Autor: Mauro Reluz, Arquitecto de Seguridad, Soluciones Seguras Panamá
Cada vez es más común escuchar que alguien fue “hackeado”, pero no significa que se esté volviendo menos estresante o confuso. Es difícil saber qué hacer, o por dónde empezar. Ya sea que haya sido hackeado, víctima de phishing, robo de identidad, malware o simplemente no sabe lo que sucedió...
Aquí hay algunos buenos primeros pasos a tomar en cuenta después de un incidente. Esto no está escrito precisamente en piedra, pero es un buen comienzo.
PREGUNTARSE POR QUÉ
Mientras está arreglando las cosas, es un buen momento para dar un paso atrás y hacerse una pregunta más básica: ¿Cuál fue la razón o acción que conllevó a la brecha o incidente? Si fue su cuenta bancaria, la respuesta puede ser obvia. En otros casos, como el correo electrónico, puede ser por una serie de razones: haber caído en un spam, por aceptar solicitudes desconocidas u aceptar restablecimientos de contraseña en otros servicios. Un atacante puede incluso estar tratando de obtener acceso a su negocio en este momento. Saber por qué fue atacado también a veces puede ayudarlo a entender cómo fue víctima y prevenir el mismo incidente a futuro.
RESTABLECER LAS CONTRASEÑAS
Cambie inmediatamente la contraseña en el servicio afectado y cualquier otro que utilice la misma contraseña o una contraseña similar. Y, realmente la recomendación es más amplia, no reutilice contraseñas. Cambie sus contraseñas periódicamente, aunque no haya tenido incidentes, como parte del mantenimiento de rutina. Pero si acabas de ser atacado, ahora es más urgente. Esto es especialmente cierto si reutiliza contraseñas o usa esquemas de contraseñas similares (por ejemplo: 489Facebook!, 489Linkedin!, 489Google!).
La reutilización de contraseñas es uno de los grandes males y es muy difícil de prevenir. Los sitios pueden configurar requisitos de contraseña, por ejemplo, una longitud de caracteres o que una contraseña incluya símbolos y números, pero no pueden obligar a las personas a no reutilizar las mismas contraseñas o contraseñas similares a través de múltiples sitios.
ACTUALIZAR Y ANALIZAR
Existe la posibilidad de que el atacante haya llegado a través de su máquina. Casi todo el malware es instalado por las propias víctimas, aunque sin saberlo. Si este es su caso, lo principal es apagar y aislar la computadora de la red antes de comenzar un proceso de recuperación. Asegúrese de que está ejecutando la versión más reciente de su sistema operativo. Descargue un producto antivirus sólido y ejecute un análisis en busca de malware y virus que puedan haber sido la fuente del ataque. Esto es lo más básico que puede hacer. Y además, procure no utilizar soluciones gratuitas de antivirus o antimalware.
COMPROBAR SI HAY PUERTAS TRASERAS
Los hackers inteligentes no solo entrarán en su cuenta, sino que también configurarán herramientas para asegurarse de que puedan volver a entrar una vez que los haya sacado. Una vez que tenga sus cuentas de vuelta, debe asegurarse inmediatamente de que no haya una puerta trasera en algún lugar diseñado para permitir que un atacante vuelva a entrar. Compruebe las reglas y filtros de correo electrónico para asegurarse de que no se reenvía nada a otra cuenta sin su conocimiento. Vea si se cambiaron las respuestas a sus preguntas de seguridad o si esas preguntas en sí mismas han cambiado. Revise las políticas de la red, y en caso de tratarse de cuentas de negocio o un equipo informático de la organización, es requerido un análisis forense completo que valide todos los activos de la entidad.
REALIZAR UNA AUDITORÍA DE SEGURIDAD
A menudo, una cuenta se utiliza simplemente como puerta de enlace a otra. Es posible que tu cuenta de Dropbox solo sea un medio para llegar a algo almacenado allí. Es posible que su correo electrónico solo sea una ruta de acceso a su banca en línea. No solo necesita proteger la cuenta que sabe que fue hackeada, sino que también debe verificar todas las demás que toca. Restablezca sus contraseñas en esos servicios y trátelas como si se hubieran visto comprometidas. De forma similar en la organización, cualquier sistema integrado, relacionado o cercano a un sistema afectado debe ser aislado y revisado independientemente asumiendo siempre el peor escenario.
DESAUTORIZAR TODAS ESAS APLICACIONES
Este es uno de esos pasos no obvios pero importantes. Una de las primeras cosas que probablemente debería hacer si ha tenido un compromiso de cuenta es desautorizar todas las aplicaciones asociadas que usan esa cuenta para iniciar sesión. Por ejemplo, Google, Twitter, Facebook, Dropbox y muchos otros admiten OAuth, que permite a las aplicaciones de terceros usar las API de la cuenta sin tener que proporcionarles la información de inicio de sesión de la cuenta. Pero si un hacker lo ha utilizado para autorizar otro dispositivo o servicio, y permanece conectado allí, simplemente cambiar su contraseña no los sacará. Podría haber un agente pícaro por ahí que usted sigue siendo inconsciente de incluso después de recuperar el acceso a su cuenta. La mejor opción es tirar del enchufe en todo lo que ha dado acceso a. Y, en cualquier caso, hacerlo periódicamente es simplemente considerado una buena higiene.
HABLE
Digamos que su cuenta de Facebook fue vulnerada o hackeada, hay una buena probabilidad de que no pierdas dinero, fotos, contactos, pero tus amigos podrían. Esta es una técnica muy utilizada por los malos actores, una vez tienen acceso a una cuenta es mucho más probable tener éxito al hacer contacto con los amigos de esta persona. Es por ello que es muy importante que hagas haga contacto con sus amigos, familiares y colegas acerca de lo sucedido para que estén atentos y no acepten peticiones sospechosas a su nombre sin verificar su identidad primero. Lo mismo puede aplicarse a nivel organizacional, un CFO podría tener su cuenta comprometida y un actor malicioso podría pedir una transferencia de dinero haciéndose pasar por el CFO de la compañía. Su peor enemigo es el silencio.
