Tras la inquietante publicación de la Agencia Española de Protección de Datos, empiezo con la implementación de una VPN en el trabajo. Pero ¿cuál ha sido el alarmante aviso que ha realizado la AEPD? A continuación puedes leerlo:
Fuente: https://www.aepd.es/blog/2019-05-09.html
Tras este aviso, la primera medida preventiva a llevar a cabo para evitar estos ataques es no exponer los servicios de escritorio remoto directamente a internet mediante la redirección de puertos, al considerarse una práctica insegura. Es recomendable entonces, implementar un sistema de red privada virtual (Virtual Private Network - VPN) en la que se consoliden los accesos desde el exterior. De esta manera tendremos un único sistema expuesto que es el que deberemos vigilar con mayor diligencia.
Una red VPN (Virtual Private Network o Red Privada Virtual), es un tipo de red en el que se crea una extensión de una red privada para su acceso desde Internet, es como la red local que tienes en casa o en la oficina pero sobre Internet.
"Un 10% de las notificaciones de brechas de seguridad recibidas en la
AEPD durante 2018 desde el 25 de mayo de 2018 (fecha de aplicación del
RGPD) indican que el motivo de la brecha es el cifrado de equipos
mediante algún tipo de ransomware, y en ocasiones el vector de ataque es
el acceso mediante servicios de escritorio remoto.
Es habitual que usuarios de pymes y grandes empresas necesiten tener
acceso desde internet a un servidor o cualquier otro equipo de su red
para ejecutar determinadas aplicaciones, realizar tareas de
mantenimiento o de soporte. A veces, también necesitan proporcionar
acceso a otras organizaciones que les prestan un servicio determinado.
Escritorio remotoDesde Windows NT 4.0, Microsoft incorpora el protocolo
de escritorio remoto (Remote Desktop Protocol - RDP) que proporciona
acceso remoto a la interfaz gráfica del equipo y permite resolver la
necesidad anteriormente descrita. Es un servicio habitualmente usado en
servidores que tienen instalado el sistema operativo Windows, aunque
también se utiliza en otros sistemas operativos, para evitar tener que
desplazarse físicamente donde se encuentra el equipo.
Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP.
Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.
Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP.
Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.
En un entorno controlado de pruebas en el que se simulen las
condiciones anteriormente descritas, se puede comprobar que en menos de
una hora la exposición del servicio es detectada y se realizan cientos
de ataques por fuerza bruta.
En los últimos años han
cobrado una especial importancia los ataques de tipo ransomware en los
que se busca cifrar información para posteriormente solicitar un rescate
por la contraseña de descifrado. Aunque parezca una actividad en
descenso, sigue siendo una gran amenaza a tener en cuenta especialmente
en el caso de las pymes, uno de sus grandes objetivos".
Fuente: https://www.aepd.es/blog/2019-05-09.html
Tras este aviso, la primera medida preventiva a llevar a cabo para evitar estos ataques es no exponer los servicios de escritorio remoto directamente a internet mediante la redirección de puertos, al considerarse una práctica insegura. Es recomendable entonces, implementar un sistema de red privada virtual (Virtual Private Network - VPN) en la que se consoliden los accesos desde el exterior. De esta manera tendremos un único sistema expuesto que es el que deberemos vigilar con mayor diligencia.
Una red VPN (Virtual Private Network o Red Privada Virtual), es un tipo de red en el que se crea una extensión de una red privada para su acceso desde Internet, es como la red local que tienes en casa o en la oficina pero sobre Internet.
El tráfico pasa por un túnel VPN; una conexión cifrada entre tu dispositivo y el destino en la web. Si alguien atrapara este tráfico no podría ver la información ya que permanece protegida con un cifrado de grado militar. Por lo tanto es un buen método contra los hackers.
Este también podría ser un buen método para navegar a través de las Wi-Fi públicas. Hay hackers que configuran redes Wi-Fi falsas y comprometen la seguridad de las conexiones públicas. Así es como acceden a tu tráfico y te pueden robar tus contraseñas e incluso tus detalles bancarios. Una VPN te permite conectarte de forma segura.
Principalmente, voy a crear una VPN para acceder a una red de trabajo mientras se está de viaje. De esta forma, aun estando lejos de la oficina podremos acceder a los recursos compartidos de la empresa, como servidores de ficheros, etc.
Esto también evitará ataques por fuerza bruta de Ransomware. Aunque la forma en la que se produce este ataque es tradicionalmente
mediante phishing, en el que a través del envío de un correo suplantando
al emisor se remite un malware como fichero adjunto que acabará
cifrando los archivos del equipo, en la actualidad
también se utilizan otras variantes, como por ejemplo algunos ransomware
como Crysis/Dharma o Matrix cuyo vector de entrada es precisamente el
protocolo de escritorio remoto. Utilizando buscadores como SHODAN,
encuentran equipos accesibles que tengan contraseñas débiles y usuarios
por defecto habilitados como “invitado”, “backup”, etc. Una vez acceden
al equipo proceden a deshabilitar sistemas de protección como
instantáneas de volumen o puntos de restauración y cifran toda la
información del sistema pidiendo un rescate para entregar la contraseña
de descifrado.
0 comentarios Blogger 0 Facebook
Publicar un comentario