Claves para detectar ciberataques mientras teletrabajas

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer

Con el fin de evitar la presencia de intrusos en la red Wi-FI que usemos, independientemente de la ubicación desde la que se trabaje, Diego Barrientos, experto en seguridad informática e instructor de la plataforma de formación online Udemy, nos ofrece las claves para detectarlos y reducir el riesgo de ataque a la empresa mientras teletrabajamos:

Clonado de direcciones IP. Aparecen en pantalla de algunos ordenadores Windows debido a la implementación de técnicas de ARP ‘poisoning’ por parte del intruso, una práctica que utilizan los piratas informáticos para lograr entrar en una red local y robar los paquetes de datos que pasan por la misma.

Inicios de sesión fallidos en el ordenador. Si la política de seguridad restringe a un solo inicio de sesión por cuenta de usuario y por equipo, aparecerá un mensaje de error de inicio de sesión y el usuario legítimo no podrá acceder a su ordenador, sin importar cuántas veces desee ingresar con sus credenciales. El mensaje que aparecerá es el siguiente: “Durante un intento de inicio de sesión, el contexto de seguridad del usuario acumuló demasiados id. de seguridad. Vuelva a intentarlo o consulte al administrador del sistema”.

Lentitud del guardado de archivos o parálisis en la red LAN (Local Area Networks, por sus siglas en inglés), esto suele pasar por “tormentas de broadcast”, es decir, que la red está siendo saturada a causa de las herramientas de ‘hacking’ que utilizan los intrusos. El usuario común tiene una percepción exacta de los tiempos que tarda en guardar un archivo o en acceder a una página web, si esos tiempos se duplican o se triplican es una señal de que hay un intruso que ya ganó acceso a la red y está utilizando su batería de herramientas.

El dominio del sitio de la empresa cambia de https a http en la barra de dirección URL en los ordenadores. Cuando pasa esto se está degradando la seguridad del protocolo de encriptación de datos en la red. Esto significa que hay una persona tomando la identidad del servidor para obtener información.

La red WiFi se conecta y desconecta constantemente en los ordenadores y móviles de la empresa por ataques de desautenticación al router. Esta práctica también se ejerce para obtener las credenciales a la red de la empresa.

Aparecen y desaparecen archivos misteriosamente de los servidores u ordenadores, señal de que ya hay herramientas cargadas por un intruso o un programa de software malicioso como un ‘ransomware’ encriptando la información.

Si se detectan cualquiera de estas señales, el usuario debe comunicarlas al área de TI, y las empresas deben llevar a cabo auditorías para identificar cualquier anomalía. Según el experto, revisar las bitácoras de los servidores y ordenadores de los usuarios permitirá detectar cualquier intrusión en un horario diferente al normal e implementar programas de detección de intrusos.