Cuando la máquina de vending abre la puerta a los hackers
Los hackers pueden hacer su intrusión por puntos aparentemente imposibles
“Oye, yo pensaba que la seguridad de mi empresa estaba cubierta con todos los sistemas informáticos protegidos, a través de firewalls y demás herramientas de Ciberseguridad, sin olvidar el seguro contra el ciberriesgo.
También hemos procurado concienciar a todos nuestros equipos en los gestos que nos protegen, que les protegen, contra la mayoría de los ataques.
Sin embargo, hemos sufrido un ataque. Han logrado entrar y secuestrar parte de nuestros datos. ¿Qué ha pasado?”
La historia:
Así comienza el relato de un cliente que, a pesar de haberlo hecho “todo bien” ha sido víctima de un ciberataque, mediante una intrusión aparentemente imposible.
La verdadera dificultad ha sido encontrar el punto de intrusión pues, como bien nos comentaba nuestro cliente, lo habían hecho todo bien.
El plan de seguridad se completó con un test de intrusión (también conocido como pentest), gracias al cual se identificaron las diferentes vulnerabilidades y se tomaron medidas adecuadas de protección, entonces ¿cómo puede ser que haya sufrido esa intrusión?
Como imaginarán, buscamos en todas partes, revisamos todos los dispositivos de la empresa: ordenadores, portátiles, teléfonos móviles profesionales, servidores, USBs y un largo etcétera. Nos estábamos volviendo locos preguntándonos cómo y de qué forma habían podido franquear las medidas de seguridad.
La investigación nos estaba tomando tiempo y, para seguir a tope necesitamos recurrir al tan socorrido café. Buscamos la, siempre presente, máquina de bebidas calientes y pasamos de comentar las acciones que estábamos realizando para investigar la intrusión a hablar sobre cómo hacían el seguimiento de sus máquinas los de la empresa de vending.
La clave de la intrusión
En ese momento surgió una terrible duda. ¿Cómo saben los de la empresa de vending cuando deben reponer productos en sus máquinas? ¿Cada cuánto lo hacen? ¿Cómo están informados?
Preguntando, descubrimos que esa máquina de vending estaba conectada a la wifi (¿¿??). ¿Cómo es posible que nadie del departamento técnico lo haya mencionado al hacer el inventario de los dispositivos conectados a la red? ¡Porque nadie lo sabía! O al menos había sido consciente de ello.
Decidimos hacer un par de pruebas y… efectivamente, la intrusión había pasado por la máquina de vending (máquina de café, de golosinas, etc.).
Otra importante pregunta: ¿por qué nadie del departamento técnico lo sabía? La gestión de las máquinas de vending, como todo lo relacionado con el mantenimiento de las oficinas y locales, no relacionados directamente con la informática, en esta empresa, está gestionado por el departamento de administración y, como en el caso del servicio de limpieza, no suelen informar al departamento técnico, ni siquiera cuando facilitan el código de la wifi, como a los de la máquina de vending…
Una vez detectado el punto de entrada del ataque (esa máquina, no tan amiga, de vending), pudimos tomar las acciones correctivas necesarias, para evitar que ese camino pueda dar pie a nuevas intrusiones.
Como todo cuento, esta historia verídica tiene una enseñanza: nos confirma que el riesgo cero no existe.
¿Qué puedo hacer para evitar este tipo de intrusiones?
En este caso en particular tener redes wifi separadas habría ayudado a evitar la intrusión. Debería tener:
- Una para uso interno o corporativo: cuyo acceso vaya vinculado, por ejemplo, a las credenciales de usuario corporativo.
- Otra para las “visitas”: cuyo acceso se pueda facilitar a externos y que esté totalmente aislada y separada de la red corporativa.
¿Necesitas comprobar el nivel de ciberseguridad de tu empresa?
Informar al Responsable de seguridad / ciberseguridad
Con el fin de evitar que, por ejemplo, se haga pública la información de conexión o acceso a recursos corporativos de forma indebida o para seguir incrementando el nivel de control y seguridad, se debe informar al responsable de seguridad / ciberseguridad en casos como:
- Requerimientos de acceso a recursos o a Internet de colaboradores externos durante más tiempo que el de una simple visita comercial o de cortesía.
- Todo departamento que tenga relación con proveedores, susceptibles de necesitar una conexión en la empresa o acceso a algún recurso o información compartidos.
- Bajas de personal o cambios de rol internos de algún trabajador.
- Cambios o pérdidas de dispositivos.
- Cualquier sospecha de algún intento de ciberamenaza que se detecte por parte de los usuarios. Es una mala idea probar antes por no molestar.
Otros elementos de control
Existen otros elementos de control, políticas o configuraciones que deben tener en cuenta los responsables de seguridad de toda compañía para poder protegerla:
- Segmentar la red corporativa según los servicios o dispositivos que incluye.
- Encriptar discos duros.
- Disponer de una política de backup fiable y testeada con regularidad.
- Establecer políticas de control de la información o DLP.
- NAC o control sobre el acceso a las redes para desplegar políticas de seguridad o compliance, de cumplimiento mínimo para permitir conexiones a persona o dispositivos externos.
Marco de control conocido de todos
Todas estas acciones o configuraciones deben tener como finalidad establecer un marco de control conocido y acotado sobre qué o quién y cómo se accede a nuestra red, recursos o infraestructura.
En resumen, además de poner en marcha políticas de seguridad, actualizar los sistemas y programas y concienciar a los trabajadores, debemos mantener una comunicación fluida de toda información, por nimia que sea, con el responsable de seguridad / ciberseguridad. Todo lo que no se explica, consulta o comparte puede ser la causa de que esa amenaza, que tanto esfuerzo estamos dedicando a evitar, acabe impactando en la compañía.
Moral de la historia
Esta historia, o cuento, es el resumen de un caso real al que se ha visto confrontado uno de nuestros clientes que, al poder contar con nuestra ayuda profesional, pudo descubrir el origen de la intrusión y tomar las medidas pertinentes para que no se repita.
Si, como este cliente, quieres saber más sobre cómo mejorar la seguridad de tu empresa o piensas formar a tus equipos en la importancia de la ciberseguridad, no dudes en contactarnos.
Desde ESCUDA estaremos encantados de atenderte.
Llama al 931 931 848 o rellena el siguiente formulario:
Más información:
El Internet de las Cosas y el ciberriesgo
7 y + Mitos falsos sobre la Ciberseguridad
En Ciberseguridad el tamaño no importa
Ciberriesgo: también concierne las empresas del sector industrial (1)
#escuda #hackers #ciberseguridad #cybersecurity #intrusion #ciberataque #TestdeIntrusión #PlanDeSeguridad #ransomware #NAC #formación #PYMES
Puede que estos artículos te gusten
10 tips para actualizar el software… Hazlo por Ciberseguridad
Los dispositivos digitales y el software que usamos a diario están expuestos a fallos de seguridad. Esos fallos pueden ser usados por cibercriminales para tomar el control de un ordenador, de un equipo móvil o hasta de un reloj digital. Actualizar el software, clave...
Phishing: Ciberataque de suplantación de identidad por email y SMS
Hemos sido víctimas de phishing. ¿Qué hacemos? El phishing consiste en el envío de un SMS o un mail fraudulento, destinado a engañar a la víctima, para animarla a comunicar datos personales y/o bancarios, haciéndose pasar por un tercero de confianza. ¿Qué hacer...
