¿Cuánto daño puede causar un malware?

Esta semana tuve medio abandonado el blog por dos razones: terminé de escribir un pequeño paper que estaba preparando y, por otro lado, tuve que viajar a Buenos Aires por motivos laborales. En un principio les voy a contar una interesante experiencia que viví y que nos enseña un poco respecto a algunas cuestiones de informática y seguridad.

Hace rato que el tema del Malware me interesa particularmente en el ámbito de la Seguridad. Sin embargo, en los últimos años la protección contra virus y todo tipo de archivos maliciosos se volvió a la vez indispensable, pero a la vez insuficiente si se quiere proteger la seguridad de forma completa. Es decir, hace quince años ya teníamos antivirus pero no eran tan importantes otros factores de la seguridad como firewall o detectores de intrusos en la seguridad perimetral.

También es una realidad que mucha gente comenzó a tomar los virus como algo que ‘tiene que estar’; es decir que a nadie la parece muy grave tener uno o dos virus en su Pc. Desde el punto de vista empresarial, he visto varios casos de empresas que consideran que, por el solo hecho de tener algún antivirus instalado en los ordenadores, es suficiente para estar libre de virus, y, en última instancia, tampoco es tan grave si un solo Pc toma un virus. Veamos si es así…

La historia que les voy a contar lo voy a hacer de forma resumida y, obviamente, sin dar detalles concretos sino que me interesa la base de la historia. Entre otras cosas llegamos, con mis compañeros de trabajo, a la empresa para instalar un firewall. Al llegar a la organización nos indicaron que no tenían Internet y, por lo tanto, nosotros no podríamos instalar el firewall. Se nos encomendó la tarea, entones, de investigar las causas y solucionar la falta de Internet en la organización.

No voy a contar los detalles técnicos que se sucedieron a continuación pero les puedo indicar que fueron muchas horas de trabajo intentando descubrir por qué no había Internet. Comenzamos, como bien se debe, por echarle la culpa al proveedor pero, luego de hablar con ellos y analizar mejor la infraestructura pudimos determinar que el enlace a Internet estaba vivo y andando a la perfección. Luego entonces intentamos encontrar la causa interna sobre por qué no se podía acceder a Internet: desechamos problemas en los cables, en los switches, en el mismo firewall, en la topología de red hasta que, finalmente, dimos con la causa.

Les recuerdo nuevamente que esto es un simple resúmen de la historia y que este trabajo de analizar las causas nos llevo varias horas. Descubrimos que una Pc estaba saturando el ancho de banda que tenía la empresa, que no eran pocos: 2 megas. Pudimos descubrir que esta Pc estaba infectada con un malware que generaba tráfico ICMP hacia Internet y saturaba el enlace hasta hacerlo caer. Finalmente le indicamos al personal de sistemas de la empresa que desconecten la Pc de la red y la conexión a Internet se restableció a sus velocidades correctas. También dimos la indicación de hacer un backup de la información y formatear el ordenador infectado.

La historia parece simple pero quiero que refresquemos este hecho: En una organización con más de 400 ordenadores, uno solo infectado con Malware logró que toda la organización estuviera practicamente un día sin Internet, con lo que eso implica para una empresa hoy en día.

De hecho, había enlaces alternativos por los que intentamos salir pero, obviamente al ser la causa interna, estos también se saturaban y se caían.

Me resultó una experiencia interesante poder dimensionar como una simple Pc infectada puede generar en la red daños de magnitud considerable y creo que es un buen ejemplo para que los profesionales en seguridad y sistemas comiencen a prestar más atención a la gestión de malware en la red. Y esto no es una crítica a la organización que me tocó trabajar ya que fue un nuevo cliente y desconozco cómo tratan la gesitón de virus, sino que tengo bastante conocimiento de causa respecto a la importancia que se le da al malware en las organizaciones y el nivel de ignoracia que circula en el mismo personal de sistemas respecto a los daños que este puede causar.

Pueden encontrar más info sobre este tipo de ataques, denominados de denegación de servicio a través de ICMP, en este enlace y en los enlaces que figuran en él.

Como dije al comenzar, la gestión de malware no es la clave de la seguridad, pero sí un primer paso mínimo pero indispensable para trabajar en un plan de seguridad empresarial completo y efectivo.