Puntos de entrada comunes nº 5: Proveedores externos
¡Pillado, te toca! Puede que esta infame frase le recuerde a su infancia, pero también es aplicable al interminable juego al que juegan los actores maliciosos. Andan a la caza de víctimas desprevenidas que simplemente no han prestado atención a sus brechas de seguridad y han dejado sin solucionar las vulnerabilidades de su organización.
Con sólo una pulsación, los piratas informáticos pueden asestar los mismos golpes mortales a multitud de empresas, por lo que es más importante que nunca que los directores técnicos y los profesionales informáticos se mantengan al día de las últimas tendencias en materia de ciberataques y aprendan a reforzar su seguridad en base a los patrones de ataques anteriores.
En este último artículo de nuestra serie de cinco partes sobre puntos de entrada comunes, hablaremos de otro ataque real que investigó el equipo de CYREBRO. En este caso, descubrimos que un proveedor OEM comprometió sin saberlo la red de un cliente.
¿Qué es un dispositivo OEM?
Dirigir una empresa y mantenerla a flote es un delicado ejercicio de equilibrismo, sobre todo en la situación actual. El aumento de los costes puede dificultar la obtención de beneficios, lo que a menudo lleva a los directivos a buscar alternativas asequibles al costoso hardware y software. Una de las opciones que eligen muchas empresas es adquirir dispositivos OEM.
Los dispositivos OEM (fabricante de equipos originales) proceden directamente del fabricante del producto, en lugar de comercializarse a través de un minorista o ser fabricados por el usuario final. Los dispositivos OEM vienen preinstalados con algunos servicios y funcionalidades y están pensados para un único fin.
Por ejemplo, en lugar de que un banco construya y desarrolle sus propios cajeros automáticos, los comprará a una empresa OEM especializada en la producción de estas máquinas. Mientras que el banco instalará los cajeros, el OEM los conectará al banco y gestionará, actualizará y mantendrá los dispositivos, además de solucionar cualquier problema relacionado con las máquinas.
El ahorro de costes que suponen estas máquinas viene acompañado de ciertas advertencias. Muchas veces, los dispositivos OEM siguen funcionando con sistemas operativos antiguos con vulnerabilidades conocidas que siguen sin parchear porque nadie se molesta en actualizarlos, lo que los convierte en un blanco fácil para los actores maliciosos.
Un OEM transmite el virus WannaCry a un cliente de CYREBRO
Hace unos años, CYREBRO investigó un caso real en el que uno de nuestros clientes se vio afectado por el virus WannaCry, Hace unos años, CYREBRO investigó un caso real en el que uno de nuestros clientes se vio afectado por el virus WannaCry, un criptogusano ransomware dirigido a sistemas operativos Microsoft Windows. El virus encriptaba los datos del objetivo y exigía un rescate. Tras una infección masiva, el malware podía utilizarse como troyano, infectando otros equipos de la red, recopilando credenciales y, finalmente, tomando el control del dominio y obteniendo acceso total a los activos.
La investigación reveló que el ataque se produjo cuando un técnico OEM se conectó a la red OEM utilizando su portátil infectado con WannaCry. Como era habitual con este virus, WannaCry se propagó utilizando el exploit EternalBlue y consiguió extenderse a todos los dispositivos OEM conectados a la red.
Utilizar OEM, pero tomando las precauciones necesarias
Tanto si opta por dispositivos OEM como si contrata a proveedores externos, debe conocer los riesgos potenciales y la forma de mitigarlos. Afortunadamente, a menudo esto se reduce a investigar adecuadamente a estos terceros y seguir algunas de las mejores prácticas de seguridad.
Debe saber con quién trabaja, y tiene todo el derecho a hacer preguntas a su OEM sobre el mantenimiento de la seguridad. Después de todo, en 2021, la industria manufacturera fue la más atacada, y el 47% de esos ataques fueron contra organizaciones víctimas que no habían parcheado o no podían parchear sus vulnerabilidades. Al igual que con muchas de las amenazas de ciberseguridad, estar informado es la mejor manera de proteger a su organización.
Hacer las preguntas adecuadas
Pregunte a todos los proveedores externos por sus políticas de seguridad. En concreto, hable con los OEM sobre las políticas que aplican a los portátiles y otros dispositivos de los técnicos. Asegúrese de que ningún técnico tenga permiso para utilizar su propio dispositivo y de que incluso las tecnologías como las unidades USB, que no tienen capacidad de conexión externa, se gestionen de forma segura. Le conviene exigir que los OEM estén lo más actualizados posible en el momento de la instalación y pedirles que, si es posible, le faciliten una rutina de actualizaciones periódicas.
Pregúnteles sobre las medidas proactivas que adoptan para mantener la seguridad y con qué frecuencia realizan auditorías internas de ciberseguridad. También debería preguntar sobre su plan de respuesta a incidentes y si tienen o no una ciberpóliza de seguros. Si detecta cualquier laguna en la seguridad del OEM, los actores maliciosos también lo harán, ya que los ven como un punto de entrada principal para llegar hasta objetivos más conectados y posiblemente más valiosos.
Del mismo modo que usted forma a su personal en materia de seguridad, infórmese sobre la formación en seguridad que reciben sus empleados. De nuevo, como probablemente haya experimentado en su empresa, los empleados suelen utilizar contraseñas básicas o repetidas, lo cual es una conducta de alto riesgo. Pregunte al OEM sobre las políticas de contraseñas para asegurarse de que los técnicos utilizan contraseñas nuevas y no las predeterminadas. Los OEM de buena reputación no deberían tener ningún problema en detallar estas respuestas si se toman en serio su seguridad y su negocio.
La separación es crítica
Usted quiere confiar en su OEM y debería poder hacerlo después de hacer las averiguaciones oportunas. Sin embargo, a veces eso no basta para garantizar una protección sólida como una roca. Para reducir el riesgo, coloque a los OEM en una red separada de la suya. Adopte medidas adicionales para reforzar la red OEM cerrando puertos innecesarios y denegando el acceso a Internet. No utilice usuarios de dominio en los OEM ni los coloque dentro del dominio de la organización; nunca inicie sesión con cuentas de dominio administrativo.
Analizar tan a menudo como sea posible
Ejecute análisis programados de malware con la mayor regularidad posible. Para algunas empresas, esto podría significar sólo una vez cada trimestre, pero una mejor práctica sería ejecutar un análisis mensual. Sin estos análisis periódicos, los fallos de seguridad pueden pasar semanas, meses o incluso más tiempo sin detectarse, lo que supone un riesgo importante para su empresa. Si es posible, busque malware y tráfico malicioso con un analizador de tráfico, un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS).
Mantener la seguridad es un trabajo 24/7
Como hemos señalado en este artículo y a lo largo de esta serie, las ciberamenazas provienen de todas partes. En general, estar pendiente de su infraestructura y su red es una tarea permanente que no debe descuidar. Si puede validar las prácticas de seguridad de su OEM (y, por supuesto, las de cualquier otro proveedor), al menos reducirá el riesgo de amenazas. No tema nunca hacer preguntas o indagar un poco más si no obtiene la respuesta buscada. La debida diligencia es su responsabilidad y es un paso que no puede ignorar.
Como siempre sugerimos, disponer de soluciones como un SOC para supervisar todos los puntos de acceso y detectar actividades sospechosas en tiempo real, le será de gran ayuda y le proporcionará tranquilidad.
Si se ha perdido otros artículos de esta serie, écheles un vistazo. Están repletos de consejos prácticos y tratan sobre temas tales como ITaaS, VPNs, sistemas operativas sin parchear y alojamiento de servicios de escritorio remoto (RDSH).