Historias reales: Mi empresa pertenece a una red zombie

Publicado el 23/11/2016, por INCIBE
Historias reales: Mi empresa pertenece a una red zombie

Una mañana, Manolo, el dueño de una pequeña empresa de diseño gráfico, recibió un correo electrónico de su proveedor de servicio de internet en colaboración con INCIBE. Tras leerlo detenidamente, se quedó sorprendido al averiguar que alguno de los equipos que utiliza en su red de trabajo, estaba infectado y formaba parte de una red de ordenadores zombie. Le avisaban que este equipo podría estar realizando acciones maliciosas sin él saberlo. ¿Cómo podía ser esto posible? ¿Cómo podía solucionarlo?

Este es el correo que recibió de su proveedor de internet:

Correo de notificación de infección de dipositivo y pertenencia a una red zombie

Cuando leyó el correo, descolgó el teléfono y llamo a la empresa que le lleva el soporte informático para que le ayudara: «Rober, vente para mi oficina cuando puedas, parece ser que tengo un equipo infectado»

¿Qué fue realmente lo que pasó?

El centro de respuesta a incidentes de seguridad e industria (CERTSI), operado por INCIBE, dispone de un servicio que detecta la existencia de ordenadores que forman parten de una red zombie o botnet.

Una red de ordenadores zombies o botnet es un conjunto de ordenadores infectados que son controlados remotamente por un atacante. Estas redes, compuestas desde cientos hasta miles de equipos infectados, pueden ser utilizadas para lanzar todo tipo de actividades maliciosas, como envío de spam, ataques de denegación de servicio, propagar virus, y cometer otros tipos de delitos y fraudes en la Red.

Cuando desde el CERTSI se detecta uno de estos casos, se pone en contacto con los operadores de servicios de Internet para notificarles la incidencia. De esta manera, el proveedor se pone en contacto con el cliente afectado para informarle junto con las medidas a llevar a cabo para solucionarla.

Gracias a este servicio, Manolo conoció un problema que, hubiera sido difícil de detectar por su cuenta.

¿Cómo se llevó a cabo la infección?

La infección del equipo, se hizo a través del virus conficker, que es un malware de tipo gusano que se propaga por las redes aprovechándose de una antigua vulnerabilidad en sistemas operativos desactualizados de Microsoft Windows.

El origen de la infección suele ser mediante el uso de unidades de almacenamiento externas como discos duros externos o pendrives.

Cuando Manolo leyó el mensaje, se puso a buscar rápidamente el equipo infectado junto a la persona encargada del mantenimiento de su infraestructura tecnológica. Enseguida se dieron cuenta que Manolo conservaba un ordenador con Microsoft Windows XP en el que tenía instalado una antigua herramienta de diseño que, aunque ya no había actualizaciones para sistemas operativos más modernos, seguía utilizando porque le ahorraba mucho tiempo.

Un pendrive infectado, unido a un sistema operativo obsoleto y sin actualizar, hizo que el ordenador se infectase.

¿Qué hacer si nos sucede esto?

Una vez localizado el equipo o equipos infectados, debemos aislar estos del resto de la red hasta que hayamos comprobado y limpiado el equipo, para impedir que se propague el virus y que sigan realizando sus actividades maliciosas. Para ello, basta con desconectar el equipo de la red hasta que se solucione el problema.

Para limpiar el equipo afectado y eliminar este virus, podemos hacer uso de alguna de las herramientas específicas con las que cuentan las principales empresas antimalware. Por lo general, se trata de ficheros descargables que funcionan de la siguiente forma:

  • Se debe mantener desconectado de la red el equipo infectado.
  • Descomprimir el fichero de la herramienta en una unidad de memoria externa como un pendrive.
  • Ejecutar el fichero para desinfectar el equipo.
  • Una vez desinfectado el equipo, realizar un análisis completo del equipo en busca de otras posibles infecciones.

Esta es una tarea compleja que requiere tener ciertos conocimientos tecnológicos, y que puede necesitar contactar con tu técnico especializado en seguridad informática o con tu proveedor de servicio informático.

¿Qué hacer para que no nos suceda?

Para que esto no nos ocurra, debemos adoptar una serie de medidas de seguridad encaminadas a asegurar los sistemas y redes de las empresas, como:

  • mantener permanentemente actualizados todas las aplicaciones y sistemas utilizados en la empresa a sus últimas versiones y con todos los parches de seguridad instalados, estén conectados a la red o no. En este caso en concreto, existen actualizaciones de seguridad desde octubre de 2008 que solucionan el problema de la infección de conficker;
  • de instalar herramientas de seguridad como software antimalware para detectar y eliminar posibles infecciones;
  • instalar cortafuegos de red para proteger la red de trabajo del exterior. Estos dispositivos se pueden configurar para segmentar la red y evitar la propagación del malware por la red;
  • crear políticas de seguridad y fomentar una cultura de seguridad en la empresa, que ayuden a evitar situaciones de riesgo.

Tras solucionar el problema del equipo infectado, actualizando su sistema operativo. Manolo aplicó las medidas de seguridad descritas antes junto con acciones formativas y de concienciación en materia de ciberseguridad para sus empleados, con el fin de que sean conscientes de este tipo de amenazas y eviten situaciones como la que el mismo había generado.