Guía de ciberseguridad para integradores de sistemas
Mejores prácticas técnicas para proteger dispositivos IoT, NVRs y software expuestos a internet. Aprende a mitigar riesgos mediante VPN, P2P y configuración segura de puertos.
Es fundamental concienciar a los equipos técnicos sobre un hecho crítico: todos los equipos o software expuestos a internet, como NVRs, DVRs, cámaras IP, access points, routers, conmutadores y sistemas de nómina o asistencia, son susceptibles a ataques. La seguridad perimetral básica ya no es suficiente en el entorno actual de amenazas.
¿Cómo proteger equipos de red y software?
Un Firewall puede administrar el tráfico de internet hacia un dispositivo local; sin embargo, es imposible detectar el abuso de una vulnerabilidad en un equipo al que se le está haciendo port forwarding (apertura de puertos). Aunque algunos Firewalls avanzados pueden detectar tráfico peligroso, la mayoría no identifica inyecciones de código o tráfico SSL malicioso.
Mejores prácticas y técnicas seguras
1. Utilizar servicios P2P o acceso en la nube
Esta función está disponible en diversos fabricantes de access points, controladores, software de asistencia, telefonía IP, NVRs y equipos de control de acceso. Evita la exposición directa de puertos al utilizar túneles seguros gestionados por el fabricante.
- Fabricantes como ZKTeco y Rosslare (control de acceso) permiten crear su propia "nube privada".
- Hikvision ofrece su solución HIK-CONNECT.
- Ubiquiti Networks (mediante Cloud Key) y Cambium Networks permiten la administración en la nube de controladores y APs.
2. Desactivar UPnP
UPnP permite la apertura automática de puertos, lo que deja dispositivos y aplicaciones expuestos a internet sin supervisión. Se recomienda desactivarlo siempre para mantener el control manual sobre las reglas de firewall.
3. Seguridad por oscuridad: Modificar puertos por defecto
Si un proyecto requiere exponer un equipo o software a internet, es obligatorio modificar los puertos por defecto. Esto evita que los "Script Kiddies" escaneen segmentos de red y ubiquen fácilmente nuestros dispositivos.
- Si el puerto de acceso web por defecto es el 80, es importante modificarlo inmediatamente a uno no estándar.
4. Utilizar VPN
Las VPN permiten el acceso únicamente a dispositivos autorizados, además de cifrar el tráfico entre el dispositivo y los clientes. Esto añade una capa robusta de seguridad.
Guía recomendada: Configurar Tunnel VPN con MikroTik y Ubiquiti Networks EdgeMAX.
5. No utilizar usuarios y contraseñas por defecto
El uso de credenciales predeterminadas facilita que los atacantes intenten combinaciones conocidas para acceder al dispositivo. Aunque cambiar las credenciales es vital, no es suficiente por sí solo, ya que muchas vulnerabilidades permiten el acceso sin necesidad de usuario o contraseña. Es crucial combinar esta práctica con las técnicas mencionadas anteriormente.
Preguntas frecuentes
1. ¿Quiénes son los "Script Kiddies"?
Un Script Kiddie es un individuo que utiliza Exploits (programas diseñados para explotar vulnerabilidades) creados por profesionales. Usualmente, inician escaneando segmentos de red para ubicar dispositivos vulnerables. Aprovechan información de sitios donde se publican Exploits 0day (vulnerabilidades recién descubiertas), como http://0day.today/.
2. Estoy utilizando una aplicación con desarrollo propio, ¿es segura?
Volviendo al término "Seguridad por Oscuridad", es probable que un programador hábil detecte una vulnerabilidad en minutos. Lo recomendable es utilizar siempre una VPN para acceder a ella.
3. Tengo actualizado mi Software/Firmware y una contraseña "segura", ¿es suficiente?
La respuesta corta es "no". Todos los días se descubren nuevas vulnerabilidades (ver ejemplo en http://0day.today/). Es importante reforzar la seguridad con las demás técnicas mencionadas si el equipo está expuesto a internet.
4. ¿Qué significa "expuesto a internet"?
Significa que existe una forma de acceder, mediante una IP pública y un puerto específico, a su dispositivo o aplicación a través de internet (NAT).
5. Ya estoy cumpliendo todas las técnicas mencionadas, ¿estoy seguro ahora?
Recomendamos leer este artículo de HBR: The Biggest Cybersecurity Threats Are Inside Your Company.
Es muy importante tener también una red interna segura y robusta. Pueden consultar los siguientes artículos para crear VLANs: Crear VLAN en Allied Telesis, Ubiquiti Networks.
6. Mi personal técnico comentó: "Ya está el equipo funcionando, solamente está abierto el puerto 80", ¿es seguro?
Las vulnerabilidades para aplicaciones Web son ahora las más comunes y las más fáciles de explotar. Si definitivamente su aplicación o dispositivo requiere acceso externo, es importante aplicar la "seguridad por oscuridad", asegurar que se utilice la última versión del firmware/software y siempre recomendar la opción de VPN.
7. ¿Cuál es la probabilidad de que alguien explote una vulnerabilidad en mi equipo?
Uno de nuestros servidores detecta 45,000 intentos de ataque por alguna vulnerabilidad al mes; es muy posible que su segmento de red, donde tiene su equipo, reciba una cantidad similar o mayor de intentos.
8. ¿Qué puede suceder si un equipo es "explotado"?
Recordemos que este equipo, además de la información que contiene, también está dentro de nuestra red. Un atacante tendría exactamente las mismas ventajas que alguien conectado físicamente a ella.
Ejemplo: Alguien con acceso a un access point vulnerable en nuestra red tiene acceso a todos los equipos conectados (Puntos de venta, respaldos, Smartphones, etc.).
9. Mi aplicación o dispositivo requiere NAT (Apertura de Puertos / Port Forwarding)
Por favor, lea la técnica de "Seguridad por Oscuridad" mencionada anteriormente. Aún así, es importante mantener el equipo o aplicación actualizado a la última versión. Es crucial ofrecer al cliente la opción de VPN y explicar sus ventajas sobre la exposición directa.