Cuando una empresa sufre un incidente de seguridad, sus responsables suelen pasar por varias fases. Desde la negación inicial hasta la aceptación de sus consecuencias, pasando por preguntarse cómo ha podido suceder, tanto los responsables de los sistemas como sus superiores se plantean muchas preguntas. Tras revisar una gran cantidad de casos durante los últimos meses y con la finalidad de que sirva de ayuda, el listado que mostramos a continuación contiene algunos de los errores detectados que fueron aprovechados por los atacantes para conseguir su objetivo.
Seguridad deficiente en la gestión del correo electrónico
Año 2021 y el email sigue siendo uno de los principales (si no el principal) vector de ataque usado por los delincuentes para propagar desde las amenazas más simples a las más elaboradas. Muchos se han resignado a delegar la responsabilidad de abrir el fichero adjunto o pulsar sobre el enlace malicioso sobre el usuario cuando se pueden añadir capas de seguridad que permitan un análisis de todos los correos de forma eficiente antes de que lleguen a su destinatario y ahorrándonos futuros quebraderos de cabeza.
Falta de concienciación
Relacionado con el punto anterior y aplicable a la mayoría de las amenazas existentes, la concienciación en seguridad es algo básico que debería hacerse a todos los niveles. Estamos hablando de concienciación eficaz y efectiva, no de realizar un breve cursillo online que se olvida rápidamente, ni de bombardear a los usuarios con falsas campañas de phishing que lo único que consiguen es minar su confianza tanto en sus superiores como en cualquier comunicación legítima.
Se debe formar a todos los usuarios, independientemente de su posición, de forma efectiva para hacerles partícipes de la seguridad de la empresa y no del problema, y esta concienciación ha de ser de forma regular e irla actualizando conforme evolucionan las amenazas y las soluciones de seguridad.
Mala configuración de las soluciones de seguridad
A día de hoy no son pocas las empresas que piensan que solo deben preocuparse de su solución antivirus cuando toca renovarla o esta muestra una alerta. No solo se necesita contar con soluciones de seguridad, sino también con administradores capaces de configurarlas según las necesidades de la empresa e interpretar las alertas, mensajes y archivos de registro generados. Esto permite detectar un posible incidente antes de que se convierta en un problema serio y no hace falta tener a este equipo dentro de la empresa, ya que es algo que se puede externalizar sin demasiados problemas.
Pobre gestión de los parches y actualizaciones
Gestionar actualizaciones de seguridad y aplicar los parches correspondientes puede ser una tarea complicada en algunas empresas que cuentan con miles de equipos y software heredado, que no se sabe bien si seguirá funcionando tras su aplicación. Esto dificulta la tarea de tener todos los sistemas al día en empresas concretas, pero para la mayoría de pequeñas y medianas empresas la actualización y aplicación de parches de seguridad debería ser una prioridad tan pronto como estas se encontrasen disponible. Precisamente estos agujeros de seguridad sin solucionar son una de las puertas de entrada favoritas de los delincuentes, por lo que conviene cerrarlas lo antes posible.
Escasa monitorización de incidentes
En las grandes empresas es habitual ver sistemas de detección y respuesta ante incidentes para detectar cualquier anomalía en los equipos de la red que pudiera ser un indicio de que algo extraño está sucediendo. Sin embargo, en muchas otras empresas estas medidas de seguridad siguen sonando a ciencia ficción y los responsables no se dan cuenta de los ataques hasta que es demasiado tarde. De nuevo, no es necesario que una empresa monte su propio equipo de análisis y respuesta ante incidentes cuando es un servicio que puede externalizar, ahorrando costes y ganando en efectividad.
Configuración insegura de permisos y acceso remoto
En una red con varios usuarios es necesario asignar los permisos basándose en las necesidades de acceso a los recursos e información de la empresa. Permitir el acceso a datos confidenciales o a subredes diferentes al departamento al que pertenecen los usuarios facilita el trabajo a los delincuentes cuando consiguen acceder a uno de los ordenadores de la empresa, ya sea de forma local o remota.
Precisamente, el trabajo remoto ha experimentado un importante crecimiento durante el último año, pero los accesos a la red corporativa no se han protegido adecuadamente en muchas ocasiones, permitiendo que un atacante comprometiese la seguridad de un trabajador que se encuentre trabajando desde casa y esto le diese acceso a la red corporativa. Por ese motivo resulta crucial asignar solamente los permisos estrictamente necesarios, comprobar la identidad de los usuarios que acceden a la red interna mientras trabajan desde casa, aplicar medidas de doble factor de autenticación y utilizar soluciones VPN y de cifrado de la información.
Copias de seguridad inexistentes o mal configuradas
Cuando se sufre un incidente de seguridad, lo primero en lo que se piensa es en aplicar medidas que permitan la vuelta a la normalidad lo antes posible mientras se investigan las posibles causas y alcance del ataque. En este punto, las copias de seguridad resultan esenciales para intentar que la empresa vuelva a tener su funcionamiento habitual cuanto antes, pero en demasiados casos nos encontramos que estas copias no se están realizando o nadie revisa si se realizan de forma correcta, lo que puede provocar que esta vuelta a la normalidad se retrase considerablemente.
Conclusión
Estos son solo algunos de los errores principales detectados tras revisar múltiples incidentes en empresa. Por supuesto, todos ellos tienen una solución, pero para conseguirla hace falta recursos, recursos que en lugar de ser vistos como un gasto deberían considerarse una inversión que permite evitar pérdidas mucho mayores en lugar de sufrir un ciberataque.