Seis señales que indican #intrusos en la red de tu empresa

364 0

De acuerdo con el Foro Económico Mundial (WEF, por sus siglas en inglés), los ataques cibernéticos aumentaron debido a que los empleados de las empresas han tenido que teletrabajar en casa desde hace más de un año que inició la pandemia; según el Informe de Riesgos Globales 2020 del WEF, el riesgo de ciberataques a la infraestructura crítica y el fraude o robo de datos se clasificaron entre los 10 principales riesgos con mayor probabilidad de ocurrir. Tan solo en México, durante el año pasado hubo 14 millones de intentos de ciberataques[1].

Para las empresas, hoy más que nunca es vital evitar que sus redes sufran algún tipo de ciberataque. Sin importar el tamaño o sector, existen señales que indican la presencia de intrusos en la red Wifi de la casa de los trabajadores y que pueden poner en riesgo los activos informáticos de su empresa.

Diego Barrientos, experto en seguridad informática e instructor de Udemy, la plataforma de formación online más grande del mundo, comparte seis señales que indican que estas pueden verse comprometidas y cómo detectarlas.

1. Clonado de direcciones IP, aparecen en pantalla de algunas computadoras la leyenda de “dirección IP duplicada” en Windows, esto debido a la implementación de técnicas de ARP poisoning por parte del intruso, (técnica que utilizan los piratas informáticos para lograr entrar en una red local y robar los paquetes de datos que pasan por la misma).

2. Inicios de sesión fallidos. Si la política de seguridad restringe a un solo inicio de sesión por cuenta de usuario y por equipo (proceso de hardening, medida de seguridad que se aplica sobre equipos de trabajo con el fin de reducir la superficie de vulnerabilidad, evitando así posibles ataques), aparecerá un mensaje de error de inicio de sesión y el usuario legítimo no podrá acceder a su computadora, sin importar cuántas veces desee ingresar con sus credenciales. El mensaje que aparecerá es el siguiente: “Durante un intento de inicio de sesión, el contexto de seguridad del usuario acumuló demasiados id. de seguridad. Vuelva a intentarlo o consulte al administrador del sistema”.

3. Lentitud o parálisis en la red LAN (Local Area Networks por sus siglas en inglés), esto suele pasar por “tormentas de broadcast”, es decir que la red está siendo saturada a causa de los escaneadores y otras herramientas de hacking que utilizan los intrusos. El usuario común tiene una percepción exacta de los tiempos que tarda en guardar un archivo o en acceder a una página web, si esos tiempos se duplican o se triplican es una señal inequívoca de que hay un intruso que ya ganó acceso a la red y está utilizando su batería de herramientas.

4. El dominio del sitio de la empresa cambia de https a http en la barra de dirección URL en las computadoras de los empleados. Cuando pasa esto se está degradando la seguridad del protocolo de encriptación de datos en la red, esto significa que hay una persona tomando la identidad del servidor para quedarse con sus credenciales.

5. La red WiFi se conecta y desconecta constantemente en las computadoras y celulares de la empresa por ataques de desautenticacion al router o AccessPoint, esto se hace también para obtener las credenciales a la red de la empresa.

6. Aparecen y desaparecen archivos misteriosamente de los servidores o computadoras, señal de que ya hay herramientas cargadas por un intruso o un programa de software malicioso como un ransomware encriptando la información.

Además de detectar cualquiera de estas señales y comunicarlas al área de TI, las empresas deben llevar a cabo auditorias periódicas de detección de placas de red de modo promiscuo para identificar cualquier anomalía; revisar las bitácoras de los servidores y máquinas de los usuarios permitirá detectar cualquier intrusión en un horario diferente al normal e implementar programas de detección de intrusos.

Related Post