Términos relacionados con malware

Para familiarizarnos con el vocabulario relativo al malware, estableceremos una serie de

definiciones que nos permitirán comprender otros términos y comunicar con propiedad,
incidentes e informes sobre amenazas y riesgos.

Una vulnerabilidad es un fallo de diseño o configuración, normalmente, referida a software.

Una vulnerabilidad puede causar mal funcionamiento en un sistema, permitir que se sorteen
las barreras de seguridad, o dejar al descubierto información que debería ser confidencial. Por
ejemplo, un Buffer overflow, es un fallo de diseño de aplicaciones que permite escribir en la
memoria más información, que la que realmente se asigna a un programa. Esto puede permitir
al atacante, dejar código malicioso en la memoria que se ejecutaría cuando el sistema atacado
procesase los espacios de memoria que han sido sobreescritos sin su consentimiento. Es un
sistema de ataque muy popular y su éxito deriva de una falta de previsión al respecto por parte
de los desarrolladores de algunas aplicaciones.

En Windows disponemos de la herramienta Data Execution Prevention (DEP), para los servicios
básicos del sistema, minimizando la probabilidad de que esta vulnerabilidad sea explotada por
un atacante. Para activarlo, debemos abrir el panel de control, acceder a Sistema de seguridad
-Sistema - Configuración avanzada del sistema, y en el frame, Rendimiento, abrimos
Configuración, vamos a la pestaña Protección de ejecución de datos, que es la traducción de la
herramienta. Activar DEP, solo para los programas y servicios de Windows esenciales. También
podemos activar DEP, para todos los programas y servicios, excepto los que se seleccionen en
la lista inferior.

Los Exploits son los mecanismos que se emplean para, valga la redundancia, explotar una
vulnerabilidad. El hecho de que exista una vulnerabilidad, no significa que se conozca o que se
haya implementado una forma de aprovecharla para atacar al sistema que la sufre. Por eso una
vulnerabilidad, supone un riesgo, en tanto y en cuanto, se desarrolle un exploit que le saque
partido. Por ejemplo. Si una aplicación es susceptible al desbordamiento de memoria, un
exploit podría realizar esa escritura de memoria sobredimensionada haciendo que el código
malicioso quedase fuera del espacio que leería la aplicación afectada. Cuando ese espacio
fuese ejecutado, el código malicioso entraría en funcionamiento. Los exploits se clasifican en
función de su tiempo de vida, siendo los más popularmente conocidos, los denominados zero-
day o día cero. Reciben este nombre aquellos exploits descubiertos que no han sido puestos en
conocimiento del fabricante del software, a cuya vulnerabilidad atacan. Cuando se da a
conocer el exploit, ya sea públicamente o solo al fabricante del software, el contador empieza a
sumar números. Y se dice, por ejemplo, que el exploit es de siete días, si es el tiempo que hace
desde que se publicó, y/o desde que fue conocido por la empresa, pero aún no se ha publicado
ningún parche de seguridad que elimine la vulnerabilidad.

Un Backdoor es, literalmente, una puerta trasera. Suele ser una de las primeras cosas que un
ciberdelincuente instala en un sistema al que ataca. El procedimiento suele ser: detección de
vulnerabilidades, explotación de alguna vulnerabilidad que permita acceso no autorizado, e
instalación de un backdoor.

El objetivo del backdoor, es dejar en el sistema un mecanismo de entrada oculto, solo conocido
por el atacante, que le permita volver a ingresar en el sistema, volver a ingresar en el sistema,
aunque el administrador del mismo emparche la vulnerabilidad que usó en el ataque inicial. A
diferencia de las vulnerabilidades, los backdoors sí son accesos voluntariamente
implementados.

Por último, tenemos los rootkit. Al acceder a un sistema, un atacante dispone de los privilegios
que le conceda el usuario, que se vea afectado por la intrusión. Dado que este usuario puede
no tener privilegios de administrador, el atacante usará una herramienta tipo rootkit para
escalar privilegios o desplazar su ataque a una cuenta de usuario con los máximos privilegios
posibles. Además el rootkit puede realizar tareas de ocultación y persistencia, lo que unido a
uno a uno o varios backdoors, permitiría al atacante realizar ataques de larga duración e,
incluso, interrumpirlos en el tiempo.

Virus y gusanos informáticos

Llamamos 'malware' a cualquier tipo de software residente o directamente ejecutado en

memoria, cuyo propósito es en beneficio de quien lo ejecuta en un equipo informático sin
permiso del administrador ni de los usuarios del mismo.

Además de actuar en beneficio del gestor del malware, también puede tener como objetivo
perjudicar al dueño del equipo afectado. De entre los distintos tipos de malware que existen,
los virus se caracterizan por reproducir el comportamiento de sus homónimos del mundo
biológico; es decir, su objetivo es infectar y reproducirse para seguir infectando más y más
equipos. Generalmente tienen comportamiento dañino para la computadora afectada: borran
archivos de información o de sistema; crean miles de archivos grandes para saturar el espacio
de disco; modifican configuraciones que dificulten al usuario su eliminación. Y, lo más
importante, aprovechan los canales de comunicación del usuario para su propagación: discos o
memorias externas donde almacena datos, correos electrónicos o cualquier otra forma de
compartir archivos. Uno de los virus más famosos fue el denominado ILOVEYOU.

Estaba programado en VisualBasic, y en el año 2000 consiguió infectar a más de 50 millones de

computadoras en todo el mundo, provocando pérdidas millonarias. Este virus sustituía archivos
reales por copias de sí mismo y destruía otros archivos. Además, se autorreplicaba dentro de
cada máquina infectada, dificultando mucho su eliminación; y para asegurarse de estar
siempre activo, modificaba el registro de Windows. El medio de propagación fue el correo
electrónico de los usuarios de las computadoras infectadas. ILOVEYOU es considerado como el
malware que ha desarrollado la propagación más virulenta conocida hasta la fecha.
Una variante de los virus son los gusanos. Podemos decir que estos son una evolución de los
anteriores, ya que para que un virus se propagase necesitaba de herramientas proporcionadas
por el usuario, como el correo electrónico o una memoria USB. Mientras que los gusanos son
capaces de replicarse sin necesidad de modificar archivos instalados o extensiones y, del mismo
modo, pueden propagarse, pero sin necesitar intervención del usuario. Esa es la diferencia
clave entre virus y gusano: que el primero requiere de la intervención del usuario para su
propagación, mientras que el segundo es capaz de hacerlo de forma automática, pudiendo
llegar a propagarse por ordenadores, cuentas de usuario de un mismo equipo, por equipos de
una misma red y, dependiendo de cómo esté diseñado, incluso de aprovechar otras vías para
infectar equipos ajenos a los de nuestra organización con los que se pueda interactuar, por
ejemplo, mediante correo electrónico o redes sociales. Uno de los más famosos gusanos que se
recuerdan es Code Red, "Código rojo". Descubierto por empleados de eEye Digital Security.
Este gusano afectaba a máquinas web que ejecutasen el servidor web IIS, siglas de Internet
Information Server.

Mediante la explotación de una vulnerabilidad de desbordamiento de memoria o buffer

overflow. Apenas dejaba rastro en el disco duro de los equipos afectados, ya que residía en la
memoria RAM, ocupando menos de medio megabyte de esta. Una vez infectada la máquina,
hacía cientos de copias de sí mismo, consumiendo recursos del sistema y afectando su
rendimiento. Además, generaba listas de direcciones IP aleatorias, a las que intentaba
conectarse con el objetivo de detectar si eran servidores Windows con IIS, y así infectarlos.
Curiosamente, el gusano realizaba también ataques de denegación de servicio a la web de la
Casa Blanca.

Fallos en la programación del propio gusano lo hacían inestable, y podían forzar que fuese
necesario reiniciar los servidores infectados, lo que equivaldría también a un ataque de
denegación de servicio. Aparte de atacar periódicamente la web de la casa blanca y de causar
inestabilidad en los sistemas, su tercer, aunque principal ataque era un defacement, que
consiste en sustituir una web original con una falsa o en modificar la original. En este caso,
cuando un cliente pretendía acceder a una web servida por una máquina afectada, recibía el
mensaje: "Welcome to www.worm.com, Hacked by Chinese".

Troyanos y spyware

El malware es todo aquel software desarrollado con la idea de actuar sin permiso en las
máquinas en las que se instala. Suele usarse en beneficio del creador o gestor del malware y
para perjudicar a la organización o persona propietaria de los equipos afectados. De entre los
distintos tipos de malware cabe destacar, por su especial importancia en el mundo empresarial,
los troyanos y el spyware. Los troyanos, abreviatura de caballos de Troya son aplicaciones
destinadas a que un atacante pueda realizar operaciones en la computadora infectada sin el
consentimiento ni conocimiento del legítimo usuario de esta.

El objetivo de los troyanos no es puramente destructivo, algo mucho más común en virus y
gusanos. Los troyanos son a su vez backdoors, que permiten al atacante acceder a la máquina
afectada cuando desean y a la vez permiten a este ejecutar aplicaciones, cambiar
configuraciones del sistema e incluso robar información sin el consentimiento de este. Hoy en
día, este tipo de aplicaciones es más conocida en círculos profesionales como RAT, siglas en
inglés de Troyano de Acceso remoto un nombre mucho menos agresivo que troyano, pero que
define a la perfección la funcionalidad de este.

La evolución de los troyanos sería el spyware. Si los troyanos permiten al atacante controlar la
máquina afectada, el spyware podría ser una versión más automatizada. Dependiendo del tipo,
puede seguir recibiendo instrucciones de su operador humano, pero también puede realizar
tareas automáticas por sí mismo. El objetivo del spyware, más que permitir la gestión remota
del equipo afectado, es el espionaje puro y duro. Su objetivo es localizar información y filtrarla.

Algo que distingue a troyanos y spyware frente a virus y gusanos, es que no están diseñados
para propagarse e infectar otras máquinas. La masificación no es su objetivo. Muy al contrario,
este tipo de malware es más efectivo cuánto menos se propague porque así las probabilidades
de ser descubierto se reducen y, por tanto, puede permanecer más tiempo operativo. Otra
característica de este tipo de malware es que requiere de conexión con su operador. El
cibercriminal o atacante opera desde lo que se conoce como un CC siglas de Centro de
Comando y Control.

Si originalmente los troyanos incorporaban un backdoor para que el atacante pudiese

conectarse cuando desease, los RAT y spyware más modernos establecen la comunicación en
sentido contrario, es decir, en lugar de conectar al atacante con el spyware es este el que
conecta con el CC, algo muy beneficioso, sobre todo ahora que las computadoras portátiles
están tan extendidas y que puede conectarse cada vez desde un sitio distinto.

Dado el alto coste de este tipo de software y que no está diseñado para su propagación
automática sino para el uso a discreción por parte de su operador, existen particulares, grupos
de cibercriminales, empresas y entidades gubernamentales que desarrollan sus propios
spyware para vigilancia, tanto legítima como ilegítima según quien opere y con qué permisos.

Dos y DDoS

¿DDos, DoS o ataque de denegación de servicio?

Como definición general de ataque de denegación de servicio, sería ese ataque que tiene como
objetivo inhabilitar el uso de un sistema, una aplicación o un servidor. Así, se bloquea el
servicio para el que está destinado. Como sabemos, los servidores web poseen la capacidad de
resolver un número determinado de peticiones o conexiones de usuarios de forma simultánea.
En caso de superar este número, el servidor comienza a ralentizarse o incluso puede llegar a no
ofrecer respuesta.
DDos y DoS

Existen dos técnicas de este tipo de ciberataques: la denegación de servicios DoS (Denial of
Service) y la denegación de servicio distribuido o DDoS (Distributed Denial Of Service):

En los ataques DoS se genera una cantidad masiva de peticiones al servicio desde una misma
máquina o dirección IP. Se consume así los recursos que ofrece el servicio hasta que llega un
momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones. En ese
momento, se ha materializado la denegación de servicio.

Para los ataques DDoS, se realizan peticiones o conexiones empleando un gran número de
ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo tiempo y hacia el
mismo servicio. Un ataque DDoS es más difícil de detectar. El número de peticiones proviene
desde diferentes IP’s y el administrador no puede bloquear la IP que está realizando las
peticiones, como sí ocurre en ataques DoS.

Los ordenadores que realizan los ataques DDoS son reclutados mediante la infección de un
virus o malware, convirtiéndose así en bots, capaces de ser controlados de forma remota por
un ciberdelincuente. Un conjunto de bots, es decir, de ordenadores infectados, forman una
botnet. Obviamente, esta red tiene mayor capacidad para derribar servidores que un ataque
realizado por sólo una máquina, como sería en el caso de los ataques DoS.

¿Cómo evitarlos?

Como usuarios debemos revisar la configuración de nuestros routers y firewalls para detectar
IP’s inválidas o falsas, que provengan de posibles atacantes. Normalmente, nuestro Proveedor
de Servicios de Internet (ISP) se encarga de que nuestro router esté al día con esta
configuración.

Por otro lado, las organizaciones y empresas que proveen estos servicios, deben proteger tanto
su red, como toda su infraestructura. Así, pueden evitar que estos ataques puedan afectar al
desempeño de su trabajo y como consecuencia derivada de ello, a sus clientes. Si una empresa
se ve afectada por un ataque de denegación de servicio, perderá la confianza de sus clientes y
podrían descartar la contratación de sus servicios.

Man in the middle

¿Qué es un ataque man in the middle?

Todo, desde nuestros timbres hasta nuestros automóviles, están conectados y son susceptibles
a los ataques MiTM. Imagina que alguien toma repentinamente el control de un automóvil
mientras otro conduce. O alguien que rastrea una ubicación para asegurarse de que una casa
esté vacía cuando entra para robar mientras transmite datos falsos al sistema de seguridad del
hogar.

A mayor escala, segmentos importantes de la infraestructura de la que dependemos hoy como

sociedad también están conectados a Internet. Esto significa que los servicios críticos como el
transporte, la energía y los hospitales están en riesgo de ataques MiTM maliciosos que pueden
causar interrupciones con resultados catastróficos.

En un ataque Man in The Middle, se intercepta una señal entre dos partes (el “hombre en el
medio”) y se reemplaza por otra señal fraudulenta.

Un ataque man-in-the-middle (MitM) es una forma de ciberataque en el que un atacante

intercepta datos importantes utilizando una técnica para intervenir en el proceso de
comunicación. El atacante puede ser un oyente pasivo en tu conversación, robando
silenciosamente los secretos, o un participante activo, alterando el contenido de mensajes o
haciéndose pasar por la persona / sistema con el que se cree estar hablando.

Los ataques MiTM no son nada nuevo. Han existido de una forma u otra durante mucho
tiempo. La tecnología ha cambiado pero el principio general permanece.

Un ejemplo clásico de esto es la Operación de intrusión Aspidistra de la Segunda Guerra

Mundial. Durante los ataques aéreos, las fuerzas aliadas imitaron las transmisiones de los
transmisores de radio alemanes. Esperaban hasta que se apagara la señal y luego transmitían
su propio contenido en la misma frecuencia (a menudo propaganda a favor de los aliados u
otro contenido falso destinado a desmoralizar a los alemanes). Debido a que pudieron hacer
esto sin ser detectados, parecía que estas transmisiones provenían de fuentes oficiales.

Los ataques de MiTM de hoy en día no son muy diferentes. Los piratas informáticos
interceptan las señales que enviamos con nuestros teléfonos o por Internet. A continuación, se
aprovechan de la conexión existente para recuperar información e insertar sus propios
comandos mientras se hacen pasar por el usuario legítimo.

Tipos de ataque de intermediario

Los ciberdelincuentes pueden utilizar los ataques MITM para obtener el control de los
dispositivos de diversas formas.

Ataques basados en servidores DHCP

DHCP es el protocolo que asigna automáticamente a un host una dirección IP válida de un

grupo de DHCP. DHCP se ha utilizado durante casi tanto tiempo como TCP / IP ha sido el
protocolo principal utilizado en la industria para asignar direcciones IP a los clientes. Se pueden
realizar dos tipos de ataques DHCP contra una red conmutada: ataques de inanición de DHCP y
suplantación de DHCP.

El ataque de inanición de DHCP es un ataque que tiene como objetivo los servidores DHCP
mediante el cual un atacante crea solicitudes de DHCP falsificadas con la intención de agotar
todas las direcciones IP disponibles que pueden ser asignadas por el servidor DHCP. Bajo este
ataque, se puede negar el servicio a los usuarios legítimos de la red.

En los ataques de suplantación de identidad de DHCP, un atacante configura un servidor DHCP

falso en la red para emitir direcciones DHCP a los clientes. La razón normal de este ataque es
obligar a los clientes a utilizar servidores falsos del Sistema de nombres de dominio (DNS) o del
Servicio de nombres de Internet de Windows (WINS) y hacer que los clientes utilicen al
atacante, o una máquina bajo el control del atacante, como su puerta de enlace
predeterminada.
ARP cache poisoning

ARP significa Protocolo de resolución de direcciones.

Un usuario envía una solicitud ARP y un pirata informático envía una respuesta falsa. En este
caso, el pirata informático pretende ser un dispositivo como un enrutador, lo que le permite
interceptar el tráfico. Normalmente, esto se limita a las redes de área local (LAN) que utilizan el
protocolo ARP.

Ataques basados en servidores DNS

Internet funciona mediante direcciones IP numéricas.

La mayoría de los sitios web utilizan un servidor para traducir esa dirección a un nombre
atractivo: google.com, por ejemplo. El servidor que traduce 127.217.14.228 en “google.com”
se denomina servidor de nombres de dominio o DNS.

Un pirata informático puede crear un servidor DNS falso, esto se llama “spoofing“. El servidor
falso enruta el nombre de un sitio web real a una dirección IP diferente. El pirata informático
puede crear un sitio web falso en la nueva dirección IP que se parece a un sitio web genuino.
Una vez que visita el sitio falso, un atacante puede obtener acceso a tu información
confidencial y datos personales.

Es una técnica que obliga a un usuario a acceder a un sitio web falso en lugar del real que el
usuario pretende visitar. Si eres víctima de suplantación de DNS, puedes pensar que estás
visitando un sitio web seguro y confiable cuando en realidad estás interactuando con un
estafador. El objetivo del perpetrador es desviar el tráfico del sitio real o capturar las
credenciales de inicio de sesión del usuario.

Simulación de un punto de acceso inalámbrico

Otro ataque man in the middle consiste en suplantar redes WiFi. Los ciberdelincuentes pueden
configurar conexiones Wi-Fi con nombres que suenan muy legítimos, similares a los de una
empresa cercana. Una vez que un usuario se conecta a la red Wi-Fi del estafador, el atacante
podrá monitorizar la actividad en línea del usuario y podrá interceptar las credenciales de inicio
de sesión, la información de la tarjeta de pago y más.

Este es solo uno de los varios riesgos asociados con el uso de Wi-Fi público.

Si alguna vez has usado una notebook en una cafetería, es posible que hayas notado una
ventana emergente que dice “Esta red no es segura”. El wifi público generalmente se
proporciona “tal cual”, sin garantías sobre la calidad del servicio.

Sin embargo, las conexiones WiFi no cifradas son fáciles de escuchar. Es muy parecido a tener
una conversación en un restaurante público: cualquiera puede escuchar. Puedes limitar tu
exposición configurando tu red en “pública”, lo que deshabilita Network Discovery. Esto evita
que otros usuarios de la red accedan a tu sistema.

Ataque man-in-the-browser

Este es un tipo de ataque que aprovecha las vulnerabilidades de los navegadores web.

Los troyanos, los gusanos informáticos, las vulnerabilidades de Java, los ataques de inyección
SQL y los complementos del navegador pueden ser vectores de ataque. A menudo se utilizan
para capturar información financiera.

Cuando el usuario inicia sesión en su cuenta bancaria, el malware captura sus credenciales. En
algunos casos, los scripts de malware pueden transferir fondos y luego modificar el recibo de la
transacción para ocultar la transacción.

Human assisted attack

El human assisted attack se refiere a cuando un patrón de ataque no es puramente automático,

sino que está controlado por uno o más atacantes en tiempo real.
 Este tipo de ataque man-in-the-middle podría ser de la siguiente manera: una vez que un
usuario de Internet inicia sesión en el sitio web de su banco, el hacker (que se ha colocado
entre el navegador del usuario y el servidor del banco) recibe una señal. Ahora tienen la
capacidad de robar cookies de sesión e información de autenticación en tiempo real y usarlas
para obtener acceso a nombres de usuario y contraseñas.

Consecuencias y peligros de estos ataques

Estos tipos de ataques pueden tener como objetivo el espionaje o la estafa, o simplemente ser
disruptivos. El daño causado puede variar de pequeño a enorme, dependiendo de los objetivos
del atacante y su capacidad para causar daño.

Con una mayor movilidad empresarial y el uso de Wi-Fi abierto, las consecuencias de un
ataque MitM pueden ser bastante graves. Por ejemplo, en el sector bancario, un atacante
podría ver que un usuario está realizando una transferencia y cambiar el número de cuenta de
destino, o la cantidad que se envía.

Además, los actores de amenazas podrían usar ataques Man-in-the-Middle para recopilar
información personal o credenciales de inicio de sesión. Los atacantes también podrían forzar
actualizaciones comprometidas que instalen malware en los dispositivos móviles de los
usuarios en lugar de en los legítimos. Dado que a menudo no pueden cifrar el tráfico, los
dispositivos móviles son particularmente susceptibles a este escenario.

La proliferación de dispositivos IoT - Internet de las cosas por sus siglas en Inglés, plantea otro
desafío con respecto a la ejecución de ataques de intermediario. La falta de seguridad en
muchos dispositivos significa que el crecimiento de IoT podría presentar un aumento en los
ataques MitM y enviar información falsa a la organización o instrucciones de comando y
control erróneas a los propios dispositivos.

Los dispositivos de IoT tienden a ser más vulnerables a los ataques porque, por diseño, no
implementan TLS ni dependen de versiones anteriores que no son tan robustas como la última
versión.

Los ataques MITM son una amenaza real para Internet, independientemente de la entidad que
los utilice. Estos ataques amenazan la confidencialidad de la comunicación y reducen la
confianza del usuario de que su comunicación no ha sido alterada en tránsito. Los ataques
MITM socavan la confianza que sustenta las funciones centrales y la confiabilidad de Internet.

¿Cómo funciona un ataque man-in-the-middle?

Supongamos que has recibido un correo electrónico que parecía ser de tu banco, solicitándote
que inicies sesión en tu cuenta para confirmar tu información de contacto. Haces clic en un
enlace del correo electrónico y se te lleva a lo que parece ser el sitio web de tu banco, donde
inicias sesión y realizas la tarea solicitada.

En tal escenario, el hombre del medio (MITM) te envió el correo electrónico, haciendo que
parezca legítimo. También creó un sitio web que se parece al sitio web de tu banco, por lo que
no dudarías en ingresar tus credenciales de inicio de sesión después de hacer clic en el enlace
en el correo electrónico. Pero cuando haces eso, no estás iniciando sesión en tu cuenta
bancaria, estás entregando tus credenciales al atacante.

¿Cómo detectar un ataque man in the middle?

Los ataques MitM pueden ser difíciles de detectar, pero su presencia crea ondas en la actividad
de red que, de otro modo, sería normal y que los profesionales de ciberseguridad y los usuarios
finales pueden notar.

Aquí tienes algunas señales para detectar un ataque man in the middle:

Desconexiones inesperadas y / o repetidas: los atacantes desconectan a los usuarios a la

fuerza para que puedan interceptar el nombre de usuario y la contraseña cuando el usuario
intenta volver a conectarse. Al monitorizar desconexiones inesperadas o repetidas, puedes
identificar este comportamiento de manera proactiva.

Direcciones extrañas en la barra de direcciones de tu navegador: si algo en la dirección parece

extraño, aunque sea un poco, vuelve a verificarlo. Podría ser un secuestro de DNS. Por ejemplo,
ves https: \\ www.go0gle.com en lugar de https: \\ www.google.com

Inicia sesión en una red Wi-Fi pública y / o no segura: ten mucho cuidado con las redes a las
que te conectas y evita la red Wi-Fi pública si es posible. Los atacantes crean redes falsas con
identificaciones conocidas como “local inalámbrico gratuito” o algún otro nombre común para
engañar a las personas para que se conecten. Si te conectas a la red Wi-Fi del atacante, este
puede ver fácilmente todo lo que envías a la red.

¿Cómo prevenir los ataques de intermediario?

Utiliza una red privada virtual (VPN) para cifrar tu tráfico web. Una VPN cifrada limita
gravemente la capacidad de un pirata informático para leer o modificar el tráfico web.

Estate preparado para evitar la pérdida de datos; debes tener un plan de respuesta a
incidentes de seguridad cibernética.

Hay cuatro componentes clave para prevenir y evitar ataques man in the middle:

Concienciación y educación: el error humano es responsable de un alto porcentaje de

ciberataques como los ataques MiTM. Las personas, sin saberlo, hacen clic en un enlace
incorrecto o usan sus datos de inicio de sesión en un sitio comprometido, lo que les da a los
piratas informáticos acceso a todos sus datos. Para evitar esto, la educación es fundamental,
especialmente en los negocios. Asegurarse de que los empleados conozcan los principios
básicos de la prevención de ataques cibernéticos en general y los ataques MiTM en particular
puede ahorrar mucho tiempo y dinero. Cosas simples como instruir a los empleados para que
eviten las redes wifi públicas o enseñar a las personas cómo es un correo electrónico de
phishing puede ser de gran ayuda para prevenir estos ataques.

Cifrado y VPN: el uso de cifrado en todos los dispositivos que contienen información valiosa y
el uso de redes privadas virtuales (VPN) cuando se conecta a redes públicas agrega una capa
adicional de protección contra los ataques MiTM. Las VPN crean un canal seguro y encriptado
para los datos que se transmiten a través de Internet desde un dispositivo o una red. Utilizadas
durante muchos años, las VPN para trabajadores remotos actúan como canalizaciones
protegidas para todos los datos que pasan a través de ellas, lo que las hace altamente efectivas
contra los ataques MiTM.

Actualización de firmware y software: una de las formas en que los piratas informáticos de
MiTM obtienen acceso a los sistemas es explotando el software y el firmware obsoletos del
sistema. Tener una política que los mantenga actualizados en todo momento ayuda a sellar los
puntos potenciales de acceso MiTM. Los sistemas actualizados tienen todos los parches de
seguridad actuales para problemas conocidos y dificultan el acceso de los piratas informáticos.
Lo mismo debe hacerse con los enrutadores, los dispositivos de IoT y otro hardware y software
conectados a tu red.
Seguridad de la conexión móvil: mantener seguros los dispositivos conectados a teléfonos
móviles puede ser un desafío, especialmente con la gran cantidad de cambios que ocurren
regularmente en la industria. El uso de la protección del receptor IMSI reduce el riesgo en toda
la organización al proporcionar una cobertura completa para todos los dispositivos conectados,
sin importar a qué red celular se conecten o dónde.

Ejemplo de ataque man in the middle

El atacante instala un rastreador de paquetes para analizar el tráfico de la red en busca de

comunicaciones inseguras.

Cuando un usuario inicia sesión en un sitio, el atacante recupera su información de usuario y lo

redirige a un sitio falso que imita al real.

El sitio falso del atacante recopila datos del usuario, que el atacante puede usar en el sitio real
para acceder a la información del objetivo.

En este escenario, un atacante intercepta una transferencia de datos entre un cliente y un

servidor. Al engañar al cliente haciéndole creer que todavía se está comunicando con el
servidor y el servidor haciéndole creer que todavía está recibiendo información del cliente, el
atacante puede interceptar los datos de ambos e inyectar su propia información falsa en
cualquier transferencia futura.

En 2017, la empresa de calificación crediticia Equifax eliminó sus aplicaciones de Google y

Apple después de que una infracción provocara la filtración de datos personales. Un
investigador descubrió que la aplicación no usaba HTTPS de manera constante, lo que permitía
a los atacantes interceptar datos cuando los usuarios accedían a sus cuentas.

En Paraguay se ha realizado una campaña de concienciación de usuarios. Siendo éstos la

principal vulnerabilidad.

Vea el video.

Campaña de Conciencia sobre intentos de Fraude

Espionaje - Ataque replay

Espionaje - Ataque replay. Medidas de protección timestamping y nonce

Un ataque de replay, también llamado ataque de playback, en español ataque de reproducción

o ataque de reinyección, es una forma de ataque de red, en el cual una transmisión de datos
válida es maliciosa o fraudulentamente repetida. Es llevada a cabo por el autor o por un
adversario que intercepta la información y la retransmite, posiblemente como parte de un
ataque enmascarado.

Suplantación de identidad

Es habitual hacer un ataque de replay capturando información y posteriormente reenviándola

con el objetivo de suplantar la identidad de uno de los lados. Es un hecho muy conocido que el
intercambio de claves Diffie-Hellman en sus primeras versiones podía ser atacado por un
ataque de reinyección, sin embargo, esto puede evitarse con una marca secuencial o una
marca de tiempo. Actualmente, ninguna aplicación que use el esquema de intercambio de
claves Diffie-Hellman de manera adecuada se ve afectada por este ataque en su forma básica
(aunque cabría falsificar dicha marca o duplicarla en el ataque replay).

Prevención de replay en sistemas de autenticación

Los sistemas de autenticación de red deben evitar la reproducción (replay) de comunicaciones

antiguas. Un mensaje previamente legítimo, como la solicitud de eliminar un archivo, puede
potencialmente causar un daño significativo si se repite incluso unos minutos más tarde.

Hay dos formas de evitar la reproducción: Primero, los protocolos de red seguros pueden
requerir el intercambio de cadenas aleatorias recién generadas, o nonces .

Los mensajes antiguos no pueden contener datos aleatorios generados posteriormente y, por
lo tanto, contendrán los nonces incorrectos si se reproducen.

Alternativamente, los servidores pueden simplemente registrar cada mensaje que reciben en
un caché de replay y descartar cualquier duplicado. Para evitar que los cachés de replay tengan
que crecer sin límites, los mensajes deben incluir timestamps. Si los servidores rechazan
automáticamente los mensajes con timestamps antiguas, también pueden desalojar dichos
mensajes del caché de replay. Sin embargo, depender de las timestamps de esta manera tiene
la complicación adicional de requerir que todas las máquinas tengan relojes débilmente
sincronizados.

La principal ventaja de los cachés de replay es que permiten protocolos sin estado. Si, por
ejemplo, un cliente desea realizar una RPC a un servidor, puede enviar un único mensaje que
contenga una marca de tiempo válida y recibir una respuesta de inmediato. Por lo tanto, una
RPC solo necesita incurrir en la sobrecarga de un solo viaje de ida y vuelta de red, y los
servidores no tienen que recordar clientes entre RPC. Con nonces, por el contrario, un cliente
primero debe solicitar un nonce del servidor, luego enviar al servidor un RPC que contenga ese
nonce. El costo de obtener un nonce se puede amortizar en múltiples RPC, pero esto requiere
que el servidor recuerde el último nonce de cada cliente. Este estado por cliente puede
desperdiciar bastante espacio cuando un gran número de clientes realizan RPC con poca
frecuencia.

Sin embargo, las cachés de reproducción y las timestamps tienen algunas desventajas. Primero,
la seguridad depende de que los relojes permanezcan aproximadamente sincronizados. Por lo
tanto, cualquier mecanismo que establezca el reloj del sistema debe ser una parte confiable del
sistema de autenticación. En segundo lugar, la tarea de mantener una caché de replay
coherente en múltiples procesos y programas puede ser bastante complicada, particularmente
si un servidor puede fallar y reiniciarse en menos tiempo que la tolerancia del reloj. De hecho,
el sistema de autenticación Kerberos utiliza protocolos con timestamps en lugar de nonces. Sin
embargo, 10 ~ años después de la implementación, la mayoría de las implementaciones de
Kerberos aún no tienen un caché de reproducción en funcionamiento. ¿Podría una parte tan
crucial de un sistema ampliamente utilizado realmente no implementarse durante más de una
década si no hubiera complicaciones graves involucradas?

En resumen, los cachés de reproducción pueden salvar a los servidores de red seguros de la
necesidad de mantener el estado por cliente. Desafortunadamente, tiene el costo de confiar en
el reloj del sistema. Además, la experiencia ha demostrado que los cachés de replay son
difíciles de implementar. Una mejor alternativa para la mayoría de los propósitos es
intercambiar nonces en protocolos de autenticación.

Métodos de seguridad para almacenar contraseñas

Métodos de seguridad para almacenar contraseñas

Las recomendaciones básicas para tratar con contraseñas no han cambiado apenas en los
últimos años y la mayoría de ellas son de puro sentido común: mantener las claves a buen
resguardo, no compartirlas, etc. Pero hay dos especialmente delicadas, porque de no cumplir
con un tercer requisito, no sirven para nada:

Usar contraseñas fuertes (largas secuencias de letras, números y símbolos aleatorios).

No reutilizar la misma contraseña en diferentes sitios.

Y una más que suele costar aplicar con rigurosidad:

 Cambiarlas de manera frecuente, y no solo cuando te encuentras con la noticia de que ese
servicio que usas ha sufrido un ataque. Entre otras cosas, porque en el tiempo que transcurre
entre que se realiza el ataque, los responsables del servicio lo descubren y lo comunican al
público puede pasar de todo.

Por qué es importante seguir estas recomendaciones no merece mucha explicación, pero por si
acaso:

Las contraseñas fuertes son más difíciles de vulnerar mediante ataques de fuerza bruta, y
aunque la mayoría de servicios que usas tienen protecciones frente a este tipo de ataques (por
lo general, se limita el número de intentos de identificación), más vale prevenir que curar.

Reutilizar contraseñas multiplica el riesgo exponencialmente, ya que cualquiera que

consiguiese acceder con tus credenciales a un sitio, va a probarlas en más.

Asimismo, no olvides el requisito adicional de cambiar las contraseñas de manera frecuente, lo

cual no es más que una medida proactiva con la que adelantarte a los acontecimientos, pero
no por ello deja de ser recomendable hacerlo.

En resumen: usa contraseñas fuertes, no las reutilices y cámbialas de vez en cuando.

Gestor de contraseñas

Tu cabeza no es un gestor de contraseñas. A pesar de que «gestor de contraseñas» suena a

aplicación de usuario avanzado, no lo es. Lo único a consideración, seguirás necesitando
recordar una contraseña

Navegadores web

El caso de uso más común en usuarios básicos es el navegador web, por lo que si todas tus
contraseñas están ligadas a sitios web y usas un solo navegador, los servicios de sincronización
de datos que ofrecen Firefox, Chrome u otros, además de muy cómodos, son muy seguros.

Si no confías en esto usa una clave maestra para que las contraseñas sincronizadas se cifren en
la propia aplicación, antes de enviarse al servidor. Esta función la tienen los principales
navegadores y es confiable dentro de lo que cabe. Sin embargo, es mucho más seguro si solo te
identificas en dispositivos personales que estén cifrados.

Debes encontrar un buen generador de contraseñas, que encontrarás fácilmente en la forma

de extensión. Chrome y Firefox, que ya lo llevan incorporado. Si usas uno de estos dos
navegadores te interesa saber, además, que:

La gestión de contraseñas en Chrome es un mundo en sí misma, y no ha dejado de mejorar

con nuevas funcionalidades.

La gestión de contraseñas en Firefox se ha revolucionado en las últimas versiones del

navegador e incluye su propia aplicación móvil.

Gestores de contraseñas dedicados

Si usas más de un navegador y aplicaciones y servicios que van más allá del propio navegador,
un gestor de contraseñas dedicado es la mejor opción.

Los gestores de contraseñas en la nube funcionan de manera similar a los navegadores web,
con la ventaja de no estar atados a ninguno de ellos. Lo más común es crear una cuenta en el
servicio en cuestión e instalar las extensiones para navegadores web o las aplicaciones móviles.
Dos consejos a la hora de elegir una aplicación de este tipo:

Imprescindible que cuente con cifrado en el lado del cliente, para que solo tú tengas acceso a
tus contraseñas.

Antepón las soluciones basadas en código abierto, pues son más transparentes en relación a su
funcionamiento.

Medidas de seguridad adicionales

Los gestores de contraseñas no son la única medida que debes considerar para mejorar la
seguridad de tus credenciales y datos. Tecnologías como la doble autenticación o las llaves de
autenticación por hardware son opciones igualmente recomendables para mejorar la
protección. Aplícalas siempre que puedas. Y cifra el almacenamiento de todos tus dispositivos.
No todas las contraseñas valen lo mismo

Es decir, no vale lo mismo la contraseña de tu correo electrónico o tu banco, que la de un foro

donde te apuntaste para preguntar algo. Es por ello que no debes tratar de igual forma a todas
tus contraseñas, y por lo que adoptar una estrategia de dos niveles, puede ser una buena idea.
Por ejemplo, guardando las credenciales más sensibles aparte.

Identificar y aislar

La mayor parte del malware que causa pesadillas a los administradores de red puede auto-
replicarse y extenderse por toda la red. WannaCrypt, en 2017, usó una falla en versiones
anteriores de intercambio de archivos de Microsoft.

El gusano Blaster de 2003 utilizó una vulnerabilidad en RPC. Estas amenazas están diseñadas
para propagarse. Por esa razón, el primer paso para detener la propagación de una infección es
contener el problema.

Arreglar una estación de trabajo dañada es muy diferente a arreglar un servidor dañado.
Entonces, el primer muro que se debe levantar es separar a los usuarios de los servidores.
Tenga en cuenta que todo esto debe hacerse muy rápidamente. Si tarda demasiado, es
probable que el malware se extienda a un área más grande. También existe la posibilidad de
que esto deba hacerse durante un día laboral y desee minimizar la interrupción del flujo de
trabajo de los usuarios. Comenzamos con los servidores porque, si el servidor está infectado,
separarlo rápidamente de los usuarios detendrá la propagación a más usuarios. En un
escenario más común, donde las máquinas infectadas son las estaciones de trabajo, esta
barrera detendrá la propagación a la columna vertebral de la empresa. Una vez implementada
esta protección, puede identificar y aislar con mayor precisión el alcance del problema. Existen
varias herramientas de hardware y software que pueden monitorear el tráfico de la red y
ayudarlo a rastrear el destino y el origen de estos gusanos, mientras intentan propagarse. Aquí
es donde la formación y la experiencia con productos como Wireshark, Network Message
Analyzer y otros de Microsoft pueden resultar realmente útiles.

Abrir una de estas herramientas por primera vez puede resultar un poco abrumador. Por lo
tanto, familiarícese con ellos antes de que comience la crisis. A medida que reduce la ubicación
de las máquinas infectadas, puede contenerlas y permitir que el resto de la red reanude las
operaciones normales. Si bien muchos gusanos que se auto-replican pueden generar suficiente
tráfico para ser vistos fácilmente, es posible que se pierda uno. Querrá ejecutar algún tipo de
rastreador en las secciones restauradas de su red. Preferiblemente, uno con alertas que le
permitan saber si necesita bloquear una sección adicional de su red.

Una vez que se ha contenido el problema, puede evaluar completamente el daño. Hable con el
usuario que vio la infección por primera vez o busque un informe técnico de una empresa de
software de seguridad para averiguar la naturaleza del malware y qué se ha visto afectado. En
el caso de WannaCrypt, se apuntó a varios tipos de documentos. Otros tipos de amenazas
podrían incluir los servicios de Windows deshabilitados, la recopilación de datos de
identificación o de propiedad, o la apertura de puertos de red para un ataque futuro. Averigüe
qué debe restaurarse y qué debe repararse, de modo que pueda hacer su plan para que la
parte infectada de su red vuelva a funcionar lo antes posible.

Recuperar archivos encriptados

El ransomware Wannacrypt de mayo de 2017, inicialmente apuntó a documentos en una

estación de trabajo con Windows. Cifró los archivos y agregó una nueva extensión de archivo,
luego mostró un mensaje que afirmaba que cuando se pagaba un rescate de bitcoin, los
archivos se restaurarían a su condición original.

Lo que el mensaje de Windows no les decía a los usuarios es que los pagos a la cuenta de
bitcoin a menudo no incluían suficiente información sobre el usuario o la máquina. Incluso si
alguien decidiera pagar el rescate , los creadores del malware nunca estuvieron en condiciones
de descifrar los archivos. En casos como este, el usuario de la computadora o su administrador
de red está por su cuenta para recuperar los archivos dañados utilizando las medidas de
seguridad que han implementado para protegerlos.

Si los archivos dañados estaban en un recurso compartido de red, necesitará restaurarlos

desde una copia de seguridad, pero no hasta que haya separado la estación de trabajo
infectada del servidor de archivos.

Wannacrypt se propaga a través de vulnerabilidades en el intercambio de archivos de

Windows. Así que asegúrese de aislar y solucionar el problema antes de preocuparse por
recuperar los datos perdidos. Las copias de seguridad de su servidor deben guardarse en un
dispositivo de almacenamiento que no sea accesible a través de recursos compartidos SMB. Lo
último que necesita es cifrar sus copias de seguridad con el mismo ransomware que eliminó
sus documentos.

Una vez que sepa que su servidor de archivos no está infectado y que todas las estaciones de
trabajo infractoras han sido aisladas o reparadas, ejecute una copia de seguridad de cualquier
carpeta que contenga archivos dañados, luego restaure las carpetas desde la copia de
seguridad limpia más reciente.

Si el servidor en sí estaba infectado, tendrá que recurrir a un nivel diferente de copia de

seguridad y restauración. A medida que avanza el curso, analizaremos la limpieza y reparación
de máquinas infectadas, incluidos servidores, de forma que pueden ser un poco menos
drásticas que una restauración básica.
Los usuarios individuales o las pequeñas empresas sin su propio servidor o plan de respaldo
pueden pensar que el almacenamiento en la nube como Drop-Box o One Drive es una buena
fuente para recuperar sus archivos.

Primero, las malas noticias. Estos servicios seguirán funcionando según lo diseñado, ya que
hacen que la nube se alinee con el disco duro local. Esto significa que el usuario tendrá archivos
dañados en la nube, así como cualquier otro dispositivo que se haya sincronizado con ese
almacenamiento en la nube.

Ahora las buenas noticias. Afortunadamente, muchos de estos servicios en la nube ofrecen
historial de versiones y otras funciones de restauración. Actualmente, Drop-Box mantiene 30
días de historial en todas las carpetas con su producto gratuito y vende un historial de
versiones extendido que rastreará los cambios hasta por un año. Una vez que la computadora
infectada haya dejado de sincronizar datos incorrectos con la nube, puede iniciar sesión en el
sitio web de Drop-Box y usar los archivos eliminados o las opciones del historial de versiones
para recuperar versiones anteriores del archivo.

Cuando hago clic en un archivo específico, digamos la información de mi cuenta de viajero

frecuente, puedo seleccionar el historial de versiones a la derecha y veré una lista de todas las
versiones diferentes que están disponibles para restaurar. Puedo seleccionar la versión correcta
y restaurar el archivo. Ahora bien, esto sería lento y tedioso si necesita recuperar muchos
archivos, pero puede ser mejor que perder los datos. Existe otro método para recuperar
archivos dañados en una sola computadora.

Windows tiene una función incorporada para restaurar la computadora a una fecha anterior.
Dejé este para el final, porque es el menos probable que esté disponible. Si la estación de
trabajo se ha configurado para crear puntos de restauración, puede intentar restablecer la
estación de trabajo a un punto de restauración anterior.

Tres cosas a tener en cuenta si elige esta ruta, primero, estos puntos de restauración deben
configurarse mucho antes de que ocurra el problema. Windows 10 no tiene el historial de
archivos habilitado de forma predeterminada y las versiones anteriores de Windows solo
respaldaban el estado del sistema a menos que se configurara de otra manera. En segundo
lugar, el malware que cifró sus archivos puede haber eliminado o destruido los puntos de
restauración. Esto es común entre el malware que ataca los archivos y servicios de Windows. Si
intenta una restauración y no hay puntos de restauración válidos, es probable que esto sea lo
que sucedió. Finalmente, si tiene un punto de restauración desde el que recuperarse,
asegúrese de seleccionar una restauración que incluya la recuperación de archivos. Windows
tiene opciones de restauración diseñadas para recuperar los sistemas operativos y aplicaciones
sin tocar los archivos. Este tipo de restauración no ayudaría en nuestra situación. Una vez que
haya contenido el malware y recuperado los datos perdidos, se mitigará la amenaza de daños
duraderos. A medida que avancemos en el curso, veremos cómo eliminar la amenaza y
protegernos contra su regreso.

Limpiar - Apágalo

Una de las partes más complicadas de eliminar malware de cualquier tipo es que puede existir
en tres lugares diferentes, procesos en la memoria activa, archivos en el disco duro e
instrucciones para ejecutar esos archivos.

Estos tres generalmente están diseñados para protegerse entre sí. Los archivos del disco duro a
menudo están protegidos por los procesos en ejecución, que a menudo detienen la
eliminación de los archivos. Cuando se ejecutan, los archivos a menudo pueden crear entradas
de registro y otros activadores para iniciar los archivos en el arranque o en otros momentos.
Algunos productos incluso están diseñados para hacerse pasar por algo inofensivo hasta que
puedan deshabilitar cualquier software anti-malware existente que pueda estar ejecutándose
en la máquina.

Toda esta autoprotección dificulta la eliminación de un ransomware bien escrito de una

computadora. Si la protección de su software ya se ha visto comprometida, no puede ayudar. Si
el archivo se está ejecutando actualmente, no puede simplemente eliminarlo. Y si el proceso
activo está monitoreando el registro, eliminar el punto de inicio no ayudará, porque podría
reescribirse tan rápido como pueda eliminarlo.

En el administrador de tareas, puede ver los distintos procesos. A veces, uno o más pueden
tener el nombre obvio del malware o del archivo que lo lanzó, pero la mayoría de ellos usarán
procesos enmascarados. Por ejemplo, los procesos de host para tareas de Windows o el host
del proveedor de WMI, que utilizan servicios de red compartidos para enmascarar
ocasionalmente el servicio que están ejecutando. Las cosas se pondrán más difíciles si se tiene
en cuenta que es probable que haya varios procesos asociados con el mismo malware y, por lo
general, se protegen entre sí.

A menudo, estos procesos que se vigilan entre sí dificultan el uso del administrador de tareas
para cerrar los procesos activos. Incluso si supiera cuál es y fuera a finalizar esa tarea, otro
proceso asociado podría simplemente reiniciarlo nuevamente. Hay productos en el mercado
diseñados específicamente para apagar todos los procesos negativos en su computadora con
Windows. Rkill de BleepingComputer es un ejemplo de una herramienta para que los
administradores cierren procesos ofensivos de una manera que es difícil o imposible de hacer
manualmente. Esta es una herramienta de nivel profesional. Algo parecido a usar Wireshark
para medir el perímetro de su problema, Rkill no es algo que desee aprender en medio de una
crisis. Además de detener procesos, está diseñado para restaurar asociaciones de archivos y
otras entradas de registro, lo que la convierte en una herramienta poderosa y algo peligrosa.
Tan poderoso como es Rkill, en realidad no elimina ningún malware del sistema. Ni siquiera
borra todos los posibles puntos de lanzamiento del malware. Todo lo que hace es matar los
procesos y permitir que otro software de seguridad haga su trabajo.

Una vez que se hayan cerrado los procesos en vivo, la mayor parte de la autoprotección del
ransomware también se desactivará. No reinicie la computadora en este punto del proceso de
limpieza porque cualquier punto de inicio restante iniciará el malware durante el inicio y
volverá al principio. Pero con el ransomware apagado, está listo para eliminar la amenaza de la
computadora infectada.

Eliminar la infección

Tan pronto como una nueva pieza de ransomware o cualquier malware, para el caso, se vuelve
viral, las empresas de software de seguridad se ponen en marcha de inmediato para lanzar
actualizaciones en cuestión de días o incluso horas.

Eso significa que una vez que se ha cerrado un proceso activo, esa amenaza puede ser
eliminada por cualquier número de productos de malware. Solo hay dos trucos para conseguir
la herramienta de limpieza adecuada. La primera es obtener una copia de la herramienta que
no contiene ningún software de relleno propio. Muchos de los sitios de descarga más comunes
generan ingresos al combinar varias herramientas y entretenimientos con sus descargas.
Cuando WannaCrypt salió a la calle por primera vez, salió a la luz un artículo sobre cómo
limpiar manualmente el ransomware desde una computadora. Recomendó que se ejecute un
limpiador de adware después de eliminar los procesos y antes de limpiar el malware en sí. Esto
es para combatir los problemas del adware adjunto a las descargas en general.

Cuando necesite descargar un limpiador de malware para una de las computadoras vaya
directamente al sitio web del fabricante o a un servicio como Ninite.com que implementa
copias limpias y actualizadas de utilidades comunes.

En un entorno empresarial, puede mantener instaladores limpios y redistribuibles de estos

productos, pero si sus servidores están bloqueados de las máquinas infectadas, esa solución
puede ser menos útil.

El segundo truco para usar herramientas recién descargadas es asegurarse de actualizar el

software antes de ejecutarlo. Tan pronto como instale cualquier nuevo software de seguridad,
actualícelo inmediatamente antes de realizar un escaneo. La razón principal de esto puede ser
obvia. Desea que el software reconozca la nueva amenaza y actualizar el software es la mejor
manera de hacerlo.

Una segunda razón para realizar la actualización es que la versión más reciente del software y
los archivos de datos será la más compatible con su estación de trabajo Windows. Rara vez
existe el riesgo de un peligro real derivado de un software de seguridad ligeramente
desactualizado, pero en un momento de crisis, desea la mejor ayuda disponible. Estos pasos de
eliminar procesos activos seguidos de descargar, actualizar y ejecutar limpiadores de malware
pueden llevar mucho tiempo, especialmente si tiene que limpiar una máquina a la vez. Esa es
la razón por la que las implementaciones de imágenes son una solución tan atractiva.

Con productos como el servidor de implementación de Windows y soluciones de terceros,

como Faronics Deep Freeze y Symantec Ghost, puede implementar nuevas instalaciones en
colecciones completas de computadoras. Si su estrategia para eliminar el ransomware implica
volver a crear imágenes de las máquinas a través de la red, asegúrese de que el segmento de
red donde se realizarán las imágenes esté limpio. El servidor de implementación también debe
estar limpio y completamente protegido. Después de aislar la amenaza a un segmento de la
red, todas las computadoras deben apagarse y arrancar directamente a la red para la nueva
instalación.

En instalaciones más pequeñas, las máquinas infectadas se pueden llevar físicamente a otra
habitación para volver a crear una imagen y volver a estar limpias, de modo que solo las
máquinas limpias y protegidas estén activas en su red. Limpiar sus máquinas es fundamental.
Mantenerlos limpios es igualmente importante. A medida que avancemos en este curso,
veremos los pasos necesarios para mantener una computadora libre de infecciones.

Parchear las máquinas

El último paso para preparar una máquina previamente infectada para reintroducirla en su red
es instalar contramedidas de protección para evitar el regreso del malware que causó todos los
problemas.

Es normal que Microsoft publique una actualización que corrija una falla de seguridad muy
pronto después de que se descubra la vulnerabilidad y normalmente pasan varias semanas
antes de que alguien presente un ataque que explote esa falla. A medida que las variaciones
del exploit se vuelven más sofisticadas, seguirán parches posteriores.

El desafío es este, la máquina recién limpiada aún no está protegida y, por lo tanto, no está lista
para ser colocada en la red activa. Eso significa que usar Windows Update para buscar
actualizaciones de Microsoft a través de Internet puede no ser una solución completa.

Hay al menos dos formas diferentes de solucionar esto y actualizar sus máquinas recién
limpiadas antes de reintroducirlas en la red corporativa y pública. El primero es aprovechar los
paquetes de actualización redistribuibles. Cualquier actualización para Windows o para las
funciones de seguridad integradas de Windows se puede descargar y distribuir a través de un
recurso compartido de red o incluso un medio extraíble. Puede obtener esos paquetes
redistribuibles en catalog.update.microsoft.com.
Puede encontrar la actualización más reciente del sistema utilizando la función de búsqueda
para escribir el año de cuatro dígitos, el guión y el mes de dos dígitos. Cuando busque eso, verá
una lista de las actualizaciones con el sistema operativo que pretenden proteger y un botón
Descargar que le permitirá obtener una copia redistribuible de esa actualización.

El servicio de actualización de Windows Server también actúa como un punto de distribución

para las actualizaciones de Windows.

Esta es una forma de aprovechar un servidor WSUS y las políticas de directorio activo para
parchear todas sus máquinas recién limpiadas. Ya sea que esté parcheando algunas máquinas
en una habitación aislada o si desea enviar una actualización a todo un departamento, puede
usar una combinación de controlador de dominio y servidor WSUS para que esto suceda.
Asegúrese de que el servidor en sí esté actualizado y protegido, luego coloque el servidor de
modo que la parte aislada de su red pueda verlo.

Esto le permitirá implementar una política que designará el servidor de actualización y

permitirá que el servidor envíe los parches necesarios. Si siguió la ruta de la creación de
imágenes de las máquinas, podría haber colocado el servidor de actualización, así como el
servidor de implementación en la misma ubicación para poder usar este entorno para unir las
estaciones de trabajo recién instaladas al dominio y obtener sus actualizaciones desde el
mismo servidor.

Una vez que se ha vuelto a crear una imagen o se ha limpiado una estación de trabajo, y luego
se ha parcheado con las últimas actualizaciones de seguridad y del sistema, está lista para
volver a ponerse en producción. Las actualizaciones actuales son una parte importante de la
protección continua, pero de ninguna manera son la única parte.

Antimalware

Una vez que las estaciones de trabajo y los servidores de su red estén libres de malware, su
próximo objetivo debería ser mantenerlo así. El primer paso es seleccionar e instalar
antimalware en cuatro lugares diferentes. El software antimalware de estaciones de trabajo y
servidores es la última línea de defensa, pero suele ser el primer tipo de software de
protección que se le viene a la mente. Se encarga de detener cualquier cosa que haya pasado
el firewall y el servidor de correo electrónico. Hay una gran cantidad de productos gratuitos y
de pago para elegir y la misma cantidad de artículos que los califican.

La conclusión al seleccionar antimalware para una protección continua es elegir algo con
escaneo en tiempo real y la cantidad correcta de informes para el usuario. Los programas como
los productos gratuitos de Malwarebytes son excelentes herramientas de limpieza, pero no
brindan protección en vivo.

Productos como AVG informan de todo lo que hacen al usuario, lo que a veces puede ser
demasiado. Asegúrese de seleccionar un software que observe sus aplicaciones y su tráfico de
red y le brinde la información que necesita. El antimalware de nivel de servidor es producido
por algunos de los mismos proveedores, pero con características ligeramente diferentes. Si
bien el software de estación de trabajo promedio está diseñado para escanear y proteger los
procesos que se ejecutan en la memoria, así como el disco duro y el tráfico de la red, el
software de nivel de servidor está diseñado para monitorear todos estos aspectos más
cualquier aplicación y servicio de servidor que no se estaría ejecutando en un entorno de
estación de trabajo. Rara vez son gratis, pero siempre valen la pena.

También debe seleccionarse en función de la cantidad de informes en tiempo real, así como su
huella en el tiempo de procesamiento y el uso de la memoria. El software de seguridad en las
estaciones de trabajo y los servidores es la última línea de defensa. Otra capa de protección
que a menudo se descuida en las empresas más pequeñas es el antimalware en el borde de su
red. Muchos de los productos de firewall de hardware en el mercado hoy en día ofrecen algún
tipo de escaneo para proteger toda la red en la puerta de enlace.

Los productos Barracuda actuales utilizan un servicio en la nube para realizar el escaneo,
mientras que productos como la serie NSA de SonicWall realizan una inspección profunda de
paquetes para detener muchos tipos de amenazas. La mayoría de estos productos incluso
identificarán y bloquearán el malware adjunto al correo electrónico. Pero el truco está en cómo
elige usar el correo electrónico cifrado. Si el correo electrónico está protegido con TLS o algún
otro cifrado basado en certificados, el firewall debería convertirse en un punto final para que el
certificado realice esos análisis, y eso no siempre es posible.

Esto lleva a la cuarta capa de protección antimalware. La configuración de seguridad y los

servicios antimalware de su servidor de correo electrónico son importantes. La mayoría del
malware que hace que las noticias se difundan a través de la red mediante un RPC u otras
vulnerabilidades en Windows, pero generalmente lo inician los usuarios que abren un archivo
adjunto de correo electrónico infectado. Muchos servidores de correo electrónico vienen con
protección antivirus, pero eso es solo una protección básica.

Microsoft Exchange, por ejemplo, tiene soporte integrado para protección basada en la nube
de varios proveedores líderes de software de seguridad y puede integrarse con productos de
terceros aún más robustos. Hay un recordatorio final sobre todos estos productos. El
antimalware, como Windows Update debe estar actualizado o no es bueno para nadie.
Independientemente del producto que seleccione, asegúrese de permitir que se actualice
automáticamente para que siempre pueda tener la mejor protección disponible.

Actualizaciones de Windows

Se rumorea que el ransomware WannaCrypt fue diseñado para extenderse por una red
utilizando vulnerabilidades expuestas por un volcado de herramientas de piratería de la NSA. Y
ha habido suficiente evidencia que lo corrobora para indicar que este podría ser el caso.

Suponiendo entonces que sea cierto, considere la línea de tiempo de este exploit en particular.
Hace varios años, la Agencia de Seguridad Nacional de los Estados Unidos descubrió una
vulnerabilidad de seguridad en la versión uno de SMB en computadoras con Windows y
crearon una herramienta para explotar esa debilidad. En abril de 2017, un grupo de piratería
conocido como Shadow Brokers abandonó las herramientas de piratería de la NSA, incluida la
que expuso esta debilidad de las PYMES.

A fines de abril, Microsoft escribió un parche de seguridad que solucionó la vulnerabilidad y la

incluyó en el paquete acumulativo del 5 de mayo para todas las versiones de Windows con
soporte activo de Microsoft y algunas versiones que no lo eran. El viernes 12 de mayo de 2017,
WannaCrypt causó estragos en las computadoras con Windows en todo el mundo hasta que
alguien en el Reino Unido encontró accidentalmente el interruptor de apagado global para el
malware y cerró la primera variante.

Entonces, ¿qué nos muestra esta línea de tiempo? En primer lugar, nos muestra que si todas las
computadoras con Windows hubieran ejecutado sus actualizaciones periódicas, WannaCrypt
nunca habría sido de interés periodístico, porque no se habría podido difundir. Las
actualizaciones de Windows no son protección antimalware, aunque pueden incluir protección
contra software malicioso. Representan los esfuerzos de Microsoft para hacer frente a las
vulnerabilidades de seguridad, así como a nuevos productos y errores menos importantes tan
pronto como se descubren.

Las empresas que quieran tener la oportunidad de examinar las actualizaciones antes de
enviarlas a sus estaciones de trabajo deben utilizar Windows Server Update Services, o
productos similares, para descargar actualizaciones de Microsoft y aprobar su distribución a las
computadoras miembros.

Se pueden crear políticas de Active Directory para configurar todas las estaciones de trabajo
para que apunten a su servidor WSUS en lugar de a Internet y para extraer e instalar
actualizaciones en un horario regular. Otro paso es asegurarse de que las soluciones de
implementación de estaciones de trabajo incluyan las últimas actualizaciones. Se ha vuelto
común que las grandes empresas e incluso las medianas implementen instalaciones de
Windows que están preconfiguradas con varias aplicaciones y configuraciones. WDS en los
servidores de Windows le permite llenar una carpeta con paquetes de día cero que se pueden
aplicar a una instalación de Windows cuando se implementa.

Estas carpetas se utilizan a menudo para los controladores, pero también pueden contener
actualizaciones acumuladas para el sistema operativo. Si se está utilizando Microsoft System
Center, también podría tener opciones para incorporar cualquier actualización de Windows
aprobada desde su servidor WSUS sin tener que mantener manualmente un archivo ZDP en
una carpeta. Ambos procesos protegerán las instalaciones nuevas de ser vulnerables entre el
momento en que son nuevas y el día en que descargan e instalan sus primeras actualizaciones.
Parchea temprano y parchea a menudo para adelantarse a todos los exploits lanzados
anteriormente y también a la mayoría de los que están por delante de nosotros.

Educación del usuario

El departamento de TI de una empresa puede hacer mucho en términos de minimizar el

malware, pero hay un grupo de personas que puede hacer aún más.

Las empresas que son eficaces para eliminar el ransomware y todo tipo de malware lo han
hecho con la ayuda de las personas que utilizan las computadoras todos los días. Como todo
buen empleado de RR.HH. sabe, los empleados más útiles son los empleados formados y
desarrollados. Si los empleados no técnicos se van a unir al equipo de una empresa, se
necesitará educarlos. Los empleados que utilizan dispositivos de red como parte de su trabajo
deben aprender a reconocer los archivos adjuntos sospechosos. Necesitan saber que está bien
eliminar el correo basura, y necesitan que se les muestre el paralelismo entre su valiosa
información patentada y los riesgos genuinos en Internet.

Esta formación de usuarios no es una tarea sencilla y no se limita a los elementos que son
obvios para el empleado técnico medio. No es suficiente decirles a los usuarios que dejen de
abrir correos electrónicos sospechosos de personas que no conocen, porque el término
sospechoso es subjetivo y muchos empleados se acercan a personas que no conocen como
parte normal de su trabajo. Puede ser un poco más fácil decirles que se mantengan alejados de
los sitios web que no están relacionados con su trabajo, en un esfuerzo por mantenerlos
alejados de blogs y enlaces de redes sociales infectados, pero aún así, decirles es diferente de
esperar que cumplan.

Muchas empresas han vinculado acciones disciplinarias de TI o de la administración, cuando

los empleados se salen de los límites. Las políticas de uso técnico se han redactado para incluir
consecuencias como acceso limitado a la tecnología o disciplina hasta e incluyendo el despido.
Sin embargo, es poco probable que realmente vayan a quitarle la notebook a alguien, o
despedirlo, por seguir un enlace de Facebook.
El mensaje real es que la computadora, la red local y las tecnologías de Internet
proporcionadas por la empresa son herramientas compradas y pagadas para que los
empleados sean más efectivos en su trabajo. Eso es todo lo que cualquier tecnología está
realmente diseñada para hacer la meta es lograr que los usuarios de la red en la organización
respeten la tecnología y su propósito previsto.