A través de entradas anteriores del blog, o de secciones principales como la de “amenazas”, ya sea de manera directa o indirecta hemos hablado de buenas prácticas orientadas a mantenernos protegidos de malware y ataques de todo tipo, como el ahora omnipresente phishing. No obstante, creo útil desarrollar un pequeño resumen con todos esos pequeños consejos, que aunque luego por individual pueden ampliarse, en conjunto nos ayudarán a tener una visión global, y permitirán mantenernos lo más protegidos posible, siempre teniendo en cuenta no obstante, que estar 100% a salvo es una utopía.

Actualizaciones y parches:

Una verdad absoluta, es que es fundamental tener nuestros dispositivos actualizados, básicamente porque no hay ningún software que a lo largo de su vida no haya tenido problemas de seguridad, y estos problemas o vulnerabilidades sólo se corrigen a través de actualizaciones. Es importante conocer qué son las CVE (Common Vulnerabilities and Exposures), que explicado en un lenguaje sencillo, básicamente son vulnerabilidades de seguridad conocidas y tratadas por una institución reconocida. De modo que cada vez que se descubre un agujero de seguridad en un software, se cataloga como CVE, se identifica con un ID único, y se detallan sus características: cuál es el problema concreto, cómo se explota, posibles soluciones si las hay, o métodos para mitigarlo. En https://cve.mitre.org/cve/ están registrados todas estas vulnerabilidades, y por tratar de hacernos a la idea, si buscamos las correspondientes a un software tan común como el navegador Google Chrome, obtendremos a día de hoy 2857 vulnerabilidades reconocidas: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=chrome A nivel práctico, debemos configurar las actualizaciones automáticas a nivel de sistema operativo, y mantener también el software instalado al día. También es importante tener en cuenta el peligro de tener equipos fuera de vida útil (EOL), que han dejado de recibir actualizaciones, y por tanto conllevan un importante riesgo. Esto último puede ser también interesante tenerlo en cuenta de cara a adquirir un equipo u otro, no todos los fabricantes se comportan igual de bien con las actualizaciones, o también cuando tomamos la decisión de sustituir un equipo concreto, que aunque funcional, deja de ser seguro por este motivo. En otras entradas hemos ampliado información detallando soluciones que ayudan a automatizar actualizaciones (WSUS, Chocolatey, Ninite…), así como métodos para mantenernos informados de posibles CVE asociadas a nuestros equipos.

Herramientas de prevención: Antivirus, antimalware, antispam…

Debemos contar con la ayuda de herramientas específicas que nos ayuden a mantenernos seguros. El ejemplo típico es el del antivirus, que debemos mantener actualizado, y con planificaciones de escaneos periódicos, pero hay muchas más opciones que pueden ayudarnos a combatir las amenazas. Es importante por ejemplo, a nivel de sistemas, un buen servicio de Antispam/Antivirus en el correo electrónico, ya que es el medio por excelencia desde el que recibiremos ataques, sobre todo orientados a phishing. También debemos tener en cuenta herramientas EDR (Endpoint Detection & Response) y XDR (Extended Detection Response) que por resumirlo brevemente, van más allá de lo que es un antivirus tradicional basado en firmas, y permiten la detección de amenazas de manera preventiva a través del escaneo inteligente de comportamientos anómalos. Es importante también el uso de herramientas complementarias: Firewall, VPN, Detección de Amenazas… que igualmente nos protejan, en este sentido todo vale, desde el simple uso de https://www.virustotal.com/ para consultar si una URL es maliciosa, hasta un software de detección de vulnerabilidades como OpenVAS: https://www.openvas.org/. En este sentido es importante notar que no hay una herramienta única y definitiva, sino que la protección irá orientada a la suma de todos estos recursos disponibles, en ocasiones heterogéneos y de distinta naturaleza, pero que en conjunto ofrecerán una

Concienciación:

Desde mi punto de vista fundamental, por muchas herramientas de seguridad que tengamos, por muchos sistemas de última generación que haya, es más que factible que una persona termine recibiendo un phishing o una amenaza, y su tenacidad para reconocerla será entonces crítica. Formar y concienciar sobre ataques de referencia, como la suplantación de identidad, y el reconocimiento de amenazas, especialmente con origen correo electrónico o mensajes de smartphone es crucial, más teniendo en cuenta es más que tendencia atacar a los usuarios finales con este tipo de técnicas. Cuestiones como desconfiar de URLs, ventanas emergentes, archivos adjuntos, no proporcionar datos privados, etc, son cruciales. A estos efectos, hemos hablado de distintas soluciones y buenas prácticas, entre los que podemos destacar los kits gratuitos de concienciación de Incibe: https://ciberseguridadtotal.com/la-formacion-y-concienciacion-como-arma-contra-ciberataques/. También, destacaría el concepto de “reflexión”, muchas veces el error viene no ya de la capacidad de saber catalogar el correo de turno como malicioso, sino de hacer las cosas con prisa, no pararte a pensar 1 segundo, y terminar por tanto liándola parda, con ese sinsabor posterior del mira que me dió esto mala espina.

Contraseñas:

Otro de los pilares, que bien pudiera integrarse en el apartado anterior de concienciación, pero que por criticidad merece ser comentado a parte. A día de hoy, y a falta de algo mejor, la contraseña es nuestra llave de entrada a los distintos servicios y equipos que utilizamos habitualmente en este mundo digital, es también nuestro DNI o tarjeta identificativa en la red, y por tanto es crítico que esté correctamente custodiada, que posea buenas prácticas, y que sea tratada con el máximo mimo posible: https://ciberseguridadtotal.com/millones-de-contrasenas-deambulando-por-la-red/. Las recomendaciones son las de siempre, contraseñas complejas y diferentes para cada servicio, uso de herramientas como gestores de contraseñas: https://ciberseguridadtotal.com/gestores-de-contrasenas-si-o-no/ o https://haveibeenpwned.com/, etc…

Todo es peligroso: desconfía de lo que enchufas:

Aunque parezca mentira, aún hoy en día es un problema el uso de los típicos pinchos USB, o discos duros externos, que en ocasiones además pasan de mano a mano, generando un serio foco de infección. A esto se suma comportamientos como usar cargadores públicos (los típicos en Aeropuertos o medios de transporte por ejemplo), que han podido ser manipulados para comprometer nuestro smartphone o equipo. Es muy importante prestar atención a todo lo que conectamos a nuestro ordenador o smartphone, cualquier periférico, cualquier cosa, si no es de confianza hay que mantenerla alejada. Y lo de prestar un pincho USB, es como prestar nuestro coche, mucho ojo porque a saber cómo nos lo devuelven.

Higiene de información:

Hoy en día generamos tantos datos, que prácticamente necesitamos un servicio de Big Data personal, es incuestionable que cada vez se hace más complicado ordenar todos estos datos, para que sean productivos, y además podamos consumirlos o securizarlos correctamente. Miles de documentos, fotos, videos, información en aplicaciones concretas… y nuestras metodologías personales y sentido común como únicos modos útiles de mantener todo eso en orden. A qué me refiero con esta higiene, pues a saber dónde están nuestros datos críticos, y los que no lo son tanto, a tener en cuenta qué dispositivos tienen acceso a esto, o lo otro, y en consecuencia medir su criticidad, o cortar accesos. A decidir almacenar tal información en tal sitio concreto, más seguro, o incluso cifrado, y por supuesto, a proveer de copias de seguridad periódicas a todo aquello que sea importante.

Copias de seguridad:

Poco podemos añadir sobre este tema, simplemente recordar la cruda realidad, no se valora la importancia del backup, hasta que se necesita, y entonces su valor es incalculable. Hoy en día todo está digitalizado, en mayor o menor medida, y perder nuestros datos, o los de nuestra empresa, pueden conllevar incluso el cese de negocio, de ahí la importancia de este plan B, que en realidad es un plan A en caso de desastre.

Normalización:

Por último, es importante desarrollar una normativa, o mejor dicho, muchas normativas que agrupen todo lo anterior. Que estamos tratando el tema de actualizaciones, pues habrá que tener un inventario, desarrollar una política de actualizaciones (qué, cuándo y cómo se actualizan los equipos…), que estamos tratando el tema contraseñas, pues habrá que definir la política de seguridad correspondiente (caducidad, complejidad, histórico…) y así con todo. En este sentido, a nivel empresarial, resulta útil fijarse en normativas existentes susceptibles de ser aplicadas, no se trata ya de obtener el sello correspondiente, quizá no lo necesitemos y simplemente nos suponga un gasto, pero al menos resulta útil ver cómo funcionan esas normativas, que se exige en las mismas, y tratar de adaptarlas en nuestro modelo de negocio, algunos ejemplos: ISO 20000 (Calidad de los servicios IT), ISO 27001 (Seguridad de la Información), ISO 27032 (Ciberseguridad).