Código: BL - 01

Consideraciones de Seguridad para el Teletrabajo Versión: 1.0

Fecha: 26/03/2020
CIBERSERGURIDAD
Página: 1 de 12

Cyber Security

BOLETÍN INFORMATIVO
CRITERIOS DE
SEGURIDAD EN EL
TELETRABAJO

Autor Omar Palomino opalomino@kunak.com.pe

Página Web del Autor https://www.linkedin.com/in/opalomino/
Empresa Kunak Consulting SAC http://www.kunak.com.pe

Documento en versión final

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSERGURIDAD
Página: 2 de 12

Contenido

1. Teletrabajo en el Perú ............................................................................................................................. 3

1.1. Mecanismos de Teletrabajo implementados .................................................................................. 3
1.2. Estadísticas de SHODAN ............................................................................................................... 3
2. Riesgos de Seguridad para el Teletrabajo .............................................................................................. 5
2.1. Puertos por defecto y fácil identificación ........................................................................................ 5
2.2. Protocolos y algoritmos débiles de cifrado ..................................................................................... 5
2.3. Seguridad en el Procedimiento de Autenticación ........................................................................... 6
2.4. Segmentación/Filtrado de Red ....................................................................................................... 6
2.5. CITRIX vulnerabilidades ................................................................................................................. 7
2.6. Exposición de servicios a Internet .................................................................................................. 8
3. Ingeniería Social en tiempos de Teletrabajo ........................................................................................... 9
3.1. PHISHING o SMISHING ................................................................................................................ 9
3.2. Ataques dirigidos .......................................................................................................................... 10
4. ¿Cómo protegernos? ............................................................................................................................ 12

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 3 de 12

1. Teletrabajo en el Perú

En el Perú el teletrabajo desde un plano normativo/legal se rige bajo la Ley N° 30036

(https://busquedas.elperuano.pe/normaslegales/ley-que-regula-el-teletrabajo-ley-n-30036-946195-
3/) en este documento no entraremos a analizar la ley ni sus interpretaciones, solo mencionaremos
que en la actualidad su aplicación es una realidad dada la coyuntura actual en la que estamos
atravesando.
Enfocaremos este documento en mostrar como Perú viene afrontando el reto de implementar de
una manera segura el teletrabajo y analizaremos si está preparado para dicho reto.

1.1. Mecanismos de Teletrabajo implementados

En base a la experiencia del equipo de KUNAK Consulting los mecanismos más implementados de
Teletrabajo en el Perú son los siguientes:

1. Acceso a través de una VPN de Acceso Remoto

Este tipo de conexiones son utilizadas por lo general por el personal de TI y sirve para
establecer una conexión entre una red externa y la RED LAN de la organización, de esta
manera el personal crítico puede estar conectado desde lugares remotos y brindar soporte
a la organización.
2. Acceso a través de SSL VPN
Este tipo de conexiones VPN son más avanzadas y no solo establecen una conexión a la
RED LAN de la organización, sino que también te permiten hacer uso de todo tipo de
aplicaciones desde esta plataforma. Este tipo de VPN son utilizadas no sólo para el personal
de TI sino también por usuarios finales de la organización: Área Logística, Contable, etc.
Este tipo de conexiones permiten a un usuario final realizar trabajos EN REMOTO sin
necesidad de instalación de librerías y/o software en general. Una plataforma muy utilizada
para este tipo de trabajo es CITRIX (https://www.citrix.com/es-mx/networking/consolidate-
remote-access.html).
3. Conexiones a través de servicios expuestos a Internet
Finalmente, el mecanismo menos seguro pero muy utilizado en el Perú es la exposición de
puertos y servicios de RED de manera directa a Internet. Por ejemplo, la exposición del
protocolo RDP TCP/3389 para conectarse de manera remota a un servidor y/o computador,
la exposición del protocolo SSH TCP/22 para administración de equipos de
comunicaciones, etc.

1.2. Estadísticas de SHODAN

A manera de estadística podemos indicar que en Perú se encontraban expuestas de manera pública
alrededor 3274 servidores y otros dispositivos en junio del 2019, actualmente ese número se ha
incrementado a 4327 con el propósito de acceder remotamente a estos.

Cantidad Marzo 2020 Cantidad Junio 2019

Protocolo RDP – Perú 4327 3274
Protocolo RDP – Mundo 4334306 --

Fuente: SHODAN (https://www.shodan.io/search?query=country%3A%22PE%22+port%3A3389)

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 4 de 12

1053 nuevos
servidores

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 5 de 12

2. Riesgos de Seguridad para el Teletrabajo

Teniendo en consideración los principales mecanismos en el Perú para el Teletrabajo, estos son
las principales debilidades a las que están expuestos dichos mecanismos:

2.1. Puertos por defecto y fácil identificación

Exponer la VPN bajo un subdominio de fácil adivinación y colocarlos bajo un puerto por defecto
como TCP/443 es uno de los errores más comunes identificados en las organizaciones y es que
nada es más apetitoso para un atacante informático que encontrar una VPN de manera sencilla.
Por ejemplo, no es una buena idea tener una VPN bajo la siguiente estructura:
https://vpn.miempresa.com.pe, deberías pensar en algo como:
https://securityconnection.miempresa.com.pe:15789.

Finalmente, recomendamos eliminar en la medida de lo posible el portal por defecto que permite
identificar la VPN, aunque eso no siempre es posible, también es un control que deberíamos
evaluar implementar.

2.2. Protocolos y algoritmos débiles de cifrado

Las conexiones VPN se ejecutan bajo conexiones del protocolo TLS (Transport Layer Security),
las consideraciones a tener en cuenta son las siguientes:
- TLS v1.1, TLS v1.2 o versiones superiores
- Se recomienda deshabilitar algoritmos de cifrado débil como DES, MD5 y RC4.

Para evaluar estos criterios de seguridad podemos utilizar herramientas como NMAP-NSE y
SSLSCAN ambos sobre la plataforma de Kali Linux:

root# nmap -n -Pn -p443 --script ssl-enum-ciphers.nse [DIRECCIÓN IP / DOMINIO]

Siguiendo estos consejos podremos evitar ataques del tipo: Poodle, HeartBleed, Sweet32, entre
otros.

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 6 de 12

2.3. Seguridad en el Procedimiento de Autenticación

Las credenciales débiles y/o fácil adivinación siempre son un dolor de cabeza y todo depende de
cómo tengamos configurado nuestra VPN. Los casos más comunes de configuración son:

- Integración con el Active Directory (AD)

- Creación de cuentas locales

En ambos casos se debe evitar el uso de credenciales débiles o de fácil adivinación, sobre todo
en organizaciones en donde la conexión VPN se encuentra “attachada” al Active Directory donde
las organizaciones hacen uso de PATRONES DE CONTRASEÑAS.

Recomendación de Seguridad:

En general se debe limitar los accesos a la VPN, es decir, sólo un número limitado de usuarios
del Active Directory debe contar con privilegios de acceso y se debe implementar DOBLE
FACTOR DE AUTENTICACIÓN (2FA) para el acceso a la red VPN ya que muchas tecnologías
implementan este tipo de soluciones.

En este documento no pretendemos mencionar marcas, pero existen diversas marcas de

soluciones VPN que ofrecen TOKENs desde dispositivos móviles facilitando aún más las
conexiones seguras. Aquí algunos ejemplos de este tipo de tecnologías:

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/183204/ssl-vpn-with-fortitoken-mobile-push-authentication

2.4. Segmentación/Filtrado de Red

La segmentación de red es un dolor de cabeza para los ADMINISTRADORES DE RED, sin

embargo, a nivel de conexiones VPN esto resulta de vital importancia sino cualquier usuario con
conexión podría acceder a recursos de manera no autorizada o peor aún, aprovecharse de
vulnerabilidades y ACCEDER A BASES DE DATOS, SERVIDORES DE LA ORGANIZACIÓN,
ACTIVE DIRECTORY, entre otros. Esto no es tan difícil si es que tenemos en cuenta técnicas de
LATERALIZACIÓN y PIVOTING.

Recomendación de Seguridad:

- Cada usuario de la VPN debe tener acceso a un número limitado de direcciones IP y

puertos de red, esto depende mucho de las reglas de negocio.
- En general se debe realizar una segmentación de acceso a nivel de reglas de Firewall
entre los segmentos de red que son accedidos desde la VPN, no se debe permitir
acceder a segmentos de red no autorizadas.

Para poder realizar esto se requiere un conocimiento profundo de la estructura de la red y de los
requerimientos de negocio para poder brindar los sólo los accesos necesarios, entrando a tallar
términos de seguridad como “need to know”.

Need to know: https://en.wikipedia.org/wiki/Need_to_know

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 7 de 12

2.5. CITRIX vulnerabilidades

Hemos decidido dedicarlo un pequeño espacio debido a que la plataforma CITRIX es conocida
por contar con diversas vulnerabilidades, vulnerabilidades que permiten acceder a la plataforma
que soporta la solución CITRIX y obtener consolas del tipo DOS y/o POWERSHELL.

Los atacantes informáticos buscan sobre la plataforma CITRIX llegar a obtener una línea de
comandos de la siguiente manera:

- Vulnerabilidades en Cajas de Diálogo y Opciones de Menú

- Vulnerabilidades en Contenido en Opciones de Ayuda y Documentación
- Obtención de Shells (tipo MS DOS y MS Powershell)
- Fallas en Control de Restricciones de Escritura y Ejecución.
- Acceso y alteración de archivos de configuración.
- Extracción de información en archivos de configuración.
- Acceso y abuso de Herramientas del Sistema.
- Abuso de Combinaciones de Teclas (específicas para RDP o Citrix)

Recomendación de Seguridad:

Para solucionar estas vulnerabilidades se deben implementar controles del tipo:

A. Implementar SRP (Software Restriction Policies) sobre el sistema operativo Windows a

través de la implementación de una “LISTA BLANCA”.
http://technet.microsoft.com/en-us/library/dd348653%28v=ws.10%29.aspx

B. Evaluar la implementación de AppLocker, AppLocker es una característica de Sistemas

Windows Server que debe ser implementada sobre los binarios del sistema operativo y negar
todos los binarios que no han sido autorizados.
http://technet.microsoft.com/library/ee791890(WS.10).aspx

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 8 de 12

2.6. Exposición de servicios a Internet

Exponer servicios de red a Internet, siempre es el último escenario en el cual una organización
debe pensar, el protocolo más común que se exponer a Internet es el protocolo RDP (Remote
Desktop Protocol) TCP/3389, protocolo de común uso en una red LAN, pero no sobre una red
más crítica como la red WAN.

El protocolo RDP cuenta con vulnerabilidades:

- Vulnerabilidad BLUEKEEP (CVE-2019-0708), vulnerabilidad que permite obtener acceso

remoto al servidor (RCE), vulnerando toda la confidencialidad del servidor.
- Vulnerabilidad MS12-020 (CVE-2012-0002 y CVE-2012-0152), vulnerabilidad que
permite generar denegación de servicio.
- Ataques de Hombre en el Medio (Man in the Middle), ataques que podrían concretarse
si es que el servicio RDP no se encuentra debidamente configurado.
- Ataques de Fuerza Bruta, entre otros.

Para evaluar si el servicio RDP cuenta con vulnerabilidades, podemos ejecutar lo siguiente:

root@kali:~/rdp-sec-check# ./rdp-sec-check.pl [DIRECCIÓN IP]

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 9 de 12

3. Ingeniería Social en tiempos de Teletrabajo

3.1. PHISHING o SMISHING

Debido a la situación actual en estas semanas hemos podido apreciar un aumento significativo en
modalidades de estafa del tipo SMISHING o PHISHING, esto con el objetivo de robar datos
sensibles para extraer dinero o información, siendo los más perjudicados los usuarios finales.

Los cibercriminales no descansan por estos días y por ello emplean temas de coyuntura actual en
el contenido de sus mensajes o asuntos como:

Bono de 380 soles.

Actualización de coronavirus (covid-19) // Anuncio del plan de continuidad empresarial a partir de marzo 2020.
Últimas actualizaciones de corona-virus
Aplicación de consejos Covid-19 de Unicef
¡Advertencia! Virus de corona

Algunos nombres de archivos adjuntos utilizados son:

Aviso de concienciación sobre coronavirus covid-19 document_pdf.exe

Coronavirus COVID-19 update.xlsx
CORONA VIRUS1.uue
CORONA VIRUS AFECTÓ A LA TRIPULACIÓN Y AL BUQUE.xlsm
covid19.ZIP

Algunas direcciones URLs maliciosas que fueron identificadas:

https://viabcpzonazegvrabeta.com/iniciar-sesion
https://viabcpenzonasegurabeta.com/iniciar-sesion
https://zonasegura.viabcplogin.com/login/iniciar-sesion
http://www-bcpzonasegurabeta.viabcp.com.smsviabcp.info/iniciar-sesion
https://zonasegurabeta.viabcp.pensandoenti.servicios-digital.com/iniciar-sesion
https://bcpzonasegurabeta-viabcp-com.kanku.co.ke/m/iniciar-sesion
http://wvwzonasegurabn1cliente.com/WebBN1/Inicio/
https://bcpzonasegurabeta-viabcp-com.kanku.co.ke
http://wwwzonsegura1multired.pe/
http://vlabcp.movilser.com/iniciar-sesion
http://www-bcpzonasegurabeta.viabcp.com.smsviabcp.info/iniciar-sesion
https://bcpzonasegurabeta.viabcp.pe.banca-por-internet.com/
http://bcpzonasegurabeta-viabcp-com.besominwirral.co.uk/

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 10 de 12

3.2. Ataques dirigidos

¿Cómo se relaciona este tipo de modalidad de estafa con el teletrabajo? En vista a que los
colaboradores se encuentran en una ubicación diferente a la habitual, estos dependen de sí mismos
para poder detectar y reportar este tipo de modalidad de estafa que podría perjudicar directamente
a la persona o a la organización en donde se desempeña a través de ataques dirigidos como el
SPEAR PHISHING.

En los últimos días se han identificado ataques con mayor nivel de complejidad y que están
enfocados a robar información de una organización de manera puntual, aumentando de esta manera
el porcentaje de efectividad de este tipo de ataques. El caso más común utilizado por delincuentes
informáticos es la adquisición de un dominio PARECIDO AL ORIGINAL, enviando un correo con
una estructura conocida por los empleados de la organización.

Por ejemplo, imagínense recibir un correo del área de RECURSOS HUMANOS o de

TECNOLOGÍAS DE INFORMACIÓN, en donde se le pida reingresar credenciales, el correo
electrónico y dominio son tan parecidos a los reales que el ataque cobra un nivel de RIESGO
IMPORTANTE. Aquí un ejemplo:

Es importante identificar como el correo electrónico enviado cuenta con una estructura ya antes
utilizada en la organización, indica el nombre del empleado al que va dirigido y además es enviado
desde un dominio MUY PARECIDO al original. Este tipo de ataques cuentan con un mayor de nivel
de RIESGO a nivel de SEGURIDAD DE INFORMACIÓN.

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 11 de 12

Para identificar si algún atacante informático adquirió un dominio similar al de nuestra organización
y realizará un ataque informático, podemos utilizar la herramienta DNSTWIST
(https://github.com/elceef/dnstwist) , esta herramienta busca dominios registrados SIMILARES al de
la organización donde laboramos.

root@kali:~/dnstwist # python dnstwist.py [DOMINIO DE NUESTRA ORGANIZACIÓN]

En el ejemplo superior hemos colocado el dominio COVID-19.COM y la herramienta identificó

dominios parecidos y que seguro serán utilizados para técnicas de PHISHING.

KUNAK CONSULTING SAC - CIBERSEGURIDAD

 Código: BL - 01
Consideraciones de Seguridad para el Teletrabajo Versión: 1.0
Fecha: 26/03/2020
CIBERSEGURIDAD
Página: 12 de 12

4. ¿Cómo protegernos durante el Teletrabajo?

- Establecer un procedimiento de TELETRABAJO a través de una conexión VPN que

considere las siguientes características:
 Establecer configuraciones robustas: cambiar puertos y portales por defecto.
 Hacer uso de protocolos seguros (TLS v1.1 en adelante) y algoritmos de cifrado
seguro.
 Hacer uso de credenciales con criterios de complejidad y que no sean de fácil
adivinación.
 Establecer en la medida de lo posible DOBLE FACTOR DE AUTENTICACIÓN
(2FA) para el acceso a la VPN.
 Realizar una adecuada segmentación de RED.
 En general, realizar un aseguramiento de la plataforma que soporta nuestra
conexión VPN.

- Concientizar al usuario final, aunque este trabajo es muy duro y que depende de múltiples
factores, la concientización de los empleados resulta de vital importancia. Los principales
criterios a reforzar son:
 Nunca brindes contraseñas a través de correo electrónico ni a través de enlaces
que soliciten contraseñas.
 Verificar siempre la dirección URL accedida. De preferencia, es mejor escribir la
dirección URL que dar clic a un enlace.
 No abrir documentos adjuntos sospechosos, en caso de recibirlos repórtalo al
personal de Tecnología de Información. También pueden usar la plataforma:
https://www.virustotal.com/ para revisar archivos sospechosos.

- Finalmente, las recomendaciones generales para el personal de Tecnología de

Información son:
 Tener actualizado siempre nuestro software y sistema operativo del parque de
servidores/computadores de la organización.
 Limitar en la medida de lo posible los accesos VPN, estos deben estar
debidamente autorizados y restringidos sólo al trabajo específico a realizar.
 Tener una solución de ANTIVIRUS y/o END-POINT en los computadores de los
empleados.
 Monitorear y restringir los accesos a la VPN desde direcciones IP que no sean
peruanas.
 Restringir en la medida de lo posible el uso de aplicaciones para conexiones
remotas como TeamViewer, Anydesk, LogMein, etc.
 Establecer controles más estrictos a nivel de reglas de SPAM a nivel de correo
electrónico.

KUNAK CONSULTING SAC - CIBERSEGURIDAD