La meta del servicio de Consultoría de Ciberseguridad que ofrecemos es proteger la seguridad de nuestros clientes, sus empleados y sus activos en todo momento para garantizar la operación de sus negocios.

Información & Recomendaciones

En este sitio brindamos información general y algunas de nuestras recomendaciones para las PYMEs. Pónte en contacto si necesitas de nuestro servicio de Consultoría de Ciberseguridad para la implementación de controles de ciberseguridad y de educación de los empleados de su empresa.

Usuarios

Infraestructura

Oficina

Terminología

1. Utiliza contraseñas robustas

Crea contraseñas con una combinación de letras minúsculas, letras mayúsculas, números y símbolos. Incluso puedes utilizar frases largas.

2. No reutilices contraseñas

Cada aplicación debe tener su propia contraseña única. No reutilices la misma contraseña en todo lado.

3. Habilita 2FA o MFA

Hoy en día ya no podemos confiar únicamente en la contraseña (single-factor authentication). Necesitamos opciones aún más seguras como 2FA o MFA. Al habilitar two-factor authentication (2FA) o multi-factor authentication (MFA) protegemos aún más nuestras cuentas. Los códigos de 2FA o MFA se pueden generar por medio de una aplicación en el teléfono o por mensaje de SMS.

4. Usa un administrador de contraseñas

Considera adoptar el uso de un administrador de contraseñas. Puedes almacenar todas las diferentes contraseñas para todas las aplicaciones en un mismo lugar para fácil acceso. No dejes tus contraseñas apuntadas en lugares públicos y no arriesgues tus cuentas al tratar de memorizar tus contraseñas.

5. Solicita la aprobación de software

No instales software a tu computadora que no haya sido aprobado por TI. El software que descargas del Internet puede venir infectado o puede ser mantenido inapropriadamente por los creadores. Si el equipo de TI no sabe cuál software está corriendo en la organización, no puede asegurarse de implementar las medidas de seguridad que correspondan.

6. Limita el uso personal del equipo

No es tu computadora personal. Limita el uso de la computadora para efectos personales. No hagas log-in a tu correo electrónico personal ya que es muy probable que no tenga la mismas medidas de seguridad que tiene la organización.

7. Comparte con cuidado

Comportamos información, pero de la forma correcta. No compartas documentos con una persona o entidad externa. Comparte documentos solamente con los que deben tener acceso. No compartas documentos utilizando enlaces que cualquier persona puede abrir - habilita accesos específicos.

8. Mantente alerta siempre

Estás en la primera línea de defensa de la empresa y no todo resulta ser lo que parece. Mantente alerta porque una llamada telefónica o phishing email pueden vulnerar la seguridad de la empresa. No presiones links y no compartas información innecesariamente. Configura un correo para que tus empleados puedan re-enviar correos sospechosos e investígalos detenidamente.

9. No compartas información personal

Resguarda la información personal y de la empresa para evitar intentos de phishing. No compartas números de teléfono, número de cédula, ni ningún tipo de información bancaria a personas que no conoces.

10. Utiliza las redes WiFi internas

Asegúrate que los dispositivos estén conectados a las redes de WiFi internas de la empresa. Fuera de la empresa, ten cuidado al utilizar redes públicas de WiFi ya que se pueden utilizar para distribuir malware y para acceder información personal.

11. Protege tu computadora y teléfono

Para prevenir que personas no autorizadas accedan a tu computadora o teléfono, bloquéalos o haz log-out cada vez que no vas a estar cerca de los dispositivos. Si una persona llegase a tu computadora o teléfono mientras no estés, debería de tener que ingresar la contraseña.

12. Maneja dispositivos USB con cuidado

No almacene información sensitiva o confidencial en dispositivos USB - se pierden o se roban fácilmente. No inserte USBs desconocidos a computadoras de la organización. Utilice sólo los USBs autorizados por la organización. No inserte USBs de la organización en computadoras personales. Si la computadora personal está infectada con malware, puede transmitirse al USB y después a la red de la organización.

1. Habilita respaldos de bases de datos

Haz un análisis para determinar la ubicación de toda la información crítica para la operación de la organización. Genera respaldos diarios de la información almacenada, ya sea en las bases de datos en operación, carpetas de documentos, etc.

2. Almacenamiento remoto de respaldos

Almacena todos los respaldos que se generen en servidores alternos, ya sea distintos servidores dentro de la misma red, o servidores en otras ubicaciones. No se recomienda almacenar respaldos en el mismo servidor donde reside la información.

3. Recuperación de respaldos

Asegure tener el conocimiento suficiente para poder obtener respaldos y recuperarlos en un tiempo razonable en caso de alguna emergencia. Por ejemplo, debería poder utilizar el respaldo de una base de datos para instalar un servidor de cero y poner la base de datos en operación de nuevo en un par de horas.

4. Controla el perímetro

Bloquea conexiones entrantes de IPs maliciosas o desconocidas, con herramientas como Shorewall.
Bloquea conexiones salientes a sitios y IPs maliciosas o desconocidas, con herramientas como Squid.

5. Monitorea el perímetro

Monitorea la actividad en el perímetro, incluyendo todo flujo de datos entrante y todo flujo de datos saliente, con herramientas como Datadog. Un alto flujo de datos saliente puede ser una señal de exfiltración de información.
Utiliza TCP dumps a nivel de red para analizar los flujos de datos en detalle minucioso.

6. Monitorea los recursos de los servidores

Monitorea en consumo de CPU, memoria y disco duro en los servidores. Un alto consumo de CPU puede ser una indicación de que se esta cifrando información previo a hacer la exfiltración de datos.

7. Haz lockdown de SSH

El soporte técnico remoto en necesario hoy en día. Pero debes proteger la infraestructura limitando el acceso por medio del protocolo SSH a solo direcciones IP que sean conocidas. Adicionalmente, no permitas el acceso SSH utilizando un usuario y contraseña para autenticación.

8. Utiliza un VPN

Haz el acceso a la infraestructura aún más estricto por medio del uso de una herramienta de VPN, como OpenVPN. Todo acceso a la infraestructura interna debería pasar por medio de la VPN.

9. Instala un antivirus

Habilita un antivirus para tener un escaneo constante de los servidores y equipos de los usuarios, utilizando herramientas como ClamAV o Kaspersky, entre otras.

10. Habilita actualizaciones de software

El software en los servidores y las computadoras de los usuarios debe mantenerse actualizado automáticamente para que se instalen patches de seguridad y se eliminen posible vulnerabilidades. En servidores Linux, puedes habilitar "unattended upgrades" para aplicar las actualizaciones automáticamente todos los días.

11. Identifica vulnerabilidades

Escanea los servidores y las computadoras de los usuarios para identificar vulnerabilidades reportadas en los paquetes de software. Utiliza herramientas como "Vuls" en Linux.

12. Haz un SSL / SSH check

Haz un escaneo periódico de posibles vulnerabilidades en la configuración de SSL y SSH, para así ajustar la configuración y prevenir ataques. Por ejemplo, puedes asegurarte de deshabilitar protocolos débiles (i.e., TLS 1.0) o cipher suites débiles (i.e., RC4).

13. Haz un access check

Verifica la sesiones abiertas en los servidores Linux para asegurarte de que solo sean de direcciones IP reconocidas. Si solo permites acceso SSH por medio de authorization keys, revisa que no haya ningún authorization key que no reconozcas. Elimina los que no reconozcas.

14. Haz un process check

Haz una revisión de los procesos activos en el sistema operativo. Familiarizate con los procesos que normalmente se ejecutan en el servidor y cuando tengas una buena idea de los patrones diarios, elimina cualquier proceso desconocido.

15. Haz un cronjob check

Haz una revisión de la configuración de tareas programadas (cronjobs) en el sistema operativo. Un vector de ataque común es el de programar cronjobs. Si no reconoces un crobjob y no es algo estándar del sistema operativo y de alguna herramienta que utilizas, elimina la configuración del cronjob.

1. Genera credenciales únicos para visitantes

Dar acceso abierto a visitantes al WiFi interno de la organización abre la posibilidad de amenazas de seguridad. Para reducir el riesgo, intenta generar códigos de acceso únicos para cada visitante y asegúrate de crear una red separada para visitantes que solo tenga acceso saliente y no tenga acceso a las herramientas ni infraestructura interna.

2. ¿Quién está en la oficina?

La oficina hospeda al corazón de la organización - los colaboradores. Debes tener un control de cualquier persona que entra y sale de la oficina. Debe haber una forma fácil de registrar las entradas y salidas de los colaboradores y de cualquier persona que llega de visita. El conocimiento de quién está en la oficina en todo momento es crucial en caso de emergencias y para asegurar la seguridad de todos.

3. Mantén un registro detallado de visitantes

Una vez hayas definido parámetros claros para el manejo de visitantes, asegúrate de llevar un control de los visitantes cuando entran y salen de las oficinas. Utiliza un registro de visitas para recolectar información importante de todos los que ingresan a tu oficina. Esto puede incluir el nombre, teléfono o correo, motivo de la visita y cualquier otra información que la organización considere necesaria.

4. Utiliza gafetes para visitantes

La habilidad de poder identificar fácilmente quién es un visitante y quién es un colaborador en la oficina ayuda a velar por la seguridad de la organización. Los gafetes de visitas son una forma simple de diferenciar a los visitantes.

5. Educa a todos los colaboradores

Los colaboradores de tu organización son la primera línea de defensa. Se les debe enseñar las buenas prácticas de ciberseguridad y seguridad física. No deben dar acceso a personal sin identificación a las instalaciones. Un visitante no puede simplemente solicitarles acceso a un área - especialmente si esa área es restringida. Y deben informar rápidamente si ven algo poco usual.

6. La seguridad física también es importante

Una organización puede infiltrarse por medios físicos también. Asegúrate de mantener áreas restringidas (i.e., cuarto de servidores, archivos) o dispositivos sensitivos (i.e., tarjetas de crédito, tarjetas de firma digital) bajo llave en todo momento. No los dejes sin llave al menos que estés requiriendo acceso a ellos en algún momento específico.

MFA ó 2FA

La autenticación multi-factor (multi factor authentication o MFA) es una tecnología de seguridad que requiere múltiples métodos de autenticación de categorías independientes (i.e., mensaje SMS, security key, etc.) de credenciales para verificar la identidad de un usuario para un inicio de sesión u otra transacción. 2FA utiliza dos factores, mientras que con MFA se pueden utilizar varios factores de identificación.

Vulnerability

Una vulnerabilidad es una debilidad existente en un sistema que puede ser utilizada por una persona malintencionada para comprometer su seguridad. Las vulnerabilidades pueden ser de varios tipos - hardware, software, procedimentales o humanas - y pueden ser explotadas o utilizadas por intrusos o atacantes.

Malware

El término malware se refiere a software que daña dispositivos, roba datos y siembra el caos. Hay muchos tipos de malware, incluyendo virus, troyanos, spyware y ransomware, entre otros.

Ransomware

Bloquea conexiones entrantes de IPs maliciosas o desconocidas, con herramientas como Shorewall.
Bloquea conexiones salientes a sitios y IPs maliciosas o desconocidas, con herramientas como Squid.

Least Privilege

El principio del mínimo privilegio (PoLP) hace referencia a un concepto de seguridad de la información en que se da a un usuario los niveles (o permisos) de acceso mínimos necesarios para desempeñar sus funciones laborales. Una vez implementado, reduce la superficie expuesta a ciberataques y reduce la posibilidad de propagación de malware.

Zero Trust

Zero Trust es un modelo de seguridad de red basado en la filosofía de que ninguna persona o dispositivo dentro o fuera de la red de una organización debe tener acceso para conectarse a sistemas o servicios de TI hasta que se autentique y se compruebe constantemente.

DDoS

Un ataque DDoS (distributed denial of service), o ataque distribuido de denegación de servicio, es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con una gran cantidad de tráfico malintencionado para que no pueda funcionar correctamente.

Social Engineering

La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados.

Phishing

El phishing típicamente describe las técnicas de ingeniería social que usan los hackers para robar información personal o corporativa a través del correo electrónico o teléfono. Los ataques de phishing son más efectivos cuando los usuarios no se dan cuenta de lo que está sucediendo dado que el hacker se hace pasar por una institución o persona de confianza en un mensaje de correo electrónico o llamada telefónica.

Spear Phishing

El spear phishing ("pesca con arpón") se diferencia del phishing más genérico en que el ataque es dirigido a un objetivo específico. Por lo general, los mensajes de spear phishing se personalizan según la información pública que el atacante haya encontrado acerca del destinatario. Esos detalles específicos logran que el mensaje parezca ser más legítimo y aumentan la probabilidad de que el destinatario haga click en algún vínculo o que descargue los archivos adjuntos.

Clickjacking

El clickjacking es una técnica maliciosa destinada a persuadir a un usuario de Internet a dar click en enlaces aparentemente seguros pero que tienen como objetivo brindarle la oportunidad al hacker de robar información o tomar el control de la computadora del usuario.

Encryption

El cifrado (encryption) en ciberseguridad es la conversión de datos de un formato legible a un formato codificado. Los datos cifrados solo se pueden leer o procesar luego de descifrarlos. El cifrado es la base principal de la seguridad de datos.

Penetration Testing

Un test de penetración consiste en pruebas ofensivas contra los mecanismos de defensa existentes en una organización. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando ingeniería social. El objetivo de estas pruebas es verificar bajo situaciones extremas cuál es el comportamiento de los mecanismos de defensa, específicamente se busca detectar vulnerabilidades en los mismos.

Defense in Depth

La defensa en profundidad (Defense in Depth) es una serie de prácticas que pretenden aislar en capas y dividir en diferentes áreas la infraestructura con el propósito de hacer más difícil el acceso a los servidores donde se almacena la información crítica de la organización. Incluye el uso de firewall, VPN, antivirus, segmentación de redes, contraseñas robustas, MFA, y actualización de software continua.

Conti

Conti es un grupo de hackers que ataca a sus víctimas por medio de ransomware que se ha observado desde el año 2020. Se especula que es distribuido por un grupo basado en Rusia. Se sabe que todas las versiones del sistema operativo Microsoft Windows pueden ser infectadas. Hay reportes de que una variante del software para ambientes ESXi (Linux) está en desarrollo también. En mayo de 2022 el gobierno de Estados Unidos ofreció una recompensa de hasta $15 millones para obtener información sobre este grupo.

Infiltración

Los hackers comúnmente obtienen acceso inicial por medio de:

  • spearphising emails

  • robo de credenciales débiles de Remote Desktop Protocol (RDP)

  • llamadas telefónicas

  • descargas de software alterado por medio de motores de búsqueda

Mitigación

Se recomiendan las siguientes mitigaciones para reducir el riesgo:

  • utilizar multi-factor authentication (MFA)

  • implementar segmentación de redes

  • filtrar tráfico entrante y saliente

  • escanear servidores para identificar vulnerabilidades

  • mantener el software en servidores y computadoras actualizado

  • llevar control de aplicaciones instaladas y eliminar las innecesarias

  • limitar acceso por medio de RDP a máquinas Windows

  • revisar los permisos y aplicar el principio de least privilege (PoLP)