Una de cada cuatro nuevas amenazas informáticas está diseñada para infectar los ordenadores a través de dispositivos USB, lo que provoca que más del 40% de las pequeñas y medianas empresas del mundo sufran infecciones por este motivo. Establecer procedimientos y políticas para regular el uso de estos dispositivos en la empresa es algo que todas deberían poner en marcha cuanto antes. Aquí te ofrecemos recomendaciones, buenas prácticas y una guía para saber utilizar el Control de Dispositivos de ESET Endpoint.
2. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
32
Índice
ESET Whitepaper - Control de Dispositivos 4-6
• Los riesgos
• Soluciones al problema
ESET ENDPOINT y el Control de Dispositivos 6-13
• Dispositivos externos admitidos
• Funcionamiento
• Buenas prácticas
Conclusiones 13
3. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
54
Una de cada cuatro nuevas amenazas informáticas está diseñada
para infectar los ordenadores a través de dispositivos USB, lo que
provoca que más del 40% de las pequeñas y medianas empresas del
mundo sufran infecciones por este motivo. De hecho, un tercio de las
infecciones de las empresas son debidas al hecho de utilizar unidades
de almacenamiento de memoria extraíble.
Los dispositivos de almacenamiento extraíble (memorias USB, discos
duros portátiles, tarjetas de memoria, CD’s…) son un complemento
más de nuestro día a día, casi tan imprescindible como un ordenador
o teléfono móvil, pero a la vez son tan pequeños y discretos que no les
prestamos el nivel de atención y seguridad necesarios. ¿Cuántas veces
hemos escuchado pedir un USB o disco duro para poder compartir un
archivo, ese último informe o toda una recopilación de materiales a
un compañero que acaba de incorporarse al proyecto?
Este tipo de prácticas pueden tener consecuencias indeseadas si no
tomamos las medidas de seguridad adecuadas. Por ejemplo, pode-
mos infectar la red corporativa a través de un USB que contenga al-
gún tipo de malware.
Los riesgos principales a los que exponemos nuestros dispositivos son
el extravío, el acceso a la información contenida por personas no au-
torizadas o la infección por virus.
Cada organización debe disponer de una política de uso de dispositi-
vos de almacenamiento externo, conocida por todos los empleados,
que indique cuestiones sobre si su uso está o no permitido, y en caso
de que sí esté permitido, qué tipo de información puede y no almace-
narse en ellos.
La prevención y el sentido común son las claves principales para evitar perder o sufrir un incidente de seguri-
dad por el mal uso de los dispositivos.
Si vamos a almacenar información sensible o confidencial en un dispositivo externo, debemos utilizar
siempre discos duros y USBs corporativos debidamente protegidos y con las medidas de seguridad adecua-
das según lo establecido en la política de uso de dispositivos de almacenamiento externo corporativo. Debe-
mos almacenarlos en lugares seguros e informar al departamento de informática de cualquier incidente que
pueda ocurrir (robo, perdida etc.)
En el caso de que utilicemos un dispositivo personal para almacenar información no confidencial (por
ejemplo, una presentación corporativa, manuales o instrucciones de un producto o servicio para mostrar a
un cliente, etc.) por seguridad, debemos aplicar las mismas medidas de protección establecidas en la organi-
zación para los dispositivos personales (Bring Your Own Device, BYOD), cumpliendo con las políticas de uso
de estos medios (formateo previo, cifrado, borrado seguro, etc.)
Debemos tener especial cuidado con la información altamente sensible que manejamos de nuestra orga-
nización, y añadir medidas de seguridad adicionales para evitar que esta información pueda ser sustraída o
robada, bloqueando los puertos USB en los equipos que contengan este tipo de información.
Aquellos dispositivos extraíbles que sean de tipo promocional o no estemos seguros de por qué manos
han pasado con anterioridad,no debemos usarlos en el ámbito laboral bajo ningún concepto,y mucho menos
«estrenarlos» con un equipo corporativo. Este tipo de dispositivos debemos prepararlos convenientemente,
examinando que no contengan ningún tipo de malware e incluso formateando el dispositivo previamente
para usarlo de forma segura, evitando el riesgo de infecciones mediante código dañino ejecutable o similar.
Ya está preparado el dispositivo, pero… si trabajamos con información altamente confidencial, ¿tenemos la
certeza de que tiene la capacidad de proteger aquello que vaya a contener?
Los riesgos
El uso de estos y otros dispositivos puede tener consecuencias indeseadas para la empresa si no tomamos
las medidas de seguridad adecuadas.
Los riesgos principales a los que exponemos nuestros dispositivos son la infección por virus, el extravío y
el acceso a la información contenida por personas no autorizadas. Mantener bajo control todos los datos
e información generada en la empresa es fundamental.
Podríamos clasificar estos riesgos en dos:
• Las amenazas internas, como por ejemplo, empleados que se convierten en puntos de fuga de informa-
ción utilizando dispositivos portátiles o Internet.
• Las amenazas externas, que también aparecen cuando alguien no autorizado se hace con un equipo
informático de la empresa. Situaciones de extravío o robo de un ordenador portátil, un teléfono móvil o
un disco duro USB o un uso indebido de estos en el domicilio de algún empleado.
!
¿Cómo prevenir?
Informe ejecutivo
4. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
76
La manera de minimizar los problemas derivados de la utili-
zación de este tipo de dispositivos pasa por un escenario con
tres tipos de regulaciones de seguridad proactiva:
Soluciones al problema
Establecer adecuadas políticas internas de seguridad que regulen su uso. En la medida de lo posible,
es mejor establecer un marco de actuación corporativa donde exista la autorización de uso de este
tipo de dispositivos de manera controlada que prohibirlo totalmente, dado que es frecuente que dicha
prohibición se pase por alto en momentos de necesidad puntual.
Implementar una adecuada estrategia de formación y de concienciación sobre la problemática
que puede derivarse de la utilización de forma libre y sin regulación de este tipo de dispositivos. De esta
manera, los usuarios serán los que prevengan los potenciales riesgos corporativos.
Por último, establecer medidas de seguridad desde el área de administración de sistemas o de segu-
ridad asegurará que los usuarios se enfrenten a una problemática con una significativa reducción de
los riesgos.
Dispositivos externos admitidos:
1
2
3
Las dos primeras medidas dependen única y exclusivamente de las empresas y de su organización externa, pero
los productos de ESET pueden ayudar significativamente en la implementación, administración y gestión de la
seguridad de este tipo de dispositivos si se configuran de la forma adecuada las soluciones de seguridad empresa-
riales de ESET.
Los productos de seguridad ESET Endpoint incluyen la función “Control de dispositivos” que puede ayudar a los ad-
ministradores de la seguridad de las empresas a hacer cumplir las políticas de seguridad respecto al uso de los
diferentes dispositivos dentro de la empresa.
ESET Endpoint permite controlar los dispositivos automáticamente (CD, DVD, USB, etc.) pudiendo analizar, blo-
quear o ajustar los filtros y permisos ampliados, así como establecer los permisos de un usuario para acceder a un
dispositivo dado y trabajar en él. Esto puede ser útil cuando el administrador del ordenador quiere impedir que los
usuarios utilicen dispositivos con contenido no solicitado.
Si se inserta un dispositivo que está bloqueado por una regla, se muestra una ventana de notificación y se prohíbe
el acceso a dicho dispositivo.
ESET ENDPOINT y el Control de Dispositivos
• Impresora USB
Las impresoras actuales ofrecen varias maneras para conectarse a
un ordenador. Una de las formas más comunes de conexión de la
impresora al ordenador es vía USB (Universal Serial Bus), aseguran-
do la compatibilidad con la mayoría de los ordenadores personales.
Esta conexión se realiza a través de un cable de datos.
• Almacenamiento FireWire
IEEE 1394 (conocido como FireWire por Apple Inc. y como i.Link por
Sony) es un tipo de conexión para diversas plataformas, destinado
a la entrada y salida de datos en serie a gran velocidad. Suele utili-
zarse para la interconexión de dispositivos digitales como cámaras
digitales y videocámaras a ordenadores.
•Dispositivo Bluetooth
Bluetooth es una especificación industrial para Redes Inalámbricas
de Área Personal (WPAN) que posibilita la transmisión de voz y da-
tos entre diferentes dispositivos mediante un enlace por radiofre-
cuencia en la banda ISM de los 2,4 GHz. Los principales objetivos
que se pretenden conseguir con esta norma son:
- Facilitar las comunicaciones entre equipos móviles.
- Eliminar los cables y conectores entre éstos.
- Ofrecer la posibilidad de crear pequeñas redes inalámbri
cas y facilitar la sincronización de datos entre equipos
personales.
Los dispositivos que con mayor frecuencia utilizan esta tecnología
pertenecen a sectores de las telecomunicaciones y la informática
personal, como PDA, teléfonos móviles, ordenadores portátiles y de
sobremesa, impresoras o cámaras digitales.
5. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
98
•Lector de tarjetas inteligentes
Una tarjeta inteligente es una pequeña tarjeta de plástico que
contiene un chip informático.Los usuarios usan las tarjetas inte-
ligentes junto con los números de identificación personal (PIN)
para iniciar una sesión en una red, un equipo o un dispositivo. El
uso de tarjetas inteligentes es más seguro que usar contraseñas
porque para una persona ajena es más difícil sustraer la tarjeta y
averiguar el PIN que aprenderse la contraseña.
Por lo general, las tarjetas inteligentes las emiten los departa-
mentos de tecnología de la información (TI) de grandes organi-
zaciones.
Para usar una tarjeta inteligente, debe tener también un lector
de tarjeta inteligente, que es un dispositivo que se instala en el
equipo o se conecta a él, y que puede leer la información alma-
cenada en una tarjeta inteligente.más seguro que usar contra-
señas porque para una persona ajena es más difícil sustraer la
tarjeta y averiguar el PIN que aprenderse la contraseña.
•Módem
Un módem es un periférico utilizado para transferir información
entre varios equipos a través de un medio de transmisión por ca-
ble (por ejemplo, las líneas telefónicas).
•Puerto LPT/COM
El puerto LPT rara vez se encuentra en los ordenadores de hoy.
Se trata de un conector especial para conectarse a una impreso-
ra. Algunos equipos tenían un número de puertos LPT, en cuyo
caso, se los conocía como“LPT1”,“LPT2”, etc.
Un puerto serie o puerto serial (COM) es una interfaz de comu-
nicaciones de datos digitales, frecuentemente utilizado por or-
denadores y periféricos, en donde la información es transmitida
bit a bit enviando un solo bit a la vez, en contraste con el puerto
paralelo que envía varios bits simultáneamente. La compara-
ción entre la transmisión en serie y en paralelo se puede explicar
con analogía con las carreteras. Una carretera tradicional de un
sólo carril por sentido sería como la transmisión en serie y una
autovía con varios carriles por sentido sería la transmisión en
paralelo, siendo los coches los bits.
•Dispositivo portátil
Los dispositivos portátiles, como los equipos de mano, los repro-
ductores de audio portátiles y las cámaras digitales suelen co-
nectarse al equipo mediante un cable USB (bus serie universal).
Algunos dispositivos portátiles también se pueden conectar a
través de tecnologías inalámbricas, como Bluetooth e infrarro-
jos.
• Almacenamiento en disco:
-El disco duro externo es un sistema de almacenamiento
de información que se suele conectar al ordenador a través
de USB o Firewire, aunque hay algunos que mantienen las
conexiones SCSI o SATA de los discos duros internos.
-La memoria USB (Universal Serial Bus) es un tipo de dis-
positivo de almacenamiento de datos que utiliza memoria
flash para guardar datos e información. Se le denomina
también lápiz de memoria, lápiz USB o memoria externa,
siendo innecesaria la voz inglesa pen drive o pendrive.
• CD/DVD
-CD-R: es un disco compacto de 650 MB de capacidad que
puede ser leído cuantas veces se desee, pero cuyo conteni-
do no puede ser modificado una vez que ya ha sido graba-
do. Dado que no pueden ser borrados ni regrabados, son
adecuados para almacenar archivos u otros conjuntos de
información invariable.
-CD-RW: posee la capacidad del CD-R con la diferencia de
que estos discos son regrabables, lo que les da una gran
ventaja. Las unidades CD-RW pueden grabar información
sobre discos CD-R y CD-RW y además pueden leer discos
CD-ROM y CDS de audio. Las interfaces soportadas son
EIDE, SCSI y USB.
-DVD-ROM: es un disco compacto con capacidad de almacenar 4.7 GB de datos en una cara del disco, un
aumento de más de 7 veces con respecto a los CD-R y CD-RW. Y esto es en una sola cara. Existen medios
de DVD-ROM capaces de almacenar datos en ambas caras del disco, y usar medios de doble capa para
permitir a las unidades leer hasta cuatro niveles de datos almacenados en las dos caras del disco, dando
como resultado una capacidad de almacenamiento de 17 GB. Las unidades DVD-ROM son capaces de leer
los formatos de discos CD-R y CD-RW. Entre las aplicaciones que aprovechan la gran capacidad de alma-
cenamiento de los DVD-ROM tenemos las películas de larga duración y los juegos basados en DVD que
ofrecen vídeos MPEG-2 de alta resolución, sonido Dolby AC-3, y poderosas gráficas 3D.
-DVD-RAM: este medio tiene una capacidad de 2.6 GB en una cara del disco y 5.2 GB en un disco de doble
cara. Los DVD-RAM son capaces de leer cualquier disco CD-R o CD-RW pero no es capaz de escribir sobre
estos. Los DVD-RAM son regrabables pero los discos no pueden ser leídos por unidades DVD-ROM.
•Dispositivo de imagen
Otros dispositivos que solemos conectar al ordenador son las
cámaras digitales o escáneres. Las cámaras digitales normal-
mente disponen de un espacio para el almacenamiento de da-
tos, en este caso imágenes, que puede ser interno o externo (a
través de tarjetas de memoria).
6. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
1110
El Control de dispositivos se habilita desde la configuración avanzada de ESET Endpoint. Para ello
deberemos acceder desde el menú Configuración > Especificar configuración avanzada.
Funcionamiento
Dentro de la configuración avan-
zada, dentro de Equipo >
Control de dispositivos tendre-
mos la posibilidad de activar el
Control de dispositivos y de con-
figurar las reglas necesarias para
lograr que los equipos cumplan
con las políticas de seguridad de
la empresa.
A continuación se mencionan los elementos más importantes de la ventana del Editor de reglas de con-
trol de dispositivos:
a. La casilla Habilitado activa o desactiva una regla; esta función puede ser utilizada si no desea
eliminar una regla de manera permanente para así poder aplicarla en el futuro.
b. Los botones Agregar o Editar permiten administrar una regla y abrir la ventana del Editor de
reglas. Presione Copiar para crear una nueva regla con opciones predeterminadas utilizadas en
otra regla seleccionada.
c. Las líneas de código XML visualizadas cuando se hace clic sobre una regla pueden ser copiadas
al portapapeles o ayudar a los administradores del sistema a exportar/importar esa información
y hacer uso de ella, por ejemplo en ESET Remote Administrator.
La opción Integración del sistema
integra el Control de dispositivos
en ESET Endpoint Security y activa
el botón Configurar reglas... para
acceder a la ventana del Editor de
reglas de control de dispositivos.
Si al medio extraíble insertado se le aplica a una regla existente que efectúa la acción Bloquear, aparecerá una
ventana de notificación en el vértice inferior derecho de la pantalla y el acceso al dispositivo no será permitido.
d. Haciendo clic derecho sobre
una regla aparecerá el menú con-
textual, en el cual podrá definir el
nivel de detalle de las entradas de
registro de una regla. Las entradas
de registro pueden visualizarse
accediendo a la ventana principal
de ESET Endpoint Security > Herra-
mientas > Archivos de registro.
e. Presionando la tecla CTRL y ha-
ciendo clic podremos seleccionar
múltiples reglas y aplicar acciones
tales como eliminarlas o moverlas
dentro de la lista.
Agregando reglas al Control de dispositivos
El Editor de reglas del control de dispositivos nos permitirá crear o modificar una regla de filtrado
para un dispositivo externo existente. Para ello realizaremos los siguientes pasos:
a. Pulsar el botón Agregar localizado a la derecha de la ventana Editor de reglas de control de
dispositivos.
b.En el campo Nombre introduciremos la descripción para la regla; así podremos lograr una
identificación más sencilla.
c. La casilla Habilitado nos permitirá activar la regla o deshabilitarla si la dejamos desmarcada;
esta operación puede resultar útil en el caso de que no desee eliminar la regla de manera per-
manente.
1 Configuración
3
2 Reglas del Control de dispositivos
El Editor de reglas de control de dispositivos muestra las reglas existentes y aplicables a disposi-
tivos externos en una lista que contiene una gran cantidad de descripciones de reglas tales como
nombre, tipo de dispositivo externo, acción a realizar después de insertar un dispositivo en su
equipo y el nivel de registro.
7. ESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOSESET / WHITEPAPER 2015 / CONTROL DE DISPOSITIVOS
1312
Buenas prácticas
e. En el menú desplegable Derechos indicaremos el permiso que se le concederá al dispositivo:
Bloquear – El acceso al dispositivo no será permitido.
Solo lectura – El usuario puede leer los archivos contenidos dentro de un determinado medio extraíble.
Lectura/Escritura – Control total sobre un dispositivo extraíble.
Todas las acciones no se encuentran disponibles para todos los tipos de dispositivos. Si un dispositivo posee espacio de alma-
cenamiento, las tres opciones se mostrarán disponibles. Para aquellos dispositivos que no permiten el almacenamiento de
datos solo se podrán seleccionar dos acciones (por ejemplo, la acción Solo lectura no puede seleccionarse para Bluetooth, lo
cual indica que ese dispositivo particular solo puede ser permitido o bloqueado).
f. Información correspondiente al dispositivo:
Proveedor – Filtrado por medio del nombre o ID del fabricante.
Modelo – El nombre otorgado al dispositivo.
Número de serie – Los dispositivos externos normalmente poseen su propio número de serie. En el caso de
un CD/DVD, existe un número de serie del medio, no de la unidad de CD.
Si las tres descripciones mencionadas arriba se encuentran vacías, la regla ignorará esos campos a la hora de buscar coinci-
dencias.
g. En la Lista de usuarios elegiremos la lista de usuarios/grupos deseados, a los cuales queremos que se aplique esa
regla utilizando los siguientes botones:
Agregar – Abre la ventana Selección de Usuarios o Grupos.
Eliminar – Permite quitar del filtro al usuario seleccionado.
h. Finalmente, para guardar la regla creada pulsaremos el botón Aceptar y saldremos de la ventana del Editor de
reglas. Haga clic en Aceptar en las dos ventanas restantes para salir de la Configuración avanzada del producto.
Así de simple es crear diferentes reglas para permitir o bloquear los dispositivos que creamos necesarios.
d. En el campo Tipo de dispositi-
vo seleccionaremos dentro del
menú desplegable el tipo de me-
dio extraíble al cual se aplicará
la regla (USB/Bluetooth/FireWi-
re/...).
El proceso de clasificación para asig-
nar dispositivos específicos dentro
de grupos es administrado por el
sistema operativo MS Windows.
También podrá utilizar el Adminis-
trador de dispositivos de Windows
para verificar si el dispositivo conec-
tado pertenece a un grupo deseado
de dispositivos que aparecen en la
lista desplegable Tipo de dispositivo.
De no ser así, la regla para ese tipo
de dispositivo no será aplicada.
Además de aplicar estas políticas de uso en los diferentes dispositivos de la empresa, se deben tener en cuenta
otra serie de buenas prácticas de seguridad a la hora de trasladar información fuera de la empresa o de trabajar
con información confidencial. Entre ellas destacamos las siguientes:
Utilizar, en la medida de lo posible, discos duros y USBs corporativos debidamente protegidos y con las
medidas de seguridad adecuadas, almacenándolos en lugares seguros e informando al departamento de
informática de cualquier incidente.
Evitar el uso de dispositivos personales para almacenar información corporativa en la medida de lo posi-
ble. Y en caso de tener que utilizarlos hacerlo cumpliendo con las políticas de uso de estos medios (formateo
previo, cifrado, borrado seguro, etc.).
No usar dispositivos extraíbles de tipo promocional o sobre los cuales tengamos desconocimiento. Este
tipo de dispositivos debemos prepararlos convenientemente, examinando que no contengan ningún tipo de
malware e incluso formateando el dispositivo previamente para evitar infecciones.
Utilizar el cifrado total de los discos duros y el cifrado de dispositivos extraíbles.
Utilizar el borrado seguro de la información confidencial, con la certeza de que nadie podrá acceder a
los datos una vez eliminados. Existen tres métodos de borrado seguro: destrucción física del dispositivo,
desmagnetización y sobrescritura. En función del tipo de dispositivo se podrá utilizar uno u otro método de
borrado seguro.
Conclusiones
Nunca estaremos protegidos al 100% contra un robo de información o virus. Hay amenazas internas y externas
que están presentes en todo momento y pueden provocar una fuga de información a terceros. Por eso, estable-
cer procedimientos y políticas contra este tipo de problema es algo que cada empresa debería poner en marcha
cuanto antes.
La prevención, el sentido común y la educación son las claves principales para evitar perder o sufrir un incidente
de seguridad debido a un mal uso de este tipo de dispositivos.