Alejandro Nieto
El recienteataque a los NAS de marca QNAP conransomwareha puesto nervioso a más de un propietario de esta solución para almacenar datos. Al finalun NAS puede servir de protección ante los borrados(accidentales o no) de datos pero si están comprometidos se convierte en un problema adicional.
Evitar elmalwarede una forma 100% segura es imposible, pero aquí vamos a dar unos consejos paraminimizar la probabilidad de vernos afectadospor este tipo de ataques si tenemos unNAS, sea de la marca que sea.
Actualizar el software
Lo primero, aunque sea un poco de perogrullo, estener el NAS actualizado. Siempre hay que usar la última versión software disponible del sistema operativo y de las aplicaciones que estemos usando. Esto permite que los únicos fallos de seguridad de los que se pueden aprovechar los creadores demalwaresean loszero-day, es decir, los que todavía no han sido descubiertos por el fabricante.
Para hacer esto más llevadero lo mejor es configurar el NAS para realizaractualizaciones de forma automática. Por lo menos de los paquetes de software, el sistema operativo puede requerir algo más de supervisión.
Y si no tenemos habilitada la auto-actualización porque preferimos supervisar el proceso al menos hay que habilitar algún tipo de aviso en el móvil para que nos indiquecuándo hay actualizaciones. No hay que olvidar que a veces el NAS se usa de forma continua pero desde distintos entornos (aplicaciones) y quizá no veamos el centro de notificaciones.
No usar el usuario de administrador
Teniendo actualizado el NAS se limita mucho los posibles problemas, pero igual que los usuarios tienen muchas maneras de acceder al NAS, elransomwaretambién. La mayor parte de los casos de encriptación de datos en los NAS no viene por fallos de seguridad de los mismos, sino porun PC comprometido en la red que tiene el NAS como una unidad más de datos.
Y es que una forma muy habitual de usar el NAS es como una unidad más de red. Y si un ordenador de la red ha sido infectado conransomwarey está autenticado como administrador en el NAS,tiene capacidad para encriptar de forma remota toda la unidad.
Aunque puede parecer que usar el usuario de administrador no es algo muy frecuente (y efectivamente es así en entornos empresariales) a nivel doméstico sí que es bastante habitual. Si estamos en esa situación lo recomendado espasar a usar un usuario con permisos normales.
Para hacer este procedimiento menos tedioso basta con crear una nueva cuenta de administrador y una vez hecho estologuearnoscon ella y quitar los permisos a la que ya estábamos usando. A partir de ahora para instalar nuevos paquetes o cambiar configuraciones habrá que hacer login con esta nueva cuenta de forma exclusiva.
Además para tener más seguridad esta cuenta de administrador debería tener establecidala autenticación en dos pasos(cosa que permiten varias marcas de NAS), para evitar que un robo de claves sea suficiente para loguearse.
No usar la cuenta de administrador no impide que un PC conransomwareen la red pueda encriptar todos los archivos de dicho usario del NAS, perosi establecemos backups y snapshots por parte del administrador, los datos podrían ser recuperados.
Realizar backups del NAS
Tanto para evitarransomwarecomo para afrontar el imprevisto de un fallo hardware del NAS (de los discos duros) es importanterealizar backups de los datos. Los NAS proporcionan muchas facilidades para hacerlo.
Existen múltiples servicios en la nube para realizar estos backups y basta con instalar desde la cuenta de administrador la aplicación correspondiente y configurar la cuenta del servicio en la nube para realizar la tarea.
Dropbox, Amazon S3, Google Drive y un largo etcétera de servicios en la nube están disponibles para hacer estos backups, solo hay que elegir por precios y funcionalidades y empezar a usar uno para tener los datos más seguros. El backup puede ser continuo o realizarse a alguna hora concreta de la noche para evitar cargar al NAS durante las horas de uso más intensivo.
Si el servicio en la nube permite recuperar versiones antiguas de los archivos estaremos mejor protegidos ante un ataque deransomware, ya que si tardamos en darnos cuenta de que somos víctimas de un ataquelos backups también podrían estar encriptados.
Es importante que el usuario habitual no sea el que realice los backups, ya que en caso de robo de contraseñas por acceso a través de carpeta de redelmalwarepodría deshabilitar el backup o incluso borrarlo.
Usar snaptshots
Algunos NAS (como Synology o QNAP) tienen la posibilidad dehabilitar la creación de snapshots. Esto permite que cuando se crea o modifica un archivo en realidad lo que se hace es escribir únicamente los cambios en el sistema de archivos.
Gracias a esta funcionalidad es posible ir atrás, como si fuera una máquina del tiempo, para recuperar versiones antiguas de los archivos.Justo una funcionalidad ideal en caso de ser atacados porransomware.
Es importante, de nuevo, no usar de forma habitual la cuenta de administrador y tenerla bien protegida (contraseña complicada, autenticación en dos pasos) paraevitar que un software sofisticado deshabilite lossnapshotsantes de encriptar los archivos.
Normalmente el mayor temor de habilitar lossnapshotses la ocupación del disco duro, pero realmente no ocupan mucho, ya que lo único que se hace es almacenar las diferencias cuando hay cambios en los archivos, que suelen ser pequeñas. Ante un borrado de archivos grandes sí que se mantendría la ocupación anterior. Para reducir el uso de disco duro lo ideal es limitar lossnapshotsdurante un tiempo, por ejemplo mantener uno diario durante una semana (para recuperar borrados accidentales) y luego uno mensual durante varias semanas (para protegernos ante un ataque porransomware).
Con estos consejos un ataqueransomwareno es inevitable, pero desde luego complican mucho la consecución del objetivo:que la única forma de recuperar los datos sea pagando un rescate. Un rescate que, además, nunca garantiza que realmente recuperemos los datos pues debemos confiar en criminales para que nos proporcionen las claves.
