Durante estos días de confinamiento debido al COVID-19, muchas empresas de todos los sectores se han visto empujadas a usar el famoso teletrabajo. Quitando los problemas organizativos asociados al teletrabajo para empresas que no estén familiarizadas con esta práctica como responsables que no creen que los trabajadores estén trabajando si no les ven sentados en su sitio, equipos informáticos lentos o no-portables, etc. me preocupan sobre todo las empresas que han buscado un teletrabajo lowcost, con los riesgos asociados que ahora comentaremos. Tanto tiempo hablando de transformación digital, industria 4.0 y todos esos conceptos… y a la hora de la verdad lo hacemos mal .

Gestión de la Continuidad de Negocio

No es mi intención hablar de Continuidad de Negocio pese a que llevo muchos años trabajando con la norma que se toma como base para la gestión de la Continuidad de Negocio, la ISO 22301. Y no pretendo hablar de esto porque nadie podía preveer una disrupción en el negocio de tal magnitud que tuviera a los trabajadores, proveedores, transportistas y clientes en sus casas durante más de 1 mes. Simplemente no había ningún antecedente de este tipo, por lo que el coeficiente de la Probabilidad en el análisis de riesgos hacía que descartáramos este tipo de amenazas.

Lo que me fastidia es que desde hace meses se habla de ‘transformación digital’, de la modernización de las industrias hacia un enfoque 4.0 (creo que nos hemos saltado el 3… o yo por lo menos no me he enterado) y de la inclusión de la tecnología en todos los sectores… y me temo que en muchas ocasiones esto no era del todo cierto. Muchas empresas se han visto obligadas a suspender actividades, lanzar ERTEs a los trabajadores y hacer poco más que echarse las manos a la cabeza porque en realidad estaban muy lejos de toda esta ‘digitalización’. Algunas de estas son las mismas que nos habían vendido los conceptos de transformación digital en charlas y eventos. Una risa.

Otras, con tal de dar soporte a sus trabajadores y parecer modernas, se han precipitado en abrir los servidores corporativos a Internet sin los requisitos mínimos de análisis y seguridad que hubieran sido deseables, por lo que realizando una búsqueda en Shodan podemos encontrar aberraciones como estas:

Carpetas compartidas a Internet: Ni cortafuegos ni leches, directamente la carpeta compartida accesible desde cualquier parte para que los trabajadores puedan seguir accediendo a los recursos de la empresa.

Escritorio remoto accesible: El escritorio compartido de Windows ha tenido diversas vulnerabilidades a lo largo de su historia que desaconsejan abrirlo directamente a Internet… sin embargo hay nada menos que 36.109 direcciones IP con el escritorio remoto accesible desde cualquier sitio.
BONUS TRACK: Podemos hilar más fino y encontrar por ejemplo Windows XP con el escritorio remoto accesible desde Internet pese a que la vulnerabilidad CVE-2019-0708 nunca fue parcheada por Microsoft.

Hablando de Windows XP: El soporte de Windows XP terminó en 2014… aun así sigue habiendo servicios en Internet publicados desde un Windows XP, con todas las vulnerabilidades que esto conlleva.

2300 bases de datos SQL expuestas solo en Madrid: Está claro que no tenemos el nombre de usuario y contraseña, pero la cantidad de versiones de MySQL expuestas solo en Madrid incluye algunas con graves vulnerabilidades que permiten acceso remoto como root.

Por no hablar de las típicas cámaras de seguridad sin nombre de usuario y contraseña, o con nombres de usuario y contraseña por defecto como admin/1234… pero esto ahora me preocupa menos ya que no se puede salir de casa, por lo tanto nos nos pueden robar en la empresa… en teoría.

Chernóbil la serie

No sé si habéis visto la serie Chernóbil que se publicó en HBO hace unos meses, pero refleja exactamente la idea que os quería transmitir.

Sin ánimo de hacer spoiler de la serie ya que el accidente nuclear de Chernóbil es historia, uno de los errores que llevó a la explosión del núcleo fueron las prisas: el turno de noche tenía que hacer una prueba de seguridad que no se pudo ejecutar durante el día por el grupo que realmente conocía dicha prueba, por lo que la ejecutaron con prisas y sin contar con las instrucciones correctas.

Del mismo modo que se ha demostrado que no es buena idea realizar la prueba de seguridad de una central nuclear por la noche y por un grupo inexperto (suele ser recomendable aplazarla para el día siguiente o para otra ventana de tiempo más propicia), no podemos poner un servidor en producción, abrir un servicio al mundo sin revisar su seguridad o instalar aplicaciones sin comprobar en nuestros dispositivos por la urgencia de realizar teletrabajo desde casa y encontrarnos problemas como los que estamos viendo estos días.

En Chernóbil aprendieron la lección, el responsable de las operaciones del reactor 4 que explotó se pasó 10 años de su vida realizando trabajos forzados… y eso en la antigua Rusia, por lo que os podéis imaginar que esos 10 años no fueron un camino de rosas. No os precipitéis vosotros incorporando tecnologías a vuestra empresa sin las mismas medidas de seguridad, comprobaciones y pruebas que realizaríais en cualquier otro momento.