Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cyber Security
BOLETÍN INFORMATIVO
CRITERIOS DE
SEGURIDAD EN EL
TELETRABAJO
Contenido
1. Teletrabajo en el Perú
En base a la experiencia del equipo de KUNAK Consulting los mecanismos más implementados de
Teletrabajo en el Perú son los siguientes:
A manera de estadística podemos indicar que en Perú se encontraban expuestas de manera pública
alrededor 3274 servidores y otros dispositivos en junio del 2019, actualmente ese número se ha
incrementado a 4327 con el propósito de acceder remotamente a estos.
1053 nuevos
servidores
Teniendo en consideración los principales mecanismos en el Perú para el Teletrabajo, estos son
las principales debilidades a las que están expuestos dichos mecanismos:
Exponer la VPN bajo un subdominio de fácil adivinación y colocarlos bajo un puerto por defecto
como TCP/443 es uno de los errores más comunes identificados en las organizaciones y es que
nada es más apetitoso para un atacante informático que encontrar una VPN de manera sencilla.
Por ejemplo, no es una buena idea tener una VPN bajo la siguiente estructura:
https://vpn.miempresa.com.pe, deberías pensar en algo como:
https://securityconnection.miempresa.com.pe:15789.
Finalmente, recomendamos eliminar en la medida de lo posible el portal por defecto que permite
identificar la VPN, aunque eso no siempre es posible, también es un control que deberíamos
evaluar implementar.
Las conexiones VPN se ejecutan bajo conexiones del protocolo TLS (Transport Layer Security),
las consideraciones a tener en cuenta son las siguientes:
- TLS v1.1, TLS v1.2 o versiones superiores
- Se recomienda deshabilitar algoritmos de cifrado débil como DES, MD5 y RC4.
Para evaluar estos criterios de seguridad podemos utilizar herramientas como NMAP-NSE y
SSLSCAN ambos sobre la plataforma de Kali Linux:
Siguiendo estos consejos podremos evitar ataques del tipo: Poodle, HeartBleed, Sweet32, entre
otros.
Las credenciales débiles y/o fácil adivinación siempre son un dolor de cabeza y todo depende de
cómo tengamos configurado nuestra VPN. Los casos más comunes de configuración son:
En ambos casos se debe evitar el uso de credenciales débiles o de fácil adivinación, sobre todo
en organizaciones en donde la conexión VPN se encuentra “attachada” al Active Directory donde
las organizaciones hacen uso de PATRONES DE CONTRASEÑAS.
Recomendación de Seguridad:
En general se debe limitar los accesos a la VPN, es decir, sólo un número limitado de usuarios
del Active Directory debe contar con privilegios de acceso y se debe implementar DOBLE
FACTOR DE AUTENTICACIÓN (2FA) para el acceso a la red VPN ya que muchas tecnologías
implementan este tipo de soluciones.
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/183204/ssl-vpn-with-fortitoken-mobile-push-authentication
Recomendación de Seguridad:
Para poder realizar esto se requiere un conocimiento profundo de la estructura de la red y de los
requerimientos de negocio para poder brindar los sólo los accesos necesarios, entrando a tallar
términos de seguridad como “need to know”.
Hemos decidido dedicarlo un pequeño espacio debido a que la plataforma CITRIX es conocida
por contar con diversas vulnerabilidades, vulnerabilidades que permiten acceder a la plataforma
que soporta la solución CITRIX y obtener consolas del tipo DOS y/o POWERSHELL.
Los atacantes informáticos buscan sobre la plataforma CITRIX llegar a obtener una línea de
comandos de la siguiente manera:
Recomendación de Seguridad:
Exponer servicios de red a Internet, siempre es el último escenario en el cual una organización
debe pensar, el protocolo más común que se exponer a Internet es el protocolo RDP (Remote
Desktop Protocol) TCP/3389, protocolo de común uso en una red LAN, pero no sobre una red
más crítica como la red WAN.
Para evaluar si el servicio RDP cuenta con vulnerabilidades, podemos ejecutar lo siguiente:
Debido a la situación actual en estas semanas hemos podido apreciar un aumento significativo en
modalidades de estafa del tipo SMISHING o PHISHING, esto con el objetivo de robar datos
sensibles para extraer dinero o información, siendo los más perjudicados los usuarios finales.
Los cibercriminales no descansan por estos días y por ello emplean temas de coyuntura actual en
el contenido de sus mensajes o asuntos como:
https://viabcpzonazegvrabeta.com/iniciar-sesion
https://viabcpenzonasegurabeta.com/iniciar-sesion
https://zonasegura.viabcplogin.com/login/iniciar-sesion
http://www-bcpzonasegurabeta.viabcp.com.smsviabcp.info/iniciar-sesion
https://zonasegurabeta.viabcp.pensandoenti.servicios-digital.com/iniciar-sesion
https://bcpzonasegurabeta-viabcp-com.kanku.co.ke/m/iniciar-sesion
http://wvwzonasegurabn1cliente.com/WebBN1/Inicio/
https://bcpzonasegurabeta-viabcp-com.kanku.co.ke
http://wwwzonsegura1multired.pe/
http://vlabcp.movilser.com/iniciar-sesion
http://www-bcpzonasegurabeta.viabcp.com.smsviabcp.info/iniciar-sesion
https://bcpzonasegurabeta.viabcp.pe.banca-por-internet.com/
http://bcpzonasegurabeta-viabcp-com.besominwirral.co.uk/
¿Cómo se relaciona este tipo de modalidad de estafa con el teletrabajo? En vista a que los
colaboradores se encuentran en una ubicación diferente a la habitual, estos dependen de sí mismos
para poder detectar y reportar este tipo de modalidad de estafa que podría perjudicar directamente
a la persona o a la organización en donde se desempeña a través de ataques dirigidos como el
SPEAR PHISHING.
En los últimos días se han identificado ataques con mayor nivel de complejidad y que están
enfocados a robar información de una organización de manera puntual, aumentando de esta manera
el porcentaje de efectividad de este tipo de ataques. El caso más común utilizado por delincuentes
informáticos es la adquisición de un dominio PARECIDO AL ORIGINAL, enviando un correo con
una estructura conocida por los empleados de la organización.
Es importante identificar como el correo electrónico enviado cuenta con una estructura ya antes
utilizada en la organización, indica el nombre del empleado al que va dirigido y además es enviado
desde un dominio MUY PARECIDO al original. Este tipo de ataques cuentan con un mayor de nivel
de RIESGO a nivel de SEGURIDAD DE INFORMACIÓN.
Para identificar si algún atacante informático adquirió un dominio similar al de nuestra organización
y realizará un ataque informático, podemos utilizar la herramienta DNSTWIST
(https://github.com/elceef/dnstwist) , esta herramienta busca dominios registrados SIMILARES al de
la organización donde laboramos.
- Concientizar al usuario final, aunque este trabajo es muy duro y que depende de múltiples
factores, la concientización de los empleados resulta de vital importancia. Los principales
criterios a reforzar son:
Nunca brindes contraseñas a través de correo electrónico ni a través de enlaces
que soliciten contraseñas.
Verificar siempre la dirección URL accedida. De preferencia, es mejor escribir la
dirección URL que dar clic a un enlace.
No abrir documentos adjuntos sospechosos, en caso de recibirlos repórtalo al
personal de Tecnología de Información. También pueden usar la plataforma:
https://www.virustotal.com/ para revisar archivos sospechosos.