Brechas de seguridad: protégete ante el ransomware

    El ransomware es una ciberamenaza con gran impacto sobre datos de carácter personal, tanto en el sector de las pymes como de las grandes empresas. A pesar de aplicar las medidas de seguridad oportunas, las brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar preparadas para ser capaces de detectarlas y actuar para minimizar y evitar el daño a los derechos y libertades de las personas. 

   Una de las medidas en las que se materializa el principio de responsabilidad activa del RGPD es en la obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la quiebra suponga un riesgo para los derechos y libertades de los

afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.

   Además, en los casos en que sea probable un alto riesgo para los derechos o libertades de los afectados, también se les deberá comunicar la brecha. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias. Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.

   Un 10% de las notificaciones de brechas de seguridad recibidas en la AEPD durante 2018 desde el 25 de mayo de 2018 (fecha de aplicación del RGPD) indican que el motivo de la brecha es el cifrado de equipos mediante algún tipo de ransomware, y en ocasiones el vector de ataque es el acceso mediante servicios de escritorio remoto.

   Es habitual que usuarios de pymes y grandes empresas necesiten tener acceso desde internet a un servidor o cualquier otro equipo de su red para ejecutar determinadas aplicaciones, realizar tareas de mantenimiento o de soporte. A veces, también necesitan proporcionar acceso a otras organizacionesque les prestan un servicio determinado.

  Desde Windows NT 4.0, Microsoft incorpora el protocolo de escritorio remoto que proporciona acceso remoto a la interfaz gráfica del equipo y permite resolver la necesidad anteriormente descrita. Es un servicio habitualmente usado en servidores que tienen instalado el sistema operativo Windows, aunque también se utiliza en otros sistemas operativos, para evitar tener que desplazarse físicamente donde se encuentra el equipo.

   Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP.

   Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.