Cómo impactamos
act PROSPERI.AI
La inteligencia artificial corporativa act digital
Soluciones
Servicios
Partners
En este artículo, describimos técnicamente tres ciberataques realistas que puedes sufrir cuando teletrabajas. También te explicamos qué medidas concretas puedes tomar para protegerte.
Los trabajadores a distancia están peor preparados en cuanto a seguridad informática en su domicilio que en la oficina, por lo que son objetivos habituales de los piratas informáticos. Lo cierto es que las empresas se centran en protegerse perimetralmente (cortafuegos, sondas de red, etc.), pero descuidan a veces la seguridad individual de cada puesto.
¿De qué manera pueden atacarte cuando trabajas en tu domicilio?Dejemos a un lado las amenazas directas de Internet —el rúter actúa como cortafuegos— y la entrada en tu domicilio de una persona con malas intenciones, algo poco habitual en el mundo de los ciberataques. Quedan dos maneras de hacerlo que hay que tener en cuenta:
No obstante, estos equipos (ordenador familiar, teléfonos móviles, tabletas, etc., e incluso los del vecino, que usa tu wifi sin que te des cuenta) pueden estar desactualizados o desprotegidos, o se pueden estar usando de forma arriesgada (descargas, aplicaciones y juegos pirateados, navegación por sitios web prohibidos para menores de 18 años, etc.).
Basta con el envío de un correo electrónico con un archivo adjunto infectado por un RAT (Remote Access Tool, que puede ser una macro de Excel, vulnerabilidad del lector de PDF, un ejecutable «disfrazado» de documento, etc.) pensado para que se abra en el ordenador familiar, que no está bien protegido.
Una vez ejecutado el programa, el ciberatacante tiene un pie en tu red local. En ese momento, quedas expuesto a varios riesgos de ataque concretos. El acceso a las carpetas compartidas, la explotación de una vulnerabilidad RCE y la explotación del protocolo LLMNR forman parte de dichos riesgos.
El primer riesgo que corres es que accedan a tus carpetas compartidas. Cuando conectaste el equipo de trabajo a tu red local por primera vez, Windows te preguntó si se trataba de una red «privada» o «pública» (o una red «doméstica», «de oficina» o «pública», según las versiones). En casa, y como la mayoría de las personas, seguramente habrás hecho clic en «privada» o «doméstica». Sin embargo, esa acción incita a Windows a reducir la vigilancia y a confiar en los demás miembros de tu red. En concreto, les da permiso para acceder a las carpetas compartidas que tengas.
Un ciberatacante con acceso a tu red local podrá ver una lista de tus carpetas compartidas, acceder a ellas y apoderarse de los documentos confidenciales que contengan. Según se haya configurado el modo de compartir las carpetas, podrá incluso modificar los documentos existentes o añadir otros nuevos. Por ejemplo, puede enmascarar en uno de sus archivos un RAT (Remote Access Tool) que se activará la próxima vez que hagas clic en dicho archivo para abrirlo.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Otro riesgo al que te expones es la explotación de una vulnerabilidad de tipo RCE (Remote Code Execution) que esté presente en tu equipo. Por ejemplo, podemos citar la vulnerabilidad CVE-2020-0796, también llamada «SMBGhost». Esta vulnerabilidad permite a un atacante que haya accedido a la red local ejecutar a distancia un código en el equipo explotando el protocolo de uso compartido de la red SMBv3. En general, este tipo de vulnerabilidad se corrige rápidamente con un parche y no se suele comunicar antes de la publicación de la actualización de seguridad. Por lo tanto, su explotación es poco probable si el equipo está correctamente actualizado.
Sin embargo, es habitual que los equipos de trabajo que se usan para teletrabajar se actualicen únicamente cuando se conectan a la red de la empresa.
Esto te atañe si, por ejemplo, durante el confinamiento recibiste varios correos electrónicos del departamento de informática rogándote que pasases por la oficina para instalar unas actualizaciones de seguridad importantes.
¿No has ido a la oficina desde que los recibiste? En ese caso, no tienes la famosa actualización. El ciberdelincuente solo tendrá que infiltrarse en tu red para explotar la vulnerabilidad.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Esta última amenaza es más técnica y consiste en instalar una trampa en el equipo para que revele al atacante sus credenciales. Como se ha observado con el primer riesgo de ataque, al conectarse a una «red doméstica», el equipo intenta detectar automáticamente todos los servicios presentes en la red. Para ello, Windows utiliza distintos protocolos, como LLMNR y NBT-NS, para enviar solicitudes de exploración. Por ejemplo, preguntará a la red si hay un servicio llamado «WPAD» para detectar una configuración proxy.
A continuación, el equipo intentará comunicarse con los servicios que detecte.
Si estos requieren una autenticación, el equipo se conectará a ellos automáticamente con tu cuenta de usuario. Un atacante que haya entrado en tu red puede explotar ese mecanismo respondiendo a las solicitudes de exploración y mostrando servicios ficticios para los que se necesita una autenticación, como, por ejemplo, con la herramienta Responder.
En el peor de los casos, como sucede con las versiones antiguas de Windows o las configuraciones erróneas, el hacker puede conseguir directamente tu contraseña. La mayoría de las veces, lo que suele conseguir es un hash (netNTLMv1 o netNTMLv2) que permite averiguar tu contraseña. Cuanto más débil sea la contraseña (si es corta, aparece en un diccionario de contraseñas, etc.), más fácil será descifrarla.
Al obtener la contraseña de tu cuenta de Windows, el atacante puede conectarse a todos los servicios en línea de tu empresa cuya autenticación se base únicamente (sin MFA, o autenticación multifactor) en dicha cuenta (proxy, correo web, nube de aplicaciones, extranet, etc.). Incluso puede usar tu contraseña para llevar a cabo un ataque más complejo desde dentro de la red de la empresa.
Por último, si el hacker no logra descifrar tu contraseña, podrá utilizar el hash que haya obtenido en los ataques de retransmisión NTLM («NTLMRelay»). Aunque se trate de una amenaza mínima en el contexto de un ataque a través de tu red local, no deja de ser posible.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Aunque acceder a una red local para atacar a una empresa requiere cierta dosis de motivación, a un atacante bien preparado le resultaría fácil llevar a cabo los distintos escenarios hipotéticos mencionados.
No obstante, estas no son las únicas amenazas. En general, el teletrabajo incrementa determinados riesgos por estas causas:
Es el caso de Zoom, por ejemplo, donde se encontraron varias vulnerabilidades RCE durante el primer confinamiento (CVE-2020-6109 y CVE-2020-6110). En ese periodo precisamente, se constataron numerosos ataques e intentos de ataque.
Para hacer frente a la intensificación y la sofisticación de los ciberataques, se debe diseñar la seguridad de los sistemas informáticos de manera individualizada, llevar a cabo pruebas de intrusión periódicas en los equipos y planificar programas de sensibilización para los empleados acerca de los riesgos inherentes a la ciberdelincuencia.
En este artículo, describimos técnicamente tres ciberataques realistas que puedes sufrir cuando teletrabajas. También te explicamos qué medidas concretas puedes tomar para protegerte.
Los trabajadores a distancia están peor preparados en cuanto a seguridad informática en su domicilio que en la oficina, por lo que son objetivos habituales de los piratas informáticos. Lo cierto es que las empresas se centran en protegerse perimetralmente (cortafuegos, sondas de red, etc.), pero descuidan a veces la seguridad individual de cada puesto.
¿De qué manera pueden atacarte cuando trabajas en tu domicilio?Dejemos a un lado las amenazas directas de Internet —el rúter actúa como cortafuegos— y la entrada en tu domicilio de una persona con malas intenciones, algo poco habitual en el mundo de los ciberataques. Quedan dos maneras de hacerlo que hay que tener en cuenta:
No obstante, estos equipos (ordenador familiar, teléfonos móviles, tabletas, etc., e incluso los del vecino, que usa tu wifi sin que te des cuenta) pueden estar desactualizados o desprotegidos, o se pueden estar usando de forma arriesgada (descargas, aplicaciones y juegos pirateados, navegación por sitios web prohibidos para menores de 18 años, etc.).
Basta con el envío de un correo electrónico con un archivo adjunto infectado por un RAT (Remote Access Tool, que puede ser una macro de Excel, vulnerabilidad del lector de PDF, un ejecutable «disfrazado» de documento, etc.) pensado para que se abra en el ordenador familiar, que no está bien protegido.
Una vez ejecutado el programa, el ciberatacante tiene un pie en tu red local. En ese momento, quedas expuesto a varios riesgos de ataque concretos. El acceso a las carpetas compartidas, la explotación de una vulnerabilidad RCE y la explotación del protocolo LLMNR forman parte de dichos riesgos.
El primer riesgo que corres es que accedan a tus carpetas compartidas. Cuando conectaste el equipo de trabajo a tu red local por primera vez, Windows te preguntó si se trataba de una red «privada» o «pública» (o una red «doméstica», «de oficina» o «pública», según las versiones). En casa, y como la mayoría de las personas, seguramente habrás hecho clic en «privada» o «doméstica». Sin embargo, esa acción incita a Windows a reducir la vigilancia y a confiar en los demás miembros de tu red. En concreto, les da permiso para acceder a las carpetas compartidas que tengas.
Un ciberatacante con acceso a tu red local podrá ver una lista de tus carpetas compartidas, acceder a ellas y apoderarse de los documentos confidenciales que contengan. Según se haya configurado el modo de compartir las carpetas, podrá incluso modificar los documentos existentes o añadir otros nuevos. Por ejemplo, puede enmascarar en uno de sus archivos un RAT (Remote Access Tool) que se activará la próxima vez que hagas clic en dicho archivo para abrirlo.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Otro riesgo al que te expones es la explotación de una vulnerabilidad de tipo RCE (Remote Code Execution) que esté presente en tu equipo. Por ejemplo, podemos citar la vulnerabilidad CVE-2020-0796, también llamada «SMBGhost». Esta vulnerabilidad permite a un atacante que haya accedido a la red local ejecutar a distancia un código en el equipo explotando el protocolo de uso compartido de la red SMBv3. En general, este tipo de vulnerabilidad se corrige rápidamente con un parche y no se suele comunicar antes de la publicación de la actualización de seguridad. Por lo tanto, su explotación es poco probable si el equipo está correctamente actualizado.
Sin embargo, es habitual que los equipos de trabajo que se usan para teletrabajar se actualicen únicamente cuando se conectan a la red de la empresa.
Esto te atañe si, por ejemplo, durante el confinamiento recibiste varios correos electrónicos del departamento de informática rogándote que pasases por la oficina para instalar unas actualizaciones de seguridad importantes.
¿No has ido a la oficina desde que los recibiste? En ese caso, no tienes la famosa actualización. El ciberdelincuente solo tendrá que infiltrarse en tu red para explotar la vulnerabilidad.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Esta última amenaza es más técnica y consiste en instalar una trampa en el equipo para que revele al atacante sus credenciales. Como se ha observado con el primer riesgo de ataque, al conectarse a una «red doméstica», el equipo intenta detectar automáticamente todos los servicios presentes en la red. Para ello, Windows utiliza distintos protocolos, como LLMNR y NBT-NS, para enviar solicitudes de exploración. Por ejemplo, preguntará a la red si hay un servicio llamado «WPAD» para detectar una configuración proxy.
A continuación, el equipo intentará comunicarse con los servicios que detecte.
Si estos requieren una autenticación, el equipo se conectará a ellos automáticamente con tu cuenta de usuario. Un atacante que haya entrado en tu red puede explotar ese mecanismo respondiendo a las solicitudes de exploración y mostrando servicios ficticios para los que se necesita una autenticación, como, por ejemplo, con la herramienta Responder.
En el peor de los casos, como sucede con las versiones antiguas de Windows o las configuraciones erróneas, el hacker puede conseguir directamente tu contraseña. La mayoría de las veces, lo que suele conseguir es un hash (netNTLMv1 o netNTMLv2) que permite averiguar tu contraseña. Cuanto más débil sea la contraseña (si es corta, aparece en un diccionario de contraseñas, etc.), más fácil será descifrarla.
Al obtener la contraseña de tu cuenta de Windows, el atacante puede conectarse a todos los servicios en línea de tu empresa cuya autenticación se base únicamente (sin MFA, o autenticación multifactor) en dicha cuenta (proxy, correo web, nube de aplicaciones, extranet, etc.). Incluso puede usar tu contraseña para llevar a cabo un ataque más complejo desde dentro de la red de la empresa.
Por último, si el hacker no logra descifrar tu contraseña, podrá utilizar el hash que haya obtenido en los ataques de retransmisión NTLM («NTLMRelay»). Aunque se trate de una amenaza mínima en el contexto de un ataque a través de tu red local, no deja de ser posible.
Requisitos previos
Repercusiones del ciberataque
Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)
Nuestras recomendaciones en cuanto al teletrabajo para los usuarios
Aunque acceder a una red local para atacar a una empresa requiere cierta dosis de motivación, a un atacante bien preparado le resultaría fácil llevar a cabo los distintos escenarios hipotéticos mencionados.
No obstante, estas no son las únicas amenazas. En general, el teletrabajo incrementa determinados riesgos por estas causas:
Es el caso de Zoom, por ejemplo, donde se encontraron varias vulnerabilidades RCE durante el primer confinamiento (CVE-2020-6109 y CVE-2020-6110). En ese periodo precisamente, se constataron numerosos ataques e intentos de ataque.
Para hacer frente a la intensificación y la sofisticación de los ciberataques, se debe diseñar la seguridad de los sistemas informáticos de manera individualizada, llevar a cabo pruebas de intrusión periódicas en los equipos y planificar programas de sensibilización para los empleados acerca de los riesgos inherentes a la ciberdelincuencia.
