Uno de los mayores impactos que nos ha traído la pandemia del COVID-19, es el exponencial aumento de las ciberamenazas a las que se han de enfrentar, diariamente, las instituciones. Además, la rápida transición del trabajo a distancia ha ejercido presión sobre los equipos de seguridad para que comprendan y aborden una ola de posibles riesgos de seguridad.

Ante este nuevo paradigma, las instituciones deberían considerar el adoptar nuevas medidas para ayudar a proteger su organización durante este entorno rápidamente cambiante y el reciente panorama de amenazas cibernéticas.

En este sentido, en el presente artículo se expondrán las medidas que recomendablemente las instituciones deberían implementar para garantiar la seguridad durante y después de la crisis de COBID-19. Posteriormente, se hará un especial inciso en el phishing, ataque que está en especial aumento con motivo de la pandemia.

Como fortalecer la resistencia operacional y la seguridad de las instituciones durante y después de la crisis de  COVID-19

• Definir y perfeccionar el manual de soporte al acceso remoto y seguro al entorno corporativo.

• Asegurar que el personal de seguridad informática pruebe las limitaciones de la VPN para prepararse para el uso masivo y, si es posible, implementar modificaciones como la limitación de la velocidad – para priorizar los usuarios que requerirán mayores anchos de banda.

• Actualizar las VPN, los dispositivos de infraestructura de red y los dispositivos que se utilicen para remover en los entornos de trabajo con los últimos parches de programas y configuraciones de seguridad y la activación de las funciones de seguridad internas y periféricas.

• Implantar la autentificación (MFA) en todas las conexiones VPN para aumentar la seguridad. Si el MFA no se implanta, requiere que los teletrabajadores usen contraseñas fuertes.

• Limitar el acceso y las actividades del administrador a lo estrictamente necesario, Las actividades de los administradores también han de ser mejor supervisadas y controladas (por ejemplo, con el principio de “cuatro ojos”)

• Supervisar de cerca el acceso privilegiando optimizando las herramientas de análisis de comportamiento para detectar actividades sospechosas para los administradores y a los que usan datos críticos.

• Soporte para habilitar o verificar (en términos de capacidades y funcionalidad de seguridad) las herramientas de colaboración (Microsoft Teams/Skype, Cisco Webex).

• Los sistemas de información de seguridad y gestión de actos (SIEM) han de adaptarse, reforzando las reglas de control de registros para activar una alerta El centro de operaciones de seguridad  (SOC) y los equipos de vigilancia deberían estar disponibles para gestionar el creciente número de alertas, clasificándolas por riesgo, basándose en un proceso sólido y detectando los falsos positivos de los actos sospechosos reales. Para ello, establecer un equipo de análisis de actos y considerar el aumento de personal.

• Prepararse para lo peor, comprobar las capacidades de gestión de crisis y de respuesta a incidentes internamente y también la disponibilidad de sus terceros, toda vez que puede ampliar el panorama de proveedores.

• Prestar más atención a las siguiente tareas de ciberseguridad de acceso remoto: revisión de registros, detección de ataques y respuesta y recuperación de  incidentes.

• Aumentar la protección del monitoreo de los puntos finales.

• Aumentar la capacidad de gestión de las emergencias, mediante la reasignación de recursos. Comprobar si la copia de seguridad funciona, probar las capacidades de conmutación por error. El Help Desk también ja de estar preparado para manejar un mayor número de actos y el procedimiento para categorizarlos. 

• Mejorar las capacidades de vigilancia y detección para identificar el  malware o las campañas que aprovechan el escenario actual implantando listas blancas y marcando los correos electrónicos externos para informar a los empleados sobre el aumento previsto de los intentos de phishing con temas relacionados con la COVID-19 y solicitarles que no hagan clic en enlaces sospechosos desconocidos.

• Protección de la web y del correo electrónico mediante la aplicación de tecnologías de filtrado de la web para evitar que los empleados visiten lugares maliciosos.  Implantar reglas de filtrado de correo electrónico para bloquear el spam i los correos electrónicos de phishing. Si eres un hospital o tienes una estructura crítica, has de ser más estricto y considerar la lista blanca.

• Tomar medidas para reducir el impacto de COVID-19. Numerosas webs y correos electrónicos relacionados con el coronavirus están siendo utilizados en campañas de phishing para robar credenciales y propagar malware.

El phishing

El phishing no es nuevo, pero los expertos en seguridad de la información destacan que los ataques están aumentando debido a la pandemia de COVID-19. A medida que ejercemos el distanciamiento social y pasamos más tiempo trabajando a distancia, el riesgo de caer en trampas de este estilo va en aumento.

Muchas interacciones cara a cara se han trasladado a Internet, y los empleados que trabajan en remoto pueden ser más vulnerables a la hora de sufrir un ataque. Como ocurre con la mayoría de los ataques de phising, los delincuentes suelen utilizar contenido legítimo procedente de organizaciones de renombre para atraer al lector a hacer clic en un enlace. La URL parece provenir de un sitio web legítimo, pero al hacer clic sobre la misma se infecta el equipo de la víctima enviándola a un sitio malicioso que extrae sus datos, la mayoría de ellas de carácter personal.

Los ataques de phishing también se aprovechan del afán de información en tiempos de crisis enviando a los destinatarios archivos adjuntos que afirman contener información importante sobre la salud. Cuando la víctima hace clic sobre el documento, puede estar cediendo, sin saberlo, el control de su dispositivo a un tercero ajeno que trabaje a distancia mediante un código oculto incrustado.

Existen varias vías que los atacantes están explotando con el fin de llevar a cabo ataques de phising. Por lo tanto, a continuación, se formulan algunos consejos interesantes para evitar caer en la trampa de estas prácticas abusivas:

• Utilice las medidas de seguridad de su empresa para los correos electrónicos sospechosos enviados a su dirección corporativa. Por ejemplo, muchas empresas tienen herramientas que le permiten marcar inmediatamente cualquier correo electrónico que no pueda verificar fácilmente.

• Revise las pautas de seguridad cibernética de su empresa y solicite formación si es necesario.

• Utilice herramientas corporativas internas seguras como la mensajería instantánea y los sitios de colaboración en lugar del correo electrónico cuando sea posible. Si no se siente cómodo con estas herramientas, ahora puede ser el momento para conocerlas.

• Compruebe la dirección de correo electrónico del remitente para asegurar que el nombre de dominio es correcto. Por ejemplo, real.employee@acme.com no es realemployee@acmee.com

• Tenga cuidado con los correos electrónicos genéricos que no se dirigen específicamente a usted.

• Cuestione la autenticidad si el correo electrónico está lleno de errores gramaticales y ortográficos.

• La mayoría de los programas de correo electrónico (p. Ej., Microsoft Outlook) le avisarán de los correos electrónicos sospechosos. No ignore estas advertencias.

• Utilice la mensajería instantánea o una llamada telefónica a fin de ponerse en contacto con un colega que parezca ser el remitente de un correo electrónico sospechoso.

• Cuidado con las instrucciones que le piden que descargue un archivo, como una factura o un extracto bancario.
• Cuando se le indique una dirección URL, compruebe la dirección con el fin de determinar si se trata de un sitio web conocido. No haga clic en ningún enlace, salvo que pueda verificar.

• No realice ninguna acción que esté fuera de los flujos de trabajo estándar (por ejemplo, transferir dinero para procesar pagos) sin verificación.

• No responda a correos electrónicos que soliciten información personal. Las organizaciones legítimas que solicitan información sensible le enviarán un enlace seguro que encripta los datos.
• No abra los archivos adjuntos sin verificarlos. Póngase en contacto con el remitente por teléfono o utilice una herramienta de comunicación interna segura para confirmar primero la autenticidad de los documentos.