Diez señales de compromiso en los sistemas informáticos de su empresa

El gran problema de los compromisos de seguridad es el sigilo, ya que la gran mayoría de los usuarios, administradores y propietarios de los sistemas no suelen advertir, en ausencia de signos visibles y contramedidas preventivas, que sus máquinas puedan estar al servicio de otras personas sin su consentimiento.

A menor sofisticación de los atacantes y mayor proactividad de los usuarios, es factible que sí existan signos que pueden hacer intuir a los administradores, e incluso a los usuarios, que las máquinas pueden estar en una situación de irregularidad, como consecuencia de un compromiso. En ISC SANS han publicado un decálogo mediante el cual es posible identificar situaciones anómalas en la infraestructura. Estas reglas, narradas en un lenguaje coloquial, están orientadas a entornos empresariales, pero es fácil extrapolar de ellas las soluciones para el usuario doméstico final. Son las siguientes: 

1. En el servidor de logs no hay registrado ningún evento ni se ha recibido alerta alguna en las últimas 12 horas.
2. Los servidores de FTP y los discos de usuario han experimentado una súbita falta de espacio o un incremento anormal del espacio ocupado.
3. Los productos de la competencia se parecen a los suyos, pero con una gama de colores más atractiva (en alusión al espionaje industrial).
4. Sus clientes han recibido correo basura en las cuentas que usaron única y exclusivamente para darse de alta en los servicios en línea de su empresa.
5. Los usuarios informan de comportamientos "graciosos" en las máquinas de la organización: las ventanas se cierran por sí mismas, la página de inicio de los navegadores cambia sola, etc.
6. Alguien necesita conectarse al punto de red inalámbrico de la empresa, pero no puede porque el punto no es accesible.
7. Las quejas sobre el mal funcionamiento del software corporativo (navegadores, pasarelas de pago) son constantes.
8. Se producen quejas de que las combinaciones de usuario y contraseña ya no son válidas.
9. Los equipos funcionan a una velocidad anormalmente lenta.
10. Los visitantes de la página web corporativa manifiestan que son redirigidos a otros sitios que "no tienen buena pinta".

Estas son sólo diez razones de las muchas que podemos enumerar. La lección que debemos aprender es que, independientemente de lo proactivos que seamos con la seguridad, existen maneras para advertir comportamientos inusuales, muchas de ellas consistentes únicamente en notar diferencias fácilmente perceptibles. Y en sistemas, los comportamientos inusuales no son obra del azar, sino que suelen tener explicaciones fundadas, entre las cuales está la posibilidad de un evento de compromiso.

La seguridad, o al menos, las mínimas nociones sobre seguridad, deben ir convirtiéndose paulatina e inexcusablemente en un ingrediente ineludible de la cultura organizativa. Enseñar a los usuarios qué es normal y qué es sospechoso es una sabia inversión que a la larga agradecerán sus clientes, sus empleados y su cuenta de resultados.