Getty Images

Seis señales que indican presencia de intrusos en la red empresarial

El esquema de trabajo remoto está abriendo brechas de seguridad que permiten a los atacantes acceder a los sistemas empresariales sin ser detectados. ¿Cómo pueden protegerse las organizaciones?

De acuerdo con el Foro Económico Mundial (WEF), los ataques cibernéticos aumentaron debido a que los empleados de las empresas tuvieron que trabajar desde sus casas ya hace más de un año, debido a la pandemia. Según el Informe de Riesgos Globales 2020 del WEF, el riesgo de ciberataques a la infraestructura crítica y el fraude o robo de datos se clasificaron entre los 10 principales riesgos con mayor probabilidad de ocurrir.

El esquema de trabajo remoto que muchas organizaciones tuvieron que implementar de la noche a la mañana, generó muchas brechas de seguridad que han permitido a los atacantes acceder a redes empresariales, muchas veces sin ser detectados. Para proteger los sistemas y la información corporativa, las empresas deben ser capaces no solo de impedir el acceso de los intrusos, sino también de detectar cuando alguien se ha colado a la red y está espiando las actividades.

Sin importar el tamaño o sector, existen señales que indican la presencia de intrusos en la red Wifi de la casa de los trabajadores y que pueden poner en riesgo los activos informáticos de su empresa.

¿Cómo descubrir a un espía? Diego Barrientos, experto en seguridad informática e instructor de Udemy, plataforma de formación en línea, comparte seis señales que indican que estas pueden verse comprometidas y cómo detectarlas. Esta información es útil tanto para los administradores de sistemas como para los usuarios, pues son ellos quienes deben reportar cualquier anomalía tan pronto la detecten.

  1. Clonado de direcciones IP. Aparecen en pantalla de algunas computadoras la leyenda de "dirección IP duplicada" en Windows, esto debido a la implementación de técnicas de ARP poisoning por parte del intruso, (técnica que utilizan los piratas informáticos para lograr entrar en una red local y robar los paquetes de datos que pasan por la misma).
  2. Inicios de sesión fallidos. Si la política de seguridad restringe a un solo inicio de sesión por cuenta de usuario y por equipo (proceso de hardening, medida de seguridad que se aplica sobre equipos de trabajo con el fin de reducir la superficie de vulnerabilidad, evitando así posibles ataques), aparecerá un mensaje de error de inicio de sesión y el usuario legítimo no podrá acceder a su computadora, sin importar cuántas veces desee ingresar con sus credenciales. El mensaje que aparecerá es el siguiente: “Durante un intento de inicio de sesión, el contexto de seguridad del usuario acumuló demasiados id. de seguridad. Vuelva a intentarlo o consulte al administrador del sistema”.
  3. Lentitud o parálisis en la red de área local, LAN Esto suele pasar por “tormentas de broadcast”, es decir que la red está siendo saturada a causa de los escaneadores y otras herramientas de hacking que utilizan los intrusos. El usuario común tiene una percepción exacta de los tiempos que tarda en guardar un archivo o en acceder a una página web, si esos tiempos se duplican o se triplican es una señal inequívoca de que hay un intruso que ya ganó acceso a la red y está utilizando su batería de herramientas.
  4. El dominio del sitio de la empresa cambia de https a http en la barra de dirección URL en las computadoras de los empleados. Cuando pasa esto se está degradando la seguridad del protocolo de encriptación de datos en la red, esto significa que hay una persona tomando la identidad del servidor para quedarse con sus credenciales.
  5. La red WiFi se conecta y desconecta constantemente en las computadoras y celulares de la empresa por ataques de desautenticacion al router o AccessPoint, esto se hace también para obtener las credenciales a la red de la empresa.
  6. Aparecen y desaparecen archivos misteriosamente de los servidores o computadoras, señal de que ya hay herramientas cargadas por un intruso o un programa de software malicioso como un ransomware encriptando la información.

Además de detectar cualquiera de estas señales y comunicarlas al área de TI, las empresas deben llevar a cabo auditorias periódicas de detección de placas de red de modo promiscuo para identificar cualquier anomalía; revisar las bitácoras de los servidores y máquinas de los usuarios permitirá detectar cualquier intrusión en un horario diferente al normal e implementar programas de detección de intrusos.

Investigue más sobre Gestión de la seguridad

ComputerWeekly.com.br
Close