Ir al contenido
Avanet
Recomendaciones de Sophos - Cybersecurity Best Practices

Recomendaciones de Sophos - Cybersecurity Best Practices

Sophos ha publicado una lista de nueve Cybersecurity Best Practices cuyo objetivo es recordar a las empresas que medidas sencillas pero eficaces pueden aumentar considerablemente la seguridad informática.

Para garantizar una protección óptima frente a ciberataques, no basta con implementar soluciones de seguridad de última generación. Un aspecto esencial, y a menudo descuidado, es la configuración correcta de estos sistemas. Una y otra vez vemos en empresas que empezamos a atender que, aunque haya un Sophos Firewall instalado, no todas las funciones de seguridad están activadas o configuradas correctamente, lo que puede generar brechas de seguridad importantes.

Por lo tanto, es de gran importancia no solo confiar en soluciones de ciberseguridad de alta calidad, sino también configurarlas y ajustarlas de forma profesional. Una actuación responsable e informada es también indispensable para minimizar los riesgos potenciales.

A continuación presentamos una serie de Cybersecurity Best Practices que pueden contribuir a mejorar la postura de seguridad de forma sostenible y a crear una base sólida para la seguridad de la empresa:

Lista de medidas

Parches: con regularidad y de inmediato

En 2021, las vulnerabilidades sin parchear fueron la causa de casi la mitad de todos los ciberincidentes investigados por Sophos. Queda claro que aplicar parches de forma rápida y regular aumenta significativamente la seguridad del sistema y minimiza el riesgo de que estas vulnerabilidades sean explotadas.

Ningún software es completamente seguro; en cada uno existen posibles vulnerabilidades de seguridad. Las actualizaciones regulares son, por lo tanto, esenciales, incluso si a veces se perciben como molestas. No siempre traen solo nuevas funciones, sino que a menudo también corrigen problemas de seguridad críticos que no necesariamente se enumeran en las notas de la versión.

Aunque una actualización pueda generar problemas de vez en cuando, el riesgo de omitirla es mucho mayor. Por lo tanto, conviene actuar de forma proactiva y aplicar los parches de manera continua e inmediata.

Copias de seguridad: automatizadas y fuera de la oficina

Según el Informe de Ransomware de Sophos 2022, el 73 % de los gerentes de TI encuestados lograron restaurar los datos cifrados mediante sus copias de seguridad después de un ciberataque.

Se recomienda encarecidamente cifrar las copias de seguridad. Esto no solo sirve para protegerse contra ataques de ransomware, en los que los datos se cifran para extorsionar un rescate, sino también para protegerse contra el robo de datos. Los atacantes podrían intentar robar datos sensibles para extorsionar a la empresa posteriormente con la amenaza de publicar dichos datos. El cifrado de las copias de seguridad constituye, por lo tanto, una importante barrera que dificulta considerablemente el acceso a los datos.

Igualmente importante es almacenar las copias de seguridad offline y fuera de la oficina. Esto protege contra daños físicos causados por desastres naturales o robos y garantiza que, en situaciones de crisis, siempre se pueda acceder a los datos necesarios.

Además, la recuperación de datos debe probarse regularmente. De este modo, en caso de pérdida de datos, se puede reaccionar rápida y eficazmente y se garantiza el funcionamiento de las copias de seguridad en caso de emergencia.

Mostrar tipo de archivo

En los sistemas operativos Windows y macOS, las extensiones de archivo no se muestran por defecto. Sin embargo, se recomienda activar la visibilidad para detectar tipos de archivo potencialmente peligrosos, como los archivos JavaScript. Por supuesto, este tipo de extensiones de archivo no deberían recibirse por correo electrónico de ninguna manera. Con una solución como Sophos Central Email, esto se puede bloquear, entre otras cosas, para que el usuario ni siquiera pueda recibir este tipo de archivos.

Lista de Sophos con las extensiones de archivo que deben bloquearse.

En el pasado realizamos nosotros mismos una prueba y explotamos exactamente ese punto. Enviamos memorias USB con un archivo HTML camuflado como candidatura a varias empresas. Probablemente muchos pensaron que se trataba de un documento PDF o Word, pero al abrir el archivo fueron redirigidos a una página web. Más detalles sobre este experimento: Experimento – Por qué no debería haber conectado este USB.

A pesar de la capacidad de identificar extensiones de archivo, es esencial capacitar a los empleados en consecuencia. Esta es la única forma de garantizar que sean capaces de identificar eficazmente los archivos sospechosos y actuar con la debida precaución.

Abrir scripts con un editor de texto

Abrir un archivo JavaScript en un editor de texto evita la ejecución de posibles scripts maliciosos y permite una revisión segura del contenido del archivo. Siempre que, por supuesto, se disponga de los conocimientos necesarios.

Es aconsejable tratar los archivos ejecutables con precaución, ya que se utilizan con frecuencia para distribuir malware. Hay que tener en cuenta que no solo los archivos JavaScript, sino también los adjuntos con extensiones como .exe, .bat, .scr y .vbs, entre otras, pueden ser potencialmente peligrosos y ejecutar scripts capaces de causar daños considerables. Por supuesto, esto también afecta a los archivos de Office: tema macros, pero hablaremos de ello más adelante.

Por lo tanto, los archivos adjuntos solo deben abrirse de fuentes confiables y, en caso de duda, el contenido debe revisarse primero en un editor de texto.

En última instancia, una buena solución de protección de endpoints ayuda, o en el peor de los casos, la copia de seguridad mencionada anteriormente 😋.

Macros: nope

Hace ya varios años, Microsoft desactivó la ejecución automática de macros por razones de seguridad. Numerosas infecciones solo son posibles si se activan las macros. Por lo tanto, ¡se debe evitar activar las macros!

Archivos adjuntos de correo electrónico: cuidado incluso con remitentes conocidos

Los ciberdelincuentes suelen aprovecharse de un viejo problema: en realidad, solo debería abrirse un documento si se tiene la certeza de que es inofensivo. Pero para tener esa certeza, primero habría que abrirlo. En estas situaciones, ante la duda, lo más prudente es no abrir un adjunto sospechoso.

Cabe señalar que los servidores de correo electrónico pirateados a menudo son mal utilizados para enviar archivos adjuntos maliciosos. El atacante que tiene el control del servidor de correo electrónico no solo puede enviar desde un dominio legítimo, sino también ver las conversaciones y dar respuestas contextuales utilizando técnicas de IA. Esto hace que sea extremadamente difícil detectar este tipo de correos electrónicos, ya que son muy específicos y están adaptados a la conversación anterior.

Derechos de administrador: menos es más

Debe revisarse periódicamente quién tiene derechos de administrador local y de administrador de dominio en la red. Es recomendable controlar con precisión quién dispone de estos permisos y retirarlos cuando no sean necesarios. Además, solo debería iniciarse sesión como administrador durante el tiempo estrictamente imprescindible.

Igualmente importante es garantizar la seguridad de la red mediante las precauciones adecuadas. Una de estas medidas debe ser asegurarse de que no se dejen puertos abiertos innecesariamente para evitar posibles vulnerabilidades de seguridad. El acceso RDP y otros protocolos de gestión remota de la empresa deben bloquearse de forma coherente para evitar el acceso no autorizado. En resumen, un firewall correctamente configurado.

Además, es aconsejable implementar la autenticación de dos factores, que proporciona una capa adicional de seguridad al confirmar la identidad del usuario a través de un segundo componente. Además, debe asegurarse de que los usuarios remotos siempre se autentiquen a través de una VPN para garantizar una conexión segura y cifrada que proteja la integridad y confidencialidad de los datos. Por supuesto, Zero Trust sería el enfoque más adecuado aquí.

Utilice contraseñas seguras

Finalmente, un tema que habría merecido una publicación de blog propia. También existe el Día Mundial de la Contraseña, que siempre tiene lugar el primer jueves de mayo, para recordar constantemente el tema. Por lo tanto, lo más importante en resumen.

Si mira una contraseña durante 3 segundos y puede recordarla, es muy probable que sea una mierda 💩. A estas alturas no hay forma bonita de decirlo. Para los listos que ahora piensan que 5 segundos lo arreglan todo: sí, pero en realidad no.

  • Longitud: Aquí la longitud sí importa. Debe constar de al menos 12 caracteres.
  • Complejidad: Debe contener una mezcla de mayúsculas y minúsculas, números y caracteres especiales.
  • Sin relación con información personal: Evite utilizar información de fácil acceso como fechas de nacimiento, nombres o direcciones.
  • Imprevisibilidad: No debe consistir en combinaciones de palabras fáciles de adivinar o frases comunes.
  • Singularidad: Cada contraseña debe ser única y no utilizarse para varias cuentas.
  • Actualización periódica: Es aconsejable cambiar las contraseñas con regularidad para aumentar la seguridad.
  • Aleatoriedad: Utilice contraseñas generadas aleatoriamente que no se basen en palabras que se encuentran en el diccionario. Hay generadores de contraseñas.
  • Uso de frases de contraseña: A veces es más seguro utilizar una frase de contraseña compuesta por varias palabras separadas por caracteres especiales.
  • Autenticación de dos factores (2FA): Siempre que sea posible, debe activarse la autenticación de dos factores para proporcionar una capa adicional de seguridad.
  • Evitar repeticiones: Evite utilizar contraseñas similares o idénticas para diferentes servicios.

🙏 ¡Amén! O para todos los no religiosos 🖐️🎤

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.