personas conciben la seguridad como un problema relacionado únicamente con el hardware y software. Debido a ello, el amplio uso que hacen los operadores maliciosos de la ingeniería social, convierte a la formación de los empleados en un elemento de defensa muy importante contra estos ataques.
Los troyanos bancarios dependen en gran parte de la ingeniería social. Se propagan mediante phising y a menudo llegan como archivos adjuntos enviados a personas concretas (altos directivos, a las cuentas de los empleados acreedores, etc.) y que probablemente cuentan con acceso a información de los registros de la banca online. Una vez robadas las credenciales, por una “puerta trasera” o a través de una funcionalidad para usurpar claves, los ladrones transfieren los fondos de las víctimas a money mules (personas que transfieren dinero robado de un país a otro), para recuperarlos a posteriori mediante transferencias imposibles de rastrear.
Algunos de los puntos que hay que tener en cuenta al formar y concienciar a los empleados en cuestiones de seguridad informática, son:
• La existencia de una política de seguridad de la compañía bien documentada y actualizada, de la que los empleados deberían recibir copias.
• La importancia de ofrecer formación en temas de seguridad informática y de concienciar a los nuevos empleados y contratistas. También sería conveniente incluir en estas iniciativas a los altos directivos, ya que los mismos suelen ser el principal blanco de ataques de tipo phising.
• Es importante enseñar a los trabajadores con acceso a las redes informáticas y a los equipos de la compañía a reconocer los efectos de una actividad sospechosa y tener a alguien a quien se pueda informar de ello. Si se instruye a los empleados para que envíen informes vía e-mail y los ciber-criminales han deshabilitado el correo electrónico, los informes no llegarán a su destino.
• Los avisos por correo electrónico, los boletines de recordatorio y la formación en seguridad en el propio puesto de trabajo, deberían actualizar la formación a intervalos regulares y mantener un alto nivel de concienciación de los empleados en relación con la seguridad informática de la empresa.