Algunos especialistas en seguridad de la informaci\u00f3n creen que las redes aisladas no necesitan protecci\u00f3n adicional. Si las amenazas no tienen forma de entrar, \u00bfpara qu\u00e9 molestarse? Pero el aislamiento no garantiza la protecci\u00f3n total. Y, para demostrarlo, nuestros expertos han querido compartir una serie de situaciones basadas en casos reales.<\/p>\n
Nuestra empresa hipot\u00e9tica tiene una subred aislada con un air gap<\/em>, lo que significa que no solo no se puede acceder a ella desde Internet, sino que ni siquiera pueden hacerlo otros segmentos de la red de la misma empresa. Adem\u00e1s, de acuerdo con la pol\u00edtica de seguridad de la informaci\u00f3n de la empresa, se aplican las siguientes reglas:<\/p>\n Hasta aqu\u00ed todo normal, pero, entonces \u00bfqu\u00e9 puede salir mal?<\/p>\n Cuando unas instalaciones pierden el acceso a Internet, los empleados adoptan soluciones alternativas. Por ejemplo, aquellos que tienen m\u00e1s de un tel\u00e9fono, pueden entregar uno a la recepci\u00f3n y conectar el segundo como m\u00f3dem para tener un ordenador de trabajo con conexi\u00f3n a Internet.<\/p>\n El modelo de amenaza para este segmento no anticipa ataques a la red, malware<\/em> en Internet u otros problemas de seguridad similares. En realidad, no todos los administradores actualizan la protecci\u00f3n antivirus cada semana y, como resultado, los ciberdelincuentes pueden infectar un ordenador con un troyano de spyware<\/em>, obtener acceso a la red y propagar el malware<\/em> por toda la subred, filtrando informaci\u00f3n hasta que la pr\u00f3xima actualizaci\u00f3n del antivirus los expulse.<\/p>\n Incluso las redes aisladas permiten excepciones, como, por ejemplo, las unidades USB. Pero sin restricciones en el uso de estos dispositivos, \u00bfqui\u00e9n puede decir que una unidad no se utilizar\u00e1 para copiar archivos hacia y desde el sistema o para otras necesidades administrativas en partes no aisladas de la red? Es m\u00e1s, el personal de soporte t\u00e9cnico a veces conecta sus ordenadores port\u00e1tiles a una red aislada, por ejemplo, para configurar los equipos de red del segmento.<\/p>\n Si una unidad USB o un ordenador port\u00e1til de confianza se convierte en un vector de entrega de malware<\/em> de d\u00eda cero, la presencia del malware<\/em> en la red de destino deber\u00eda ser de corta duraci\u00f3n; una vez actualizado, el antivirus no aislado de la organizaci\u00f3n neutralizar\u00e1 la amenaza all\u00ed. Sin embargo, si vamos m\u00e1s all\u00e1 del da\u00f1o que puede causar a la red principal no aislada, incluso en ese corto tiempo, el malware<\/em> permanecer\u00e1 en el segmento aislado hasta la pr\u00f3xima actualizaci\u00f3n de ese segmento, lo que en nuestra situaci\u00f3n no suceder\u00e1 durante al menos una semana.<\/p>\n El resultado depende de la variante de malware<\/em>. Por ejemplo, podr\u00eda escribir datos en esas unidades USB de confianza. Despu\u00e9s de un tiempo, otra amenaza de d\u00eda cero en el segmento no aislado podr\u00eda comenzar a buscar los datos ocultos en los dispositivos conectados y enviarlos fuera de la empresa. El objetivo del malware<\/em> tambi\u00e9n podr\u00eda ser alg\u00fan tipo de sabotaje, como alterar la configuraci\u00f3n del software<\/em> o del controlador industrial.<\/p>\n Un empleado comprometido con acceso a las instalaciones donde se encuentra el segmento de red aislado puede comprometer deliberadamente el per\u00edmetro. Por ejemplo, podr\u00eda conectar un dispositivo malicioso en miniatura basado en Raspberry-Pi a la red, habi\u00e9ndolo equipado con una tarjeta SIM y acceso a Internet m\u00f3vil. El caso de DarkVishnya<\/a> es un claro ejemplo.<\/p>\n En los tres casos anteriores, faltaba un detalle de vital importancia: una soluci\u00f3n de seguridad actualizada. Si Kaspersky Private Security Network se hubiera instalado en el segmento aislado, habr\u00eda reaccionado y cerrado todas las amenazas en tiempo real. La soluci\u00f3n es b\u00e1sicamente una versi\u00f3n local de nuestra Kaspersky Security Network basada en la nube, pero capaz de funcionar en modo de diodo de datos.<\/p>\n\n
Primera situaci\u00f3n: Una conexi\u00f3n a Internet muy casera<\/h2>\n
Segunda situaci\u00f3n: La excepci\u00f3n a todas las reglas<\/h2>\n
Tercera situaci\u00f3n: Los intrusos<\/h2>\n
C\u00f3mo actuar<\/h2>\n