Consecuencias de no actualizar tus sistemas: conficker

¿Actualización de sistemas? ¿Parches de seguridad? ¿Boletines de actualización? ¿Es realmente útil y necesario perder tiempo y esfuerzo en estas tareas?

La respuesta es un rotundo SI, y hoy vamos a insistir una vez más sobre la importancia de mantener todos nuestros sistemas actualizados como método de prevención de muchos incidentes de seguridad, como las infecciones por malware. Tanto nuestros sistemas operativos, como los contenidos y páginas web, como los programas que utilizamos para el trabajo, deben estar debidamente actualizados a sus últimas versiones y con todos los parches de seguridad instalados.

Cualquier software desactualizado como un sistema operativo obsoleto, sin soporte por parte del fabricante, así como el resto de aplicaciones informáticas que utilizamos, desde herramientas ofimáticas, pasando por tu CRM, hasta el software de la web o las apps de los móviles, son susceptibles de tener fallos de seguridad o vulnerabilidades.  Los ciberdelincuentes aprovechan estos agujeros para intentar introducirse en nuestros sistemas y así:

• obtener información sensible y confidencial de nuestra empresa, como cuentas de acceso a otros servicios o bases de datos de clientes o de facturación;
• cifrar la información del servidor y solicitar un «rescate» por ella, el tan mencionado ransomware;
• desconfigurar los sistemas de seguridad de la compañía para espiarnos, robar información o atacarnos más adelante;
• usar nuestros sistemas como plataforma de ataque hacia otros sistemas.

Un ejemplo: CONFICKER

Un ejemplo de malware que se aprovecha de la falta de actualización de los equipos, es el conocido como Conficker, Downadup o Kido.

Este gusano, que apareció a finales de noviembre de 2008, afectaba, y sigue afectando hoy en día, a equipos con sistemas operativos Windows desactualizados. Se extiende rápidamente en redes, infectando equipos, que pasan a formar parte de una red zombi o botnet. Esta es una amenaza que todavía sigue activa. El número de notificaciones enviadas a los ISP en España que colaboran con nuestro centro antibotnet durante el periodo 2015-2016 por parte de nuestro centro de respuesta a incidentes fueron un total de 24.000.000, de los cuales un 80% pertenece a este malware.

Conficker se ha utilizado principalmente para robar la información confidencial y realizar campañas de spam desde los equipos infectados.

¿Cómo nos infectamos con este malware?

La infección suele originarse mediante el uso de unidades de almacenamiento externas como discos duros externos o pendrives infectados, y el uso de la reproducción automática de los mismos. Se propaga a través de la red utilizando una antigua vulnerabilidad en el servicio Windows Server que Microsoft ya había solucionado incluso antes de la aparición de este malware. Afecta a sistemas operativos antiguos como Windows 2003/XP/2000/NT/ME/98/95 que, en algunos casos, ya no disponen de soporte técnico por parte del fabricante. Hecho que refuerza todavía más la importancia de las actualizaciones y el parcheado del software, pues este gusano aprovecha un fallo de seguridad del sistema operativo que estaba solucionado antes de comenzar su propagación.

Este malware se conecta con su distribuidor, mediante el uso de multitud de direcciones de internet diferentes, para recibir nuevas instrucciones de infección o para realizar nuevos ataques.

¿Sabrías actuar ante un incidente de este tipo?

Imagina que un día descubres que tus equipos forman parte de una botnet. ¿Sabrías cómo actuar? Te retamos a hacer un simulacro en tu empresa con este juego de rol. A partir de hoy estará disponible el ejercicio para responder a un supuesto incidente en el que formas parte de una botnet. ¿Quieres comprobar si estáis preparados?

 ¿Cómo podemos evitarlo?

Las principales medidas que podemos tomar para evitar ser víctimas de una infección por este tipo de malware pasa por:

• mantener permanentemente actualizados todos los sistemas y aplicaciones  utilizados en la empresa a sus últimas versiones y con todos los parches de seguridad instalados, estén conectados a la red o no; para facilitar esta tarea se recomienda activar las actualizaciones automáticas;
• utilizar sistemas y aplicaciones que dispongan soporte técnico activo que permita la solución de los errores de seguridad detectados. Recordamos que, por ejemplo, Windows XP no está soportado por Microsoft desde abril de 2004 o Windows Server 2003 desde julio de 2015;
• utilizar una política de contraseñas robustas, ya que este malware puede descifrar las contraseñas fáciles;
• no tener activada por defecto la opción de autoarranque para los dispositivos extraíbles como UBS, discos duros o mp3;
• no utilizar perfiles de administrador para tareas no administrativas;
• instalar herramientas de seguridad como software antimalware para detectar y eliminar posibles infecciones;
• instalar cortafuegos de red para proteger la red de trabajo del exterior, estos dispositivos se pueden configurar para segmentar la red y evitar la propagación del malware por la red;
• crear políticas de seguridad y fomentar una cultura de seguridad en la empresa, que ayuden a evitar situaciones de riesgo.

¿Cómo sabemos si estamos infectados?

En la mayoría de ocasiones, darnos cuenta que estamos infectados por este tipo de malware o que nuestros equipos pertenecen a una botnet no es fácil. Por ello, en Incibe ponemos a disposición de las empresas un servicio gratuito que permite saber de manera fácil y sencilla si algún equipo de tu empresa está infectado y pertenece a una red zombie.

En resumidas cuentas...

Como vemos, actualizar el software es esencial pues debemos ser conscientes de los peligros a los que nos enfrentamos de no hacerlo. Además, siempre es útil fomentar una cultura de seguridad en nuestra empresa, formando a nuestros empleados sobre los peligros a los que se enfrentan ellos mismos y la empresa en caso de descuidar las medidas básicas de seguridad. Este es un esfuerzo que repercutirá favorablemente en la propia salud de la empresa. ¡Protege tu empresa!