Guía para realizar un plan de seguridad básico a precio cero

Son las 8:45 de la mañana de un miércoles primaveral. En la oficina todo anda tranquilo y quitando los típicos usuarios «dependientes» del departamento IT, con sus impresoras, problemas con un software que manejan a diario, quejas y sugerencias, parece que el día va a ser tranquilo.


Hacía unos días que había asistido a un seminario sobre firewalls de un fabricante. No íbamos a invertir en tal proyecto ese año, y quizás tampoco el siguiente, pero me quedé con muchas ganas de adentrarme un poco más en el tema de la seguridad. Llevaba tiempo leyendo artículos sobre la materia pero nunca me había centrado en empezar.

¡Decidí que ese era el día! Iba a comenzar mi plan de seguridad para toda la empresa. Yo solo y con no más presupuesto que las monedas para el café de mi mesa, y todos los clips-folios-bolígrafos-gb que la empresa ponía a mi disposición.

Intenté buscar información al respecto sobre cómo montar un plan de seguridad, pero la cantidad de siglas, metodologías, productos, procesos que había que estudiar me desanimaron. De todos esos conceptos me quedé con algunos que me interesaron. El primero de ellos, definición de activos.

Definición de activos

Es muy importante conocer nuestros equipos. Nuestro entorno. Para realizar un inventario de equipos, entendiendo por equipo cualquier sistema que tenga una IP, usé una máquina virtual que tenía instalada con Kali Linux, una distribución de Linux con un sinfín de herramientas de «hackers», pero que tienen muchos usos. Usé el comando Nmap -Pn -sV -O y el rango de mis IP´s, por ejemplo, 192.168.1.1-254. Con este comando ejecuté un port scan a todas mi IP´s, de esta manera obtuve la información de qué equipos tenía, y qué puertos-programas andaban corriendo en él.

Con la información resultante preparé una hoja de cálculo con el nombre, IP y puertos abiertos. Es importante anotar todos los equipos, y si tienes varias redes, realizar los port scan necesarios para identificar todos los equipos.

Se pueden usar otras herramientas como Nagios, OCSinventory, Active Directory etc, pero de esta manera te aseguras de saber lo que hay encendido, en un momento dado.

¿Los móviles que se conectan a la red Wifi se deben apuntar? Sí. ¿Se deben apuntar las cámaras de vídeo, impresoras, puntos de acceso, máquinas de fichar, etc? También.

Actualizaciones

Definidos mis activos, instalé en mi máquina la herramienta MBSA, una herramienta que comprueba las actualizaciones de Windows de los equipos. La ejecuté sobre un rango de red de mi empresa y esperé los resultados. De esta manera, pude cotejar en mi hoja de cálculo qué equipos necesitaban actualizaciones, y así tener una lista para, en los siguientes días, en mis ratos libres, actualizar los equipos que lo requieran. Buscando un poco en Internet descubrí que existe una función en los servidores Windows denominada WSUS me permite gestionar las actualizaciones de mis equipos de una manera centralizada, guardé en favoritos la documentación para instalarlo algún día.

Servidores

Repasando el listado, centré mi atención en los servidores de la empresa. Por ejemplo, en un file server que contiene toda la información de la empresa. En su día se organizó por departamentos, pero todos sabemos que al final, hay usuarios que siendo de un departamento, pueden ver toda la información de otro departamento. Los empleados cambian de departamentos, trabajan para varios, pero tienen distinto nivel de acceso… Todo esto cayó en las manos de los usuarios y llevo tiempo sospechando que habrá alguna «nómina» o documentos privados con más permisos de los que debiera.

Para solucionar esto, en la misma hoja de cálculo, anoté en cada file server qué carpetas existían. No todas, sino las de cada departamento. Instalé una herramienta gratuita de Netwrix para comprobar los permisos de las carpetas. La herramienta se instaló en unos pocos clicks y es muy intuitiva.

Con el resultado de la herramienta descubrí que había usuarios con demasiados permisos sobre algunas carpetas. De momento solucioné a mano los problemas que más me llamaron la atención (que ‘Pepito’ vea las nóminas de la empresa no era una buena idea) pero realmente lo que interesa es anotar en otra pestaña de la hoja de cálculo los usuarios y grupos de Active Directory que tienes configurados. Quizás otro día trabaje un poco más con ello. De momento, no tengo ganas de romper nada.

Con estas pequeñas tareas se me pasó la mañana corriendo. Era la hora de comer y no dudé en saltar de la mesa en cuanto vi que el reloj me lo permitía.

Hosting

Estando en la cafetería recordé que la web de la empresa estaba alojada en un hosting externo, y llevaba tiempo sin ser modificada. Ni modificada ni actualizada. Buscando un poco con el móvil mientras me llegaban las pechugas de pollo descubrí una herramienta instalada en Kali Linux, la máquina virtual Linux que tenía instalada, para comprobar los fallos de seguridad de los WordPress, justo el que teníamos instalado. Me envié a mi correo el artículo y empecé la comida.

Al llegar a la oficina me puse con el artículo, era la herramienta WPSCAN y su uso es tan sencillo como: wpscan -h www.miempresa.com. Ejecuté el comando en mi Linux y esperé atónito los resultados.

La herramienta realizó una serie de comprobaciones y me reveló la versión de WordPress instalada, Los plugins, el tema, me lo dijo TODO. Para alguno de los componentes me salió una advertencia en rojo, es decir, se sabe que tienen algún fallo. Anoté el resultado del scan y lo dejé para hacerlo más tarde.

Otro día seguiré explicando lo que hice para crear mi plan de seguridad casero sin invertir mucho dinero…

El incidente del vuelo de Germanwings y las conspiraciones sobre su hackeo