Cambiar las credenciales por defecto de hardware y software es crítico para evitar ataques

Las empresas que no proceden a cambiar las credenciales por defecto de hardware y software se exponen a que los delincuentes se cuelen en sus sistemas

Hace unos días, un grupo delictivo iraní fue capaz de colarse en los sistemas de una planta de gestión de agua en Estados Unidos. ¿Tuvo que llevar a cabo un sofisticado ataque para conseguirlo? En realidad no, la planta usaba credenciales por defecto de hardware y software. A los delincuentes les bastó con probar una contraseña tan compleja y difícil de desentrañar como 1111.

¿Qué son las credenciales por defecto de hardware y software? Son las claves con las que los dispositivos y los programas llegan a manos de las empresas. Y se caracterizan por ser extraordinariamente sencillas: 1234, admin, password, etc.

¿Por qué son tan simples y, por lo tanto, vulnerables? Los productores buscan facilitar la configuración inicial de los dispositivos y los programas.

Las credenciales por defecto de hardware y software han sido concebidas para ser usadas única y exclusivamente durante el proceso de configuración, una vez que los dispositivos y las soluciones están correctamente configuradas es imprescindibles cambiar las contraseñas para optar por claves robustas que no sean vulnerables a los ciberataques.

Además, los expertos en ciberseguridad recomiendan cambiar las contraseñas cada cierto tiempo y, en el caso de los programas, implementar la autenticación multifactor, si es posible. ¿Por qué? La seguridad del software empresarial es esencial para las empresas, puesto que de ella depende su continuidad de negocio y la protección de información tan sensible como:

• Datos de clientes y trabajadores.
• Propiedad industrial.
• Planificación financiera.
• Estrategia comercial.

Consecuencias de usar credenciales por defecto de hardware y software

¿Cuál es el principal peligro de no cambiar las credenciales por defecto de hardware y software? Que los dispositivos y programas se conviertan en una puerta abierta para los delincuentes. De tal forma que estos puedan:

• Tomar el control de dispositivos vulnerables para crear botnets que les permitan lanzar ataques contra empresas, por ejemplo, mediante ataques DDoS.
• Instalar malware en los dispositivos empresariales para: espiar (spyware), secuestrar datos (ransomware) o, incluso, destruirlos (wiper).
• Acceder a software empresarial crítico y recolectar información crítica y confidencial que sirva para: extorsionar a la empresa, vendérsela a la competencia, comercializarla en la Dark Web o realizar fraudes contra sus clientes y trabajadores.
• Realizar ataques de cadena de suministro contra empresas de las que el negocio atacado es proveedor.

¿Cuáles son las posibles consecuencias a las que se enfrentan las empresas que no cambian todas las credenciales por defecto de hardware y software?

• Menoscabo de la continuidad de negocio al tener que pasar a offline múltiples servicios y sistemas para contener un ataque.
• Pérdidas económicas directas si la actividad productiva o comercial se ve afectada por el incidente. A lo que debemos sumar el coste de gestionar un incidente de seguridad con éxito.
• Daños reputacionales severos si en el ataque se ve expuesta información sobre los clientes.
• Sanciones por infringir la normativa de protección de datos o de ciberseguridad.
• Indemnizaciones a clientes y trabajadores que sufren diversas clases de ciberestafas como consecuencia de la exposición de sus datos personales durante el incidente sufrido por la empresa.

La importancia de inventariar los dispositivos y programas que se usan en un negocio

¿Eres consciente de cuántos dispositivos conectados a internet, programas y aplicaciones usa tu empresa? Para poder responder a esta pregunta con certeza es indispensable contar con un inventario de hardware y software que facilite la tarea de:

• Cambiar las credenciales por defecto de hardware y software tras realizar la configuración inicial.
• Guardar de forma segura las nuevas credenciales de dispositivos y programas.
• Realizar un reseteo de credenciales periódico.
• Comprobar que las credenciales de la infraestructura tecnológica de la empresa son robustas y que no se han visto expuestas en incidentes de seguridad.
• Recordar periódicamente a los profesionales que cambien las contraseñas de sus cuentas de usuario en programas y plataformas.
• Instalar todas las actualizaciones de seguridad lanzadas por los productores de hardware y software para evitar que dispositivos o programas desactualizados puedan ser empleados para atacar a la empresa.

Para ser conscientes de la importancia de realizar estas acciones podemos recurrir a un dato: el 71% de los routers empresariales operan con credenciales por defecto que jamás se han cambiado. Muchos de ellos no están configurados de manera segura y no se actualizan nunca. De ahí que puedan convertirse en targets sencillos para delincuentes que buscan colarse en los sistemas de una empresa.

Los dispositivos empleados en hospitales e infraestructuras críticas, en el punto de mira

Ordenadores, móviles, routers, dispositivos IoT… Las empresas emplean un amplio abanico de hardware que debe ser protegido.

Lo que venimos de afirmar es válido para cualquier sector económico, pero es aún más relevante en sectores como el sanitario, el energético o el de la gestión de agua potable. ¿Por qué?

Estos sectores no son solo críticos para el tejido productivo, sino para el propio bienestar de las personas y el funcionamiento básico de nuestra sociedad.

Además, se tratan de sectores cuya infraestructura tecnológica es amplia, sofisticada y delicada. Y donde la dependencia de la tecnología es total.

La amenaza que suponen las credenciales por defecto de hardware y software es especialmente sensible para los hospitales y centros sanitarios. ¿Por qué? Usan software para gestionar los historiales médicos de sus pacientes, controlar el stock del material sanitario, organizar sus citas, gestionar sus espacios y un largo etcétera de actividades esenciales.

Pero, además, trabajan cada vez más con dispositivos IoT médicos: equipamientos de cirugía, toda clase de máquinas y para realizar pruebas y dispositivos para monitorizar el estado de salud de los pacientes. Pensemos, por ejemplo, en los marcapasos que transmiten información en tiempo real sobre el estado de un corazón. Si alguno de estos dispositivos tiene credenciales por defecto, un delincuente podría tomar su control, acceder a sus datos y provocar que deje de funcionar o que sea necesario apagarlo por motivos de seguridad.

Las credenciales por defecto de hardware y software suponen una amenaza para hospitales y centros médicos que puede pasar desapercibida, pero que resulta crítica para su seguridad y la de sus pacientes.

¿Qué pasa con las credenciales por defecto de hardware y software que pertenece a los trabajadores?

Si ya es difícil evitar que las credenciales por defecto de hardware y software corporativo subsistan durante meses o años y pongan en peligro la seguridad de una empresa, es importante tener en cuenta que:

• Los profesionales de los negocios no trabajan solo desde las sedes de sus empresas.
• Los trabajadores no usan únicamente dispositivos corporativos para prestar sus servicios.

La digitalización, las mejoras en la movilidad y la conectividad, el auge del teletrabajo… Lo digital ha diluido las fronteras físicas de los espacios de trabajo. Un abogado puede usar el ordenador de su despacho para gestionar sus expedientes, pero también puede consultar información desde su móvil personal o trabajar desde casa o desde el juzgado con su tablet.

Por eso, es fundamental que la misión de cambiar las credenciales por defecto de hardware y software se extienda a los dispositivos personales que los trabajadores pueden emplear para realizar sus tareas diarias: ordenadores, tablets, móviles, routers de casa, etc.

De ahí que sea fundamental que los negocios cuenten con manuales de buenas prácticas en materia de ciberseguridad que permitan a los trabajadores saber con precisión qué prácticas deben implementar en su día a día y qué actuaciones han de erradicar.

Cambiar las credenciales por defecto de hardware y software no solo sirve para proteger a las empresas, sino que redunda en una mayor seguridad de los propios trabajadores.