Día a día hemos caído en la cuenta de cómo el ‘Trabajo Remoto’ se hace más presente en las empresas, junto con las tecnologías de la nube. Esta descentralización del trabajo permite una mayor flexibilidad que aumenta la productividad. Pero para hacerlo, estas herramientas utilizan protocolos que permiten la conexión entre el servidor y el terminal del cliente. Pero ¿Existen riesgos? ¿Qué tan seguro son estos protocolos? Hoy veremos los protocolos de comunicación utilizados, sus debilidades y cómo los ciberdelincuentes pueden llevar a cabo diversos ataques.
Cada vez el trabajo remoto toma más fuerza, esto facilitado por las tecnologías de la nube. Esta descentralización del trabajo permite una mayor flexibilidad que en ciertos casos aumenta la productividad. Pero para hacerlo, estas herramientas utilizan protocolos que permiten la conexión entre el servidor y el terminal del cliente ¿Existen riesgos? ¿Qué tan seguro son estos protocolos? Hoy veremos los protocolos de comunicación utilizados y sus debilidades.
Sin duda la llegada de los escritorios remotos ha alegrado a más de un trabajador. Y es que esta tecnología permite a un usuario trabajar en un equipo, a través de su escritorio gráfico, desde otro terminal ubicado en otro lugar. Así, por ejemplo, podríamos desde nuestro hogar poder conectarnos a la oficina para resolver algún problema.
Pero lo cierto es que abrir la puerta hacia Internet implica un alto riesgo, y por lo mismo, hacerlo sin las medidas de seguridad lo convierte automáticamente en un objetivo para los ciberdelincuente. Y debido a que no se le da la importancia necesaria a estas situaciones, es que no solo las personas quedan expuestas, sino que también las empresas.
La clave en la implementación de los escritorios remotos recae fundamentalmente en la implementación de protocolos de comunicaciones. Estos irán variando dependiendo del programa que se use. Entre los principales encontramos:
Dentro de los nombrados, uno que puede ser de nuestro interés es el RDP, y es que este protocolo fue desarrollado por Microsoft y permite la comunicación entre un terminal (que muestra la información procesada que recibe del servidor) y un servidor Windows (que va recibiendo la información dad por el usuario en la terminal mediante el teclado o el ratón). Punto importante a considerar es que este protocolo es el que más utilizan las empresas para dar acceso a documentos, aplicaciones y escritorios virtuales de forma remota.
Pero antes de seguir hablando de él, debemos tener claro que el correcto funcionamiento de los escritorios remotos pasa por los requisitos que debe cumplir el protocolo utilizado:
Bien, hasta el momento hemos hablado sobre las generalidades de los escritorios remotos, cómo operan, qué protocolos utilizan y cuáles son los beneficios que nos han traído en la actualidad. Pero lo cierto es que toda tecnología tiene un lado B, y debido al auge del uso de ella, los ciberdelincuentes han puesto ojo en los fallos de seguridad que pudieran tener.
Dentro de los que más han causado ruido este año, encontramos a la vulnerabilidad BlueKeep, registrada como CVE-2019-0708, que afecta al protocolo RDP, es decir, a los servicios de escritorio remoto de Windows. Su criticidad recae en que permite ejecutar código de forma remota en cualquier equipo, lo que implica otorgarle el poder al atacante para distribuir códigos maliciosos con privilegios de administrador, y sin necesidad de interactuar con el usuario en ningún caso.
Si bien no se ha divulgado mucha información oficial sobre esta vulnerabilidad, fue cuestión de horas para que algunos usuarios divulgaran por internet distintas pruebas de concepto (PoC) que buscaban aprovecharse de esta vulnerabilidad; pero peor aún, han aparecido exploits de manera pública que buscan atacar el protocolo RDP.
¿Qué podemos hacer? Algunas recomendaciones que puedes seguir son las siguientes:
Y sí, BlueKeep puede llegar a causarnos más de un dolor de cabeza si no sabemos defendernos, pero hay más de un ataque, y este último tiempo ha sido el ataque GoldBrute el que se está tomando la agenda ¡Y no es nada sencillo!
Por lo que se ha podido determinar, GoldBrute, lo que hace es crear una Botnet que busca por internet máquinas que tengan activado el protocolo de escritorio remoto, y las va recopilando. Pero ¿Cómo?
Una vez detectada una potencial máquina víctima, por medio de de un ataque de fuerza bruta, se busca lograr el acceder al escritorio remoto. El problema es que ingresar una y otra vez distintas combinaciones, desde un mismo equipo , causaría inmediatamente sospechas. Es aquí donde el ataque hace uso de una botnet, pues así el ataque de fuerza bruta lo puede realizar desde cientos de equipos infectados, y así no generará sospechas.
Ya logrado el acceso al equipo, se descarga el código del bot y éste se transforma en un nuevo miembro de la botnet que comenzará a buscar otras víctimas. ¿Quienes son los receptores de los archivos obtenidos? No se sabe, pero se asume que ciberdelincuentes venden los datos de acceso a los equipos infectados. Y si consideramos que existen cerca de 2.9 millones de máquinas con su conexión de escritorio remoto activada, podemos llegar a pensar estamos frente a una nueva gran amenaza mundial (Tal como lo fue Wanna Cry).
El Objetivo: malware
Conseguido el acceso al equipo de la víctima, estos ataques siempre tiene como objetivo el poder infectar con un malware el equipo víctima. Y como sabemos, estos pueden ir desde ransomware, cryptojacking, spyware, etc.
A fines de la semana pasada, los investigadores de seguridad del equipo del Proyecto Cero de Google entregaron varios detalles sobre un exploit sofisticado dirigido a los usuarios de iPhone. El exploit en sí se basó en una serie de vulnerabilidades de día-cero e instaló malware en cualquier dispositivo que visitara un sitio web infectado.