En este artículo, describimos técnicamente tres ciberataques realistas que puedes sufrir cuando teletrabajas. También te explicamos qué medidas concretas puedes tomar para protegerte.

¿CÓMO ATACAN LOS CIBERDELINCUENTES A LOS TRABAJADORES A DISTANCIA?

Los trabajadores a distancia están peor preparados en cuanto a seguridad informática en su domicilio que en la oficina, por lo que son objetivos habituales de los piratas informáticos. Lo cierto es que las empresas se centran en protegerse perimetralmente (cortafuegos, sondas de red, etc.), pero descuidan a veces la seguridad individual de cada puesto.

 

¿De qué manera pueden atacarte cuando trabajas en tu domicilio?Dejemos a un lado las amenazas directas de Internet —el rúter actúa como cortafuegos— y la entrada en tu domicilio de una persona con malas intenciones, algo poco habitual en el mundo de los ciberataques. Quedan dos maneras de hacerlo que hay que tener en cuenta:

 

  • Utilizar Internet sin filtro en el equipo de trabajo (o con menos restricciones que en el propio centro de trabajo). De esta forma, aumentas el riesgo de descargar un archivo infectado, abrir un archivo adjunto con un virus, etc.
  • Disponer de otros equipos en la red local. En su configuración predeterminada, la mayoría de rúteres no filtran los flujos de la red local.

No obstante, estos equipos (ordenador familiar, teléfonos móviles, tabletas, etc., e incluso los del vecino, que usa tu wifi sin que te des cuenta) pueden estar desactualizados o desprotegidos, o se pueden estar usando de forma arriesgada (descargas, aplicaciones y juegos pirateados, navegación por sitios web prohibidos para menores de 18 años, etc.).

 

Basta con el envío de un correo electrónico con un archivo adjunto infectado por un RAT (Remote Access Tool, que puede ser una macro de Excel, vulnerabilidad del lector de PDF, un ejecutable «disfrazado» de documento, etc.) pensado para que se abra en el ordenador familiar, que no está bien protegido.

 

Una vez ejecutado el programa, el ciberatacante tiene un pie en tu red local. En ese momento, quedas expuesto a varios riesgos de ataque concretos. El acceso a las carpetas compartidas, la explotación de una vulnerabilidad RCE y la explotación del protocolo LLMNR forman parte de dichos riesgos.

 

CIBERATAQUE 1: ACCESO A LAS CARPETAS COMPARTIDAS

El primer riesgo que corres es que accedan a tus carpetas compartidas. Cuando conectaste el equipo de trabajo a tu red local por primera vez, Windows te preguntó si se trataba de una red «privada» o «pública» (o una red «doméstica», «de oficina» o «pública», según las versiones). En casa, y como la mayoría de las personas, seguramente habrás hecho clic en «privada» o «doméstica». Sin embargo, esa acción incita a Windows a reducir la vigilancia y a confiar en los demás miembros de tu red. En concreto, les da permiso para acceder a las carpetas compartidas que tengas.

 

Un ciberatacante con acceso a tu red local podrá ver una lista de tus carpetas compartidas, acceder a ellas y apoderarse de los documentos confidenciales que contengan. Según se haya configurado el modo de compartir las carpetas, podrá incluso modificar los documentos existentes o añadir otros nuevos. Por ejemplo, puede enmascarar en uno de sus archivos un RAT (Remote Access Tool) que se activará la próxima vez que hagas clic en dicho archivo para abrirlo.

 

Requisitos previos

  • El atacante ha podido acceder a tu red.
  • Tienes una o varias carpetas compartidas con todos.
  • En Windows, has designado la red local como red «privada» o «doméstica».

Repercusiones del ciberataque

  • Confidencialidad: acceso a tus documentos compartidos.
  • Integridad (según la configuración de la carpeta compartida): modificación o adición de archivos.
  • En el peor de los casos: control del equipo.

 

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

  • Configura todos los equipos de la empresa para que consideren las redes nuevas como redes «públicas» e impide que los usuarios puedan modificar esta opción («Network List Manager Policies»).
  • Impide que los usuarios compartan archivos y carpetas en la red.

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

  • Cuando tu equipo se conecte a una red, no la designes nunca como red «privada», a menos que tengas una confianza absoluta en los equipos que están conectados a ella.
  • Nunca compartas con todo el mundo un archivo o una carpeta con información delicada.
  • No autorices a todo el mundo a editar tus archivos o carpetas compartidos.

CIBERATAQUE 2: EXPLOTACIÓN DE UNA VULNERABILIDAD RCE

Otro riesgo al que te expones es la explotación de una vulnerabilidad de tipo RCE (Remote Code Execution) que esté presente en tu equipo. Por ejemplo, podemos citar la vulnerabilidad CVE-2020-0796, también llamada «SMBGhost». Esta vulnerabilidad permite a un atacante que haya accedido a la red local ejecutar a distancia un código en el equipo explotando el protocolo de uso compartido de la red SMBv3. En general, este tipo de vulnerabilidad se corrige rápidamente con un parche y no se suele comunicar antes de la publicación de la actualización de seguridad. Por lo tanto, su explotación es poco probable si el equipo está correctamente actualizado.

 

Sin embargo, es habitual que los equipos de trabajo que se usan para teletrabajar se actualicen únicamente cuando se conectan a la red de la empresa.

 

Esto te atañe si, por ejemplo, durante el confinamiento recibiste varios correos electrónicos del departamento de informática rogándote que pasases por la oficina para instalar unas actualizaciones de seguridad importantes.

 

¿No has ido a la oficina desde que los recibiste? En ese caso, no tienes la famosa actualización. El ciberdelincuente solo tendrá que infiltrarse en tu red para explotar la vulnerabilidad.

 

Requisitos previos

  • El atacante ha podido acceder a tu red local.
  • En el equipo hay una RCE sin parchear (por no haber aplicado la actualización o, con menor frecuencia, por una vulnerabilidad de día cero).

 

Repercusiones del ciberataque

  • Control del equipo.

 

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

  • Emplea una política práctica de actualizaciones y de gestión de las herramientas de seguridad, aunque los equipos no se encuentren en la red de la empresa.

 

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

  • Instala lo antes posible las actualizaciones de seguridad que te recomienden y reinicia el equipo si es necesario.

 

CIBERATAQUE 3: EXPLOTACIÓN DEL PROTOCOLO LLMNR

Esta última amenaza es más técnica y consiste en instalar una trampa en el equipo para que revele al atacante sus credenciales. Como se ha observado con el primer riesgo de ataque, al conectarse a una «red doméstica», el equipo intenta detectar automáticamente todos los servicios presentes en la red. Para ello, Windows utiliza distintos protocolos, como LLMNR y NBT-NS, para enviar solicitudes de exploración. Por ejemplo, preguntará a la red si hay un servicio llamado «WPAD» para detectar una configuración proxy.

 

A continuación, el equipo intentará comunicarse con los servicios que detecte.

 

Si estos requieren una autenticación, el equipo se conectará a ellos automáticamente con tu cuenta de usuario. Un atacante que haya entrado en tu red puede explotar ese mecanismo respondiendo a las solicitudes de exploración y mostrando servicios ficticios para los que se necesita una autenticación, como, por ejemplo, con la herramienta Responder.

 

En el peor de los casos, como sucede con las versiones antiguas de Windows o las configuraciones erróneas, el hacker puede conseguir directamente tu contraseña. La mayoría de las veces, lo que suele conseguir es un hash (netNTLMv1 o netNTMLv2) que permite averiguar tu contraseña. Cuanto más débil sea la contraseña (si es corta, aparece en un diccionario de contraseñas, etc.), más fácil será descifrarla.

 

Al obtener la contraseña de tu cuenta de Windows, el atacante puede conectarse a todos los servicios en línea de tu empresa cuya autenticación se base únicamente (sin MFA, o autenticación multifactor) en dicha cuenta (proxy, correo web, nube de aplicaciones, extranet, etc.). Incluso puede usar tu contraseña para llevar a cabo un ataque más complejo desde dentro de la red de la empresa.

 

Por último, si el hacker no logra descifrar tu contraseña, podrá utilizar el hash que haya obtenido en los ataques de retransmisión NTLM («NTLMRelay»). Aunque se trate de una amenaza mínima en el contexto de un ataque a través de tu red local, no deja de ser posible.

 

Requisitos previos

  • El atacante ha podido acceder a tu red.
  • Tu configuración de red emplea los protocolos LLMNR o NBT-NS (como ocurre de forma predeterminada en Windows 10 en las redes «privadas»).
  • Tu contraseña de Windows es débil.

 

Repercusiones del ciberataque

  • Obtención de la contraseña de tu cuenta de Windows.

Nuestras recomendaciones en cuanto al teletrabajo para los responsables de seguridad de la información (RSI)

  • Desactiva los protocolos LLMNR y NBT-NS en todos los equipos de los usuarios de la empresa.
  • Configura todos los equipos de la empresa para que consideren las redes nuevas como redes «públicas» e impide que los usuarios puedan modificar esta opción («Network List Manager Policies»).
  • Establece una política de contraseñas que bloquee las contraseñas débiles.

Nuestras recomendaciones en cuanto al teletrabajo para los usuarios

  • Cuando tu equipo se conecte a una red, no la designes nunca como red «privada», a menos que tengas una confianza absoluta en los equipos que están conectados a ella.
  • Utiliza una contraseña segura.

 

Aunque acceder a una red local para atacar a una empresa requiere cierta dosis de motivación, a un atacante bien preparado le resultaría fácil llevar a cabo los distintos escenarios hipotéticos mencionados.

 

No obstante, estas no son las únicas amenazas. En general, el teletrabajo incrementa determinados riesgos por estas causas:

 

  • El aumento de la superficie expuesta de las empresas en Internet (VPN, extranet, etc.).
  • La ausencia de intercambios a viva voz facilita la «ingeniería social», una práctica relacionada con la piratería y basada en la manipulación.
  • El uso cada vez mayor de soluciones de colaboración y conversación a distancia que, a veces, no están bien protegidas.

Es el caso de Zoom, por ejemplo, donde se encontraron varias vulnerabilidades RCE durante el primer confinamiento (CVE-2020-6109 y CVE-2020-6110). En ese periodo precisamente, se constataron numerosos ataques e intentos de ataque.

 

Para hacer frente a la intensificación y la sofisticación de los ciberataques, se debe diseñar la seguridad de los sistemas informáticos de manera individualizada, llevar a cabo pruebas de intrusión periódicas en los equipos y planificar programas de sensibilización para los empleados acerca de los riesgos inherentes a la ciberdelincuencia.
Compartir artículo