Ciberemergencia Nacional
Hace unos días me he incorporado, como Responsable de Ciberseguridad, a BeSoftware BSW. He llegado con la máxima humildad, a una pequeña empresa donde nadie me conoce, con la intención de seguir formando a cuantos esté cerca. El grupo humano es fantástico, de hecho, atienden como nadie antes ha hecho las distintas formaciones que imparto.
Y parece que el Dios ha querido que lo haga a lo grande: para vivir en directo una pandemia que nos afecta a todos y que, en aras de quedarnos en casa por medio de la técnica conocida como “teletrabajo” y no se detenga la actividad empresarial, y hoy descubro que se están descuidando TODAS las mínimas protecciones de seguridad, por parte de técnicos que todavía no se han enterado de qué va ésto.
No sé a quien se le está ocurriendo que se puede teletrabajar abriendo en los routers de las empresas el puerto 3389, el del servicio de RDP, Puerto de Escritorio Remoto, por sus siglas en inglés, a mansalva. No tendría nada de especial, pero es que no existen tantas licencias originales de Terminal Server (componente esencial de los Servidores Windows) como para que se abran 600 puertos solo en España en pocas horas. Y sí es conocido un parche que habilita esa opción en Windows 7, Windows 8 y 8.1, y Windows 10 (no incluyo Windows XP pero sí, también existe para él). Este software inhabilita la garantía del fabricante, no puedes actualizar el sistema operativo porque la actualización te lo elimina, con lo cual estás indicando que prefieres ser vulnerable y teletrabajar, que hacer las cosas bien.
Me consta que algunos proveedores de conexión a Internet, gracias a una profesionalidad exquisita, no permiten abrir ese puerto, ofreciendo servicios de VPN (Redes Privadas Virtuales, por su acrónimo en inglés) y enfrentándose a los informáticos. Pero todo aquel que puede acceder físicamente al router, no duda en resetearlo o entrar a su panel de control y abrir a diestro y siniestro cualquier puerto que le interese.
Existe una herramienta específica para encontrar el servicio de RPD en los routers, con las líneas de fibra de hoy día, en cuestión de segundos se comprueba si existe el 3389 o cualquier otro donde esté esperando la llamada del servicio. Y si no está corregida la vulnerabilidad (como decía anteriormente, el parche que convierte un Windows normal a Servidor es completamente “pirata” lo hace a costa de meter malware, y para instalarlo debes deshabilitar el antivirus – y no me creo que todos esos equipos tengan un sistema de protección mínimo –), eres pasto del BlueKeep.
Una vez colado en ese equipo a la escucha, se puede realizar un examen de la red entera y cifrar el contenido de todos los equipos conectados, operación que ha demostrado ser más efectiva que ninguna otra, pues con las últimas variantes de Emotet o Ryuk, si no pagas, te publican el contenido de los archivos, y si pagas no te garantiza nadie que puedes recuperarlos, ya que en caso de grandes documentos a partir de 50 megas destruye tanto el archivo original como el cifrado.
Por favor, todavía estamos a tiempo de evitar una catástrofe cibernética. A los cibercriminales se lo estamos dejando en bandeja.