25 de noviembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

La importancia de RRHH en los ciber ataques

La importancia de RRHH en los ciber ataques

Después de que el pasado viernes se produjese un ciber-ataque masivo a través de un Malware tipo Ransomware que explota las vulnerabilidades de los paquetes de actualización de Microsoft de Marzo, abril y Mayo de 2017, ha quedado claro que, además de las medidas de precaución en los sistemas que todas las compañías deben tener, es fundamental el factor humano, es decir, la colaboración de los departamentos de recursos humanos.

Desde SORTIS, sabemos que el vector de ataque principal es la red al tener habilitado el puerto 445, y el resto de vectores de ataque son los mismos de los ransomware (enlaces de correo, archivos adjuntos, internet, etc). Se trata de la mayor propagación de ransomware de la historia, si bien se espera que sea reproducido a mayor escala aún en los próximos tiempos.

El funcionamiento de WannaCry es relativamente simple: en cuanto uno de los archivos que lo contienen llega a un ordenador, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica (en el caso de que ha acontecido, 300 dólares en bitcoins) para poder recuperar el acceso a los archivos cifrados por el propio ransomware. De no pagarse esta cantidad en el tiempo acordado (para los afectados, en el plazo de tres días, prolongable a otros tres bajo la condición de un pago doble), todos los archivos son eliminados automáticamente.

Si el ordenador infectado forma parte de una red local, el resto puede verse infectado igualmente, motivo por el cual Telefónica ha dado la orden de apagar todos los equipos de la empresa de inmediato.

La lista de versiones de Windows que puede ser infectada, según el comunicado del Centro Criptológico Nacional, es la siguiente:

Windows Vista Service Pack 2
Windows Server 2008 Service Pacl 2 y R2 Service Pack 1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

En el caso de las versiones de Windows Vista, Windows 7 o Windows Server 2008, hay un problema añadido: Microsoft dejó de dar soporte y actualizaciones de seguridad a estas plataformas por quedarse obsoletas. De Windows 8 en adelante sí hay una actualización disponible que elimina la vulnerabilidad que hacía posible este ataque.

Medidas

Tras esta grave incidencia, queremos compartir una serie de medidas a implementar para paliar los efectos devastadores de la distribución de virus, malware y otro tipo de software malicioso, que impacta directamente en los costes y la seguridad de la información de las empresas.

De acuerdo a los marcos de manejo de incidentes (SANS, NIST y Navy) dividimos las medidas a implementar en los niveles de seguridad de la información en:

  1. Preparación
  2. Detección
  3. Contención
  4. Erradicación
  5. Recuperación

Preparación:

  • Parche agresivo.
  • Asignar privilegios mínimos.
  • Crear y proteger sus copias de seguridad.
  • Conectar con fuentes de inteligencia.
  • Preparar un plan de respuesta.
  • Proteja sus puntos finales.
  • Educar a los usuarios (Ingeniería Social).

Detección: En el caso de que su empresa se vea afectada con un ataque, tener establecidas las políticas de alertas minimizará el daño llegando al caso de impacto cero si las alarmas están correctamente implementadas, vigiladas y los procedimientos de actuación ante su aparición bien descritos:

  • Correos con enlaces maliciosos y payloads.
  • Implementar reglas de bloqueo para los ejecutables.
  • Busque señales de encriptación y notificación.

Contención: Si el ransonware ha superado los mecanismos de detección o los procedimientos de actuación no han surtido el efecto en el tiempo necesario, sigue siendo posible eliminar los procesos en ejecución y aislar el punto final afectado, mecanismo que ayudará a contenerlo localmente y evitar su difusión por la red interna de su empresa. 

Erradicación: Una vez contenido el ataque se debe erradicar de su red.

  • Reemplazar, reconstruir o limpiar las máquinas
  • Aunque se debe observar cada caso de manera individual, la recomendación general es la sustitución en lugar de la limpieza, ya que al igual que con cualquier tipo de malware, existe la duda razonable de existir residuos del malware ocultos en el sistema, capaces de volver a infectar los dispositivos.

Recuperación: El paso final es restaurar el servicio siguiendo el plan de recuperación de desastres de manera que todos los sistemas afectados se vuelvan a poner en funcionamiento recuperando su completa funcionalidad.

  • Restaurar desde una copia de seguridad limpia.
  • Busque el vector de infección.
  • Notificar a la policía si es apropiado.

Educación a los Usuarios (Ingeniería Social)

Las técnicas para conseguir la confianza y manipular a la víctima son diversas y se aprovechan:

  • Del respeto a la autoridad, cuando el atacante se hace pasar por un responsable o por un policía;
  • De la voluntad de ser útil, ayudar o colaborar que se aprecia en entornos laborales y comerciales;
  • Del temor a perder algo, como en los mensajes que tienes que hacer un ingreso para obtener un trabajo, una recompensa, un premio, etc.;
  • De la vanidad, cuando adulan a la víctima por sus conocimientos, su posición o sus influencias;
  • Apelando al ego de los individuos al decirles que ha ganado un premio o ha conseguido algo y que para obtenerlo tienen que realizar una acción que en otro caso no harían;
  • Creando situaciones de urgencia y consiguiendo los objetivos por pereza, desconocimiento o ingenuidad de la víctima.

Por último, tras conseguir su objetivo, tienen que apartarse sin levantar sospechas. En ocasiones destruyen las pruebas que puedan vincularles con alguna actividad delictiva posterior que ejecuten con la información obtenida (por ejemplo: accesos no autorizados si obtiene credenciales, publicación de información, etc…)

Para evitar el ransomware, o cualquier tipo similar de ataque realizado mediante ingeniería social, desconfíe de cualquier mensaje recibido por correo electrónico, SMS, Whatsapp o redes sociales en el que se le coaccione o apremie a hacer una acción ante una posible sanción.

Como pautas generales, para evitar ser víctima de fraudes de tipo ransomware:

  • No abra correos de usuarios desconocidos o que lo haya solicitado: elimínelos directamente. No conteste en ningún caso a estos correos.
  • Revise los enlaces antes hacer clic aunque sean de contactos conocidos. Desconfíe de los enlaces acortados o utilice algún servicio para expandirlos antes de visitarlos.
  • Desconfíe de los ficheros adjuntos aunque sean de contactos conocidos.
  • Tenga siempre actualizado el sistema operativo y el antimalware. En el caso del antimalware compruebe que está activo.
  • Asegúrese de que las cuentas de usuario de sus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Añadido a esto siempre es recomendable hacer auditorias de ingeniería social y si es necesario impartir formaciones, jornadas periódicas, cursos o programas diversos como:

  • Programa de seguridad básica para empleados y directivos
  • Concienciación Ingeniería Social
  • Jornadas de delitos informáticos para abogados
  • Jornadas informativas entorno educativo
  • Formación técnica específica en seguridad
  • ….

SORTIS, conocedora de que este mundo de la ciber seguridad es nuevo para muchas organizaciones, se brinda a apoyar a todos sus clientes y amigos en cualquiera de las etapas mencionadas para que los potenciales impactos en las operaciones de sus empresas no se vean afectadas en la medida que lo han sido otras compañías en todo el mundo.

 

Sección patrocinada por

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Lo más leído
Los lectores Opinan


¿Cuáles son las principales barreras que dificultan la creación de un ambiente de trabajo verdaderamente inclusivo en las organizaciones?

Ver los resultados

Cargando ... Cargando ...

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital