• 52 722 2462370
  • ruben.guzman@rberny.com
  • Toluca, Estado de México
Ciberseguridad
¿Qué buscan los ciberatacantes?

¿Qué buscan los ciberatacantes?

¡Valores predeterminados!

Rberny 2021

Como regla general las configuraciones predeterminadas en redes de computadoras pueden ser vulnerabilidades masivas, sin duda y no falla, siempre se dejan, por ello esta mala práctica por parte de las áreas responsables son como miel para los ciberatacantes.

Mi idea es mostrarles que cosas tan sencillas pueden prevenir y reforzar el nivel de seguridad informática personal, en casa y en el trabajo.

Inicio comentándoles que la tecnología Plug and play es una promesa atractiva y una realidad bastante peligrosa cuando se trata de dispositivos conectados a una red empresarial, en la práctica y en la percepción del usuario se considera genial y muy noble, cuando el dispositivo puede manejar todos los protocolos de red y el protocolo de enlace sin intervención humana, todos en algún momento nos llevamos por la euforia del momento Plug-and-play y se nos olvidan cambiar algunos valores predeterminados ampliamente conocidos, la conveniencia puede convertirse rápidamente en una vulnerabilidad.

Los que administramos y supervisamos redes de cómputo, sabemos que los valores predeterminados pueden ser peligrosos, por ejemplo:

Pensemos en los nombres y contraseñas de las cuentas de administrador, son muy delicadas e importantes, no obstante, no hay duda de que estas credenciales se utilizan ampliamente y las colocan disponibles para configurar algunos dispositivos y facilitar con grandes privilegios la incorporación de dispositivos a la red corporativa, estos dispositivos pueden ser vulnerabilidades significativas, si no se cambian durante la configuración inicial, claro dependiendo del tipo de dispositivo que se trate, sin embargo, hay otros elementos de configuración que pueden ser igualmente peligrosos de formas ligeramente diferentes.

Actualmente y sin que muchos proveedores lo mencionen abiertamente, me he encontrado con numerosos incidentes en los que la configuración predeterminada de los servicios o aplicaciones en la nube ha dejado tanto la infraestructura como los datos vulnerables a los ataques.

EL concepto “publicó”, lo manejamos en un sin número de lugares, sobre todo para el libre transito de las personas, sin embargo, en lo que respecta a equipos de cómputo, redes informáticas y la gran red, este concepto se encuentra muy devaluado o malentendido.

Que buscan los ciberatacantes Rberny 2021

Es evidente que los vendedores y los proveedores de servicios han estado cerrando esas vulnerabilidades, y ahora son mucho menos comunes de lo que eran hace un par de años atrás, no obstante, los valores predeterminados que deben estar en el radar de los profesionales de seguridad, por ello quiero recomendar a todos ustedes que debemos decir sin reservas que ningún nombre de usuario o contraseña predeterminados debería sobrevivir a la sesión de configuración inicial, punto no hay más.

No me extenderé demasiado, en las áreas de TI y proveedores o todos los que configuran un servicio, aplicación o pieza de hardware debemos cambiar el nombre de usuario y la contraseña del administrador tan pronto como lo permitan los scripts de configuración.

De esta manera, los humanos, y los procesos creados por humanos, son susceptibles a dejar pasar o no prestarles la debida importancia a las configuraciones por defecto o de fábrica.

“Después de 20 años de experiencia, tengo motivos de sobra para afirmar que dejar las configuraciones por defecto en un dispositivo de uso cotidiano supone un riesgo para la seguridad”

Por ejemplo:

Está de moda cómo cámaras IP transmiten en línea todo lo que grababan o más delicado los Router que permiten la entrada de cibercriminales a la red, todo porque no se cambia la contraseña predeterminada, estos y muchos otros casos nos recuerdan la importancia de cambiar inmediatamente los ajustes de fábrica, únicamente a manera de ejemplo veamos:

Nombre de usuario predeterminado y contraseña para el Cisco Transport Controller:

Versión 4.6.x y posterior ONS15454

Utilice estos valores predeterminados del login para registrar en el CTC para la versión 4.6.x y posterior ONS15454:

Nombre de usuario = CISCO15

Contraseña = otbu+1

No está mal que un fabricante lo muestre de esta forma, en su hoja de especificaciones o en su método de instalación, sucede que estas combinaciones se repiten en forma masiva, por lo que constituyen uno de los primeros objetivos de un cibercriminal a la hora de buscar irrumpir en un entorno.

De igual manera en uno de los supuestos más común, una simple búsqueda en Google puede ser suficiente para dar con un manual que diga que, para determinado modelo de cámara, Router o terminal PoS se debe ingresar con

“admin: admin” o “admin:12345”

Consideremos que, además, hay herramientas más avanzadas como Shodan la cual realiza búsquedas en el mundo para dispositivos conectados a Internet.

Sucede en todos lados, sabemos que para muchos es muy cómodo instalar el Router o contratar un servicio de WiFi y olvidarse para siempre de sus ajustes, ¿cómo es? Así, es así:

Instalar, siguiente, siguiente, siguiente, finalizar y ya quedo.

Instalación recomendada con next, next….

Considerando que después de todo, solo lo queremos para navegar por Internet y mientras eso funcione, nada más importa, ¿Considera que esta sea una posición cerrada?, tengamos presente, que muchos de nosotros tenemos de estos equipos en casa, les comento que por vecinos, amigos, colegas, así como personas que me han contactado, en sus comentarios me he dado cuenta de que les da igual el nombre de la red y si la clave están personalizados o no, muchos diremos ¡pues el internet de mi casa!, no hay problema si lo vulneran, ¿Qué triste?, dejar expuestos a tus hijos y seres queridos a personas de muy bajos niveles morales, éticos, algunos de ellos son motivadores para el suicidio juvenil, secuestros, un sinfín de malas prácticas y crímenes cibernéticos.

Bueno, no nos comportemos como usuarios irresponsables, les recomiendo que luego de instalar cualquier dispositivo o servicio, debes revisar las configuraciones y cambiar las credenciales para fortalecer sus niveles de seguridad, no esta de más, es mejor prevenir.

Nuevamente, repasemos esto que les comento la “configuración por defecto”:

Es aquella que viene dada de forma estándar por parte del fabricante.

En concreto:

Lo cierto es que en muchos casos no se pone el foco en la seguridad sino en la usabilidad.

¿Por qué deberíamos prestarles atención a estos temas?

Por seguridad, por ejemplo, consideremos el software que normalmente se instala para obtener alguna funcionalidad específica, como por ejemplo Microsoft Office o Google Chrome, por su parte, los servicios son software que normalmente viene con el sistema operativo, como por ejemplo el escritorio remoto o el administrador de redes inalámbricas.

En este sentido de ideas, hay aplicaciones y servicios que para funcionar correctamente piden permisos excesivos en forma predeterminada, cuidado con ello, por ejemplo, cuando instalas Microsoft Windows y te da automáticamente un perfil de administrador ¿Qué raro?, aunque en verdad no es necesario porque con uno de usuario podrías utilizar los mismos programas y funciones, también de alguna manera menos impactante se da en Linux, al darle permisos 777 a un directorio sería similar al caso anterior, claro en este caso no le das el atributo de administrador le otorgas permisos sobre un objeto.

Que buscan los ciberatacantes Rberny 2021

“No actualizar el firmware puede permitirle a un atacante aprovechar una vulnerabilidad y acceder a la información que maneja el equipo”

Si cuentas con conocimientos más técnicos, es recomendable hacer un Hardening del sistema operativo y leer las recomendaciones de seguridad del fabricante, de esta manera se logra hacerlo más robusto, configurando adecuadamente las aplicaciones y los servicios de red.

Aplicar constantemente los parches de seguridad que van lanzando los fabricantes y desarrolladores ayuda a corregir problemas que pueden ser descubiertos después del lanzamiento del producto.

Mantener todas las aplicaciones o servicios que vienen por defecto en un dispositivo puede generar problemas, ya que podrían quedar desactualizadas y ser utilizadas para llevar adelante algún tipo de ataque, así que es recomendable eliminar aquellas que no se utilicen.

Cuando se está configurando un nuevo dispositivo móvil o un sistema operativo es recomendable hacer configuraciones manuales para dejar activos aquellos procesos que realmente se vayan a utilizar, cifrar información sensible o generar nombres de usuario y perfiles propios, entre algunas otras tareas que pueden reducir el riesgo de intrusión no autorizada.

Cuando se quiere recuperar un dispositivo o servicio, por lo general se recomienda siempre restablecerlo a las configuraciones por defecto, estoy consciente que, en muchos casos, es el mejor modo de eliminar muchos fallos.

Es cierto que mantener las configuraciones por defecto es una forma fácil de instalar un nuevo dispositivo, utilizar alguna aplicación o empezar a trabajar rápidamente con un nuevo sistema operativo; sin embargo, puede exponer tu información, ya que un atacante puede reconocer fácilmente el método más fácil para vulnerar la seguridad de esos ajustes y no solo afectarte a ti, sino a todos los que hayan decidido dejar los ajustes predeterminados.

Afortunadamente, algunos fabricantes ya han tenido en cuenta este problema y obligan a los usuarios a cambiar la contraseña durante el proceso de instalación, sería prudente que todos los dispositivos de conexión de redes lo realicen como parte de su proceso, estaría interesante liberar equipos con contraseñas predeterminadas únicas y no en serie, por supuesto, luego deberían ser cambiadas por otras más fuertes y seguras.

Otro ejemplo, la telemetría del sistema operativo Windows 10 se encarga de hacer seguimiento sobre el uso del sistema para determinadas características, tengamos en cuenta que para el funcionamiento de Cortana o para mostrar publicidad y aplicaciones sugeridas, entre otras acciones, en el orden de equipamiento para entornos laborales o corporativos, ¡no lo necesitamos, no se requiere!, aun cuando Microsoft diga que sí, podemos prescindir del mismo y nos ayudará a mejorar la privacidad y también a optimizar la salud del equipo de cómputo en cuanto al sistema operativo.

El desafío de la seguridad en la era del IoT

Esto debe mejorar, a pesar de las grandes ventajas que supone el Internet de las cosas, tener cientos de dispositivos conectados requerirá que los responsables de seguridad supervisemos cientos de vulnerabilidades potenciales y mantener la configuración predeterminada con estos dispositivos como dijimos es un gran error, lo demuestra el ataque DDoS masivo perpetrado por la botnet Mirai.

Que buscan los ciberatacantes Rberny 2021

Esta botnet fue diseñada para escanear Internet en busca de dispositivos con bajos niveles de seguridad, como cámaras de seguridad, y acceder a ellos probando contraseñas tan simples como “admin” o “12345”, su estudio mostró que realiza más de 60 comprobaciones de combinaciones de nombres de usuario y contraseñas, con ello Mirai pudo acceder a casi 400.000 dispositivos.

Siendo honestos, este ataque podría haberse evitado si los fabricantes de hardware pidieran a los usuarios que cambiaran la contraseña predeterminada de sus productos, los encargados de sistemas o de las áreas afines debemos ser conscientes de que los dispositivos de IoT, como cámaras de seguridad o termostatos, está demostrado que son posibles vectores de ataque, aun cuando el dispositivo en sí no contiene información valiosa, es probable que esté conectado a una red con acceso a los archivos internos de la empresa.

Se debe ser selectivo sobre los programas que utilizan los empleados

Cambiar la contraseña predeterminada no es la única medida que ayudará a aumentar el grado de seguridad de la empresa, por ello en nuestra calidad de gerentes de TI, debemos evaluar qué programas y aplicaciones necesitan los empleados y cuáles no, para desarrollar sus labores con agilidad y normalidad, por supuesto, buscando especialmente aquellos que pueden representar una amenaza para la seguridad corporativa y establecer la configuración de cada dispositivo para reforzar la seguridad.

Al seleccionar el software esencial para la rutina diaria de nuestros empleados y mantenerlo actualizado, minimizamos el riesgo de amenazas debido a vulnerabilidades en las herramientas que utilizan, de esta forma, estaremos limitando los posibles puntos de acceso de los ciberdelincuentes.

Aun cuando cambiar la configuración es un paso importante para obstruir posibles ciberataques, es fundamental utilizar métodos avanzados de ciberseguridad que anticipen el comportamiento malicioso y activen los sistemas de protección antes de que el malware tenga la oportunidad de ejecutarse.

Es seguro que en estos momentos muchos estén realizando el plan estratégico de TI para 2021, en mi caso es una actividad motivante y como responsable te impulsa a estar atento y cuidadoso de los detalles, a mis amigos, colegas y personas de interés con esta responsabilidad, me gustaría darles un consejo, antes de pensar en grandes inversiones, destina una sección de tu plan a la concientización de los ejecutivos (Directores, Gerentes), tomadores de decisiones, propietarios, usuarios, clientes y proveedores en el tema de la seguridad de la información, inicia siempre con pequeñas metas sencillas, mientras le subas el nivel a tu entorno, podrás implementar grandes soluciones, ya que tendrán un ejército de colaboradores despiertos a los ciberataques y tanta basura que hay por internet.

Saludos

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

EnglishFrançaisDeutschEspañol
A %d blogueros les gusta esto: