Decálogo de recomendaciones sobre la ciberamenaza iraní

Andrés Naranjo    29 enero, 2020
Decálogo de recomendaciones sobre la ciberamenaza iraní

Hace ya unos años que la popular “guerra fría”, tan prolífica en el cine de los 80, se ha trasladado a los datos. Entre las potencias mundiales rivales, la ciberguerra y el ciberespionaje se han convertido en los campos principales de batalla, donde desde los ataques de denegación de servicio (DoS y DDoS) a las fake news, pasando por todo el repertorio de ciberataques convencionales, han convertido las tecnologías de información en los nuevos AK-47.

Situación actual, el desencadenante

Cabe destacar los últimos acontecimientos y, sobre todo, la muerte de Qasem Soleimani, el poderoso y temido jefe de la Fuerza Quds de Irán en un ataque llevado a cabo por de Estados Unidos. El Pentágono confirmó que ejecutó el ataque “por orden del presidente” Donald Trump.

Soleimani se encargó de la represión violenta contra el levantamiento popular reciente en Irak, manifestación de un renacer de la rebeldía en medio de la ocupación y del terror. Al respecto, Philippe Alcoy comentó acertadamente: “Soleimani era un general nefasto que comenzó a ser odiado por los trabajadores y jóvenes iraquíes movilizados, así como a todo el régimen corrupto establecido desde 2003 por Irán y Estados Unidos. Sin embargo, no es de la mano del imperialismo que los explotados podrían deshacerse de este régimen aberrante. En este sentido, el asesinato de Soleimani sigue siendo una agresión imperialista y de ninguna manera es una buena noticia para los trabajadores y los jóvenes. Son los trabajadores y las clases explotadas y los oprimidos los que se deshacen de sus verdugos”.

Dados estos últimos acontecimientos, Irán ha prometido represalias y se prevé que muchas de éstas vengan como ciberterrorismo contra entidades y empresas estadounidenses, contra intereses de éstas y contra empresas y entidades que trabajen con éstas. Por tanto, podemos vernos afectados todos, de una u otra forma. Por poner sólo algunos ejemplos, podrían verse afectados todos los dispositivos Windows y todas las empresas que usen una base de datos o un sistema de mensajería con sede en EEUU, o aquellas que usen la solución de Google Auth para autenticarse.

Buenas prácticas en ciberseguridad para usuarios

Es por ello que me gustaría dejar unas pequeñas medidas que acometer como “buenas prácticas”, teniendo en cuenta que hemos aumentado al menos un nivel de DEFCON respecto a nuestra ciberdefensa, sea cual sea nuestra labor al respecto: empresas, administraciones públicas, etc.

  1. Aumentar el nivel de concienciación con alguna campaña específica: a día de hoy los fallos humanos siguen originando el 95% de los ciberataques exitosos.
  2. Desactivar puertos, servicios y protocolos sin uso: realizar una buena revisión de nuestra red y CMDB para determinar que no haya ninguna “puerta abierta olvidada”, ya que no tiene ningún sentido que esté activa.
  3. Parchear toda la superficie de exposición de la red, sobre todo Firewalls y WAF’s. Es de vital importancia revisar todos los activos expuestos a internet.
  4. Establecer políticas que levanten alertas con nuevos dispositivos que se conecten a la red para evitar dispositivos maliciosos o espías.
  5. Aumentar el nivel de alerta respecto a comportamiento de red (NTA) vigilando aquellos dispositivos que parezcan desprotegidos o que muestren un comportamiento anómalo.
  6. Implementar medidas de correo seguro, detección de phishings, etc.: aunque sea a través de logs y coste en horas/hombre. Este tipo de amenazas sigue manteniendo un preocupante 70% de los vectores de entrada.
  7. Controlar el uso de PowerShell: si un usuario o cuenta no necesita del mismo, desactivarlo a través del editor de políticas de grupo. Se recomienda limitar y loguear su uso. Para más información, recomiendo este post de Microsoft.
  8. Por último 3 recomendaciones acerca del proceso de backup:
    1. Tener copias de seguridad de todos los archivos importantes: puede parecer una obviedad, pero no sólo hay que copiar los datos de la entidad, sino también la configuración de todo aquello que hace funcionar nuestro sistema.
    2. Disponer un proceso que almacene estas copias de seguridad de forma segura, no alcanzable por ransomware o similares, y también de un proceso que verifique correctamente la integridad y viabilidad de esas copias.
    3. Establecer un proceso ágil que restaure estas copias de seguridad en el menor tiempo posible y, por tanto, con el menor impacto sobre la actividad.

Por supuesto existen muchas más recomendaciones, pero tomar en consideración estas pocas puede que nos haga dormir un poco mejor, dado el nivel de alerta actual.

Permanezcan en sintonía, seguiremos informando.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *