El impacto de los recientes ciberataques de tipo ransomware (Wanacry, Petya) a nivel mundial muestra dos hechos claros:
- Que cualquier organización, incluso las grandes multinacionales, son vulnerables.
- Que las empresas más pequeñas son las que sufren los impactos mayores.
En el campo de las medidas preventivas, los hechos demostraron que las redes de ordenadores de las empresas y especialmente de organismos públicos están en general bastante obsoletas y que las organizaciones tienen dificultades diversas para poder parchear y mantener actualizados sus sistemas. (¡sorprendente el número de sistemas con Windows XP que aún siguen en activo!)
En cuanto a las medidas correctivas, las empresas más modestas sufrieron las peores consecuencias por la ausencia de políticas de backup eficaces. Tiene pinta de que estos ataques no van a ser los últimos en ocupar espacios en los telediarios y noticiarios en papel o digital…
En este mismo medio, no hace mucho, revisamos un modelo cuantitativo para estimar la probabilidad de infección de un equipo corporativo. El objetivo del modelo es estimar la probabilidad de que un equipo de usuario corporativo resulte infectado por un programa malicioso. En el modelo propuesto, la potencial infección de una estación de trabajo corporativa depende de los siguientes factores:
- El grado de conciencia del usuario sobre las amenazas de Internet y sobre los hábitos de navegación segura.
- El nivel de restricciones que el usuario tiene a la hora de navegar por Internet y usar el correo electrónico. Estas restricciones son normalmente articuladas en las empresas a través de reglas de filtrado en los proxys y las pasarelas de correo. Por ejemplo, se puede restringir la navegación de los usuarios a sitios no relacionados con el trabajo, la descarga de archivos desde Internet o el correo, etc… Este tipo de restricciones dependen de la política de seguridad formal o informal de la empresa.
- La efectividad de otras medidas de seguridad técnicas aplicadas en el equipo.
Dentro de este último factor de medidas de seguridad aplicadas en el equipo podemos citar:
- Efectividad de los sistemas Anti Virus
- Los privilegios del usuario a nivel del Sistema Operativo y el dominio
- La existencia y la efectividad de soluciones que prevengan la instalación de software no autorizado (ej: lista blanca de aplicaciones)
- El grado de parcheo de los sistemas y aplicaciones usados por el empleado
- La aplicación consistente de directrices de instalación y configuración segura de equipos y aplicaciones (hardening)
El siguiente diagrama describe estas relacionas en forma de red Bayesiana:
En el mencionado artículo, en base a los distintos escenarios evaluados, la probabilidad de infección de un equipo expuesto a la amenaza oscilaba entre un 36% y un 14%, dependiendo del rigor de las medidas preventivas aplicadas. Creo que los datos del modelo evaluado son coherentes con lo que la realidad nos ha mostrado estos días.
Cualquier plan que pretenda prevenir el riesgo de un incidente de esta naturaleza, debe maximizar la efectividad combinada de estos factores. El modelo propuesto es una herramienta útil para que los responsables puedan maximizar la efectividad de sus controles.
Otra medida que las organizaciones pueden aplicar y que ayuda a reducir la probabilidad de infección es la implantación del protocolo de autenticación de correo DMARC (autenticación de mensajes, informes y conformidad basada en dominios) que aunque es una medida que no protege directamente a la propia organización, si que evita que se puedan enviar correos fraudulentos suplantando nuestro dominio. Si este protocolo estuviese aplicado de manera generalizada, reduciría la probabilidad de los ataques.
Además, dentro del orden de las medias correctivas, las organizaciones deben establecer una política y procedimientos de copias de respaldo (backups) y planes de respuesta a incidentes, que funcionan como mitigadores de los efectos en el caso de que la amenaza se materialice.
Negocios bajo control 