Como editor de vídeo u otro profesional de la posproducción, probablemente no podrías funcionar sin tu dispositivo de almacenamiento conectado. Y precisamente por eso es tan importante proteger tu conexión de almacenamiento..
Al fin y al cabo, los dispositivos de almacenamiento conectados, como el almacenamiento en red (NAS), son considerados objetivos especialmente jugosos por los ciberdelincuentes. Esto se debe a que:
- A menudo contienen datos muy valiosos (es decir, profesionales y empresariales), lo que motiva mucho más a las víctimas a pagar un rescate.
- A menudo no tienen copia de seguridad.
- Generalmente son más fáciles de comprometer que un servidor gestionados por TI.
Existen muchos tipos diferentes de almacenamiento digital conectado, desde almacenamiento en la nube (como Amazon S3, Azure Blob Storage y Google Cloud Storage), a redes de área de almacenamiento (SAN) y dispositivos de almacenamiento en red (NAS).
Este artículo se centra en un Conexión de almacenamiento NAS detrás de un router de red doméstica o de oficina al que se puede acceder desde fuera de la red doméstica o de oficina. Pero la mayoría de estos puntos sobre la seguridad de la conexión de almacenamiento podrían aplicarse a cualquier almacenamiento conectado localmente.
Índice de contenidos
Más colaboración, menos configuración
MASV simplifica la ingesta de datos actuando como punto de entrada seguro y unificado a los destinos de almacenamiento compartido.
El panorama de amenazas de Storage Connection
El investigador de seguridad Jacob Holcomb dispositivos NAS auditados de 10 fabricantes diferentes en 2014. ¿El resultado? Todos ellos contenían vulnerabilidades potencialmente devastadoras.
Aunque la seguridad del almacenamiento conectado ha mejorado indudablemente desde entonces, los dispositivos de almacenamiento conectados siguen sufriendo ataques generalizados:
- Los dispositivos NAS de Synology sufrieron ataques en 2021 y en el último año.
- Los dispositivos QNAP fueron el objetivo del ataque ransomware Qlocker de 2021.
- NAS Western Digital fueron atacados a través de una vulnerabilidad de ejecución remota de código en 2021.
- Más recientemente, en abril se informó de que casi 100.000 NAS D-Link contienen una vulnerabilidad de puerta trasera.
Los peligros de dejar puertos abiertos
Los piratas informáticos no tienen por qué explotar una vulnerabilidad para entrar en tu sistema o cuenta de almacenamiento si no tomas las precauciones adecuadas.
Abrir o reenviar puertos en tu router para permitir el acceso remoto al almacenamiento conectado puede ser un gran riesgo, por ejemplo.
Ataques de botnets a Dispositivos de almacenamiento NAS son muy comunes. Y si esas redes de bots encuentran un puerto abierto utilizado por su NAS u otro almacenamiento conectado, es casi seguro que intentarán entrar por fuerza bruta para robar sus credenciales de administrador (y luego robar o cifrar sus datos para pedir un rescate).
Y si dejas un puerto abierto mientras utilizas la cuenta "admin" por defecto de tu dispositivo de almacenamiento, es mucho más fácil para los atacantes llevar a cabo un ataque de fuerza bruta con éxito, ya que no tienen que adivinar el nombre de usuario de tu cuenta (más sobre esto más adelante).
Los expertos en almacenamiento conectado afirman que se ha producido un notable repunte de este tipo de ataques a dispositivos NAS en los últimos años. Por eso es imprescindible comprobar y actualizar la seguridad de tu NAS al menos una vez al año.
Cómo proteger su conexión de almacenamiento
Además de las medidas de ciberseguridad habituales, como el uso de contraseñas complejas (las frases de contraseña son mejores) y el mantenimiento de los sistemas parcheados y actualizados, ¿qué más puede hacer para proteger su conexión de almacenamiento y sus datos? Proteja sus archivos?
Al fin y al cabo, asegurar y mantener tu propio dispositivo conectado implica mucha más responsabilidad que una conexión a Google Cloud Storage, por ejemplo.
Antes de hacer cualquier otra cosa, deberías:
- Configure su dispositivo de almacenamiento para que utilice una conexión HTTPS, que cifra el tráfico de red entre él y otros dispositivos.
- Asegúrate de tener instalado un certificado SSL/TSL válido (normalmente puedes obtener e instalar un certificado a través de la interfaz de administración del dispositivo).
- Implemente un almacenamiento de seguridad, por si algo malo le ocurre a sus datos.
Aquí tienes una lista de otras medidas que puedes tomar para bloquear tu conexión de almacenamiento como parte de tus mejores prácticas de gestión de datos.
Proteja su red
Empecemos por lo básico: Mantener su red doméstica o de oficina segura es imprescindible, ya que es ahí donde probablemente resida tu almacenamiento conectado. Mantén siempre el router, el cortafuegos y otros dispositivos de red relativamente nuevos, actualizados y configurados con contraseñas nuevas.
Para proteger tu router, primero encuentra la dirección IP de tu router. Escríbelo en la barra de direcciones de tu navegador. Desde allí puedes acceder a tu router y añadir todo tipo de configuraciones de seguridad útiles, como:
- Desactivación de WPS.
- Activación de los inicios de sesión HTTPS.
- Desactivar el acceso remoto.
- Activación del cifrado WPA2.
- Actualización del firmware.
- Activar el registro por si ocurre algo.
También puedes actualizar tu contraseña (y cambiar el nombre de usuario actual de tu router desde el predeterminado "admin") mientras estás conectado.
Hablando de cambiar nombres de usuario...
Desactiva la cuenta de administrador de tu dispositivo de almacenamiento
La mayoría de los dispositivos de almacenamiento conectados tienen por defecto el nombre de usuario "admin". Debería cambiarlo inmediatamente. Esto se debe a que los hackers saben que admin es un nombre de usuario común por defecto, y tratan de aprovecharse de ello con ataques de fuerza bruta.
Vea este vídeo para ver un ejemplo de lo que puede ocurrir cuando un usuario del Synology NAS deja abiertos los puertos 5000 o 5001: Miles de intentos de inicio de sesión de entidades desconocidas en un breve espacio de tiempo, todos ellos utilizando el nombre de usuario "admin".
Para desactivar la cuenta de administrador, simplemente crea una nueva cuenta con privilegios de administrador que no se llame admin. A continuación, desactive la cuenta de administrador original. Esto ayudará a evitar un gran número de ataques de fuerza bruta.
Activar el bloqueo de IP y nombres de usuario
Muchos dispositivos de almacenamiento conectados, como los de Synology o QNAP, vienen con una función de bloqueo automático que bloquea una IP específica si el NAS detecta demasiados intentos de inicio de sesión fallidos a la vez.
La mayoría de los dispositivos también permiten personalizar las reglas de bloqueo automático. Por ejemplo, puedes configurarlo para que bloquee una dirección IP tras 10 intentos fallidos en un plazo de cinco minutos.
💡 Nota: Para asegurarte de que no te quedas accidentalmente fuera de tu propio NAS, puedes configurar el bloqueo automático para desbloquear una dirección IP después de un tiempo determinado.
Los dispositivos NAS de Synology y QNAP también ofrecen funciones de protección de cuentas para supervisar (y eventualmente bloquear) los intentos repetidos de inicio de sesión desde el mismo nombre de usuario. O las empresas pueden utilizar Fail2Banun demonio de prevención de intrusiones que protege contra los ataques de fuerza bruta prohibiendo las IP que generan múltiples intentos fallidos.
El bloqueo de un nombre de usuario puede ser más eficaz para mitigar los ataques de botnets que el bloqueo de IP. Esto se debe a que las redes de bots son capaces de alternar entre miles de direcciones IP de máquinas infectadas.
Utilice 2FA o MFA adaptable
Ni que decir tiene que si tiene la opción de activar el doble factor (2FA) o autenticación multifactor (MFA) en tu dispositivo, deberías (esto vale para casi todo). La mayoría de los dispositivos NAS con 2FA o MFA requieren una llave USB segura o una aplicación autenticadora para generar un código único al iniciar sesión.
Esto significa que, aunque un pirata informático consiga acceder de algún modo a tu nombre de usuario y contraseña, también tendrá que entrar en tu correo electrónico o teléfono para acceder a tu almacenamiento conectado. La mayoría de los piratas informáticos no se molestarán en hacer esto (a menos que se hayan fijado específicamente en ti).
De hecho, activar la 2FA puede ser especialmente eficaz porque muchos piratas informáticos se centran en objetivos blandos que no requieren mucho trabajo para penetrar.
Además de activar la 2FA, algunos dispositivos permiten la autenticación multifactor adaptativa, lo que significa que a cualquiera que intente iniciar sesión desde una dirección IP inusual se le pedirá automáticamente que proporcione credenciales adicionales. Si tienes esta opción, deberías activarla también.
Activar el cortafuegos NAS y la protección DoS
Los dispositivos NAS y otros dispositivos de almacenamiento conectados suelen venir con cortafuegos incorporados, que debería aprovechar. Pero algunos dispositivos NAS no activan sus cortafuegos de forma proactiva. Los usuarios tienen que hacerlo manualmente.
Dicho esto, siempre es una buena idea configurar y activar el cortafuegos de tu NAS.
Si eres un editor de vídeo o un profesional de la postproducción que sólo trabaja con colaboradores de determinados países, también puedes activar el cortafuegos geobloqueo para bloquear a cualquier persona de cualquier región con la que no trabajes. El bloqueo geográfico suele hacerse por países.
Dado que muchos ciberataques en Estados Unidos se originan en el extranjero, la implantación del geobloqueo puede reducir el volumen de ataques contra su conexión de almacenamiento en órdenes de magnitud.
Al igual que configura el cortafuegos de su dispositivo, también debe activar manualmente la protección contra ataques de denegación de servicio (DoS) en su dispositivo.
Proteja sus puertos
El escaneo de puertos para detectar puertos abiertos es el equivalente en ciberseguridad a sacudir la manilla de la puerta de un coche para ver si está abierta: Es fácil de hacer, se hace todo el tiempo y puede llevar al desastre. Un comentarista de Reddit que supervisa los escaneos de puertos en su cortafuegos informó de hasta 10 por segundo.
Por eso es importante:
- Deja tus puertos cerrados a menos que sea absolutamente necesario. Una práctica básica de seguridad para conexiones seguras es cerrar todos los puertos que no necesites para comunicaciones externas.
- Ten cuidado con el número de puerto que dejas abierto. Ya hemos mencionado los puertos 5000 y 5001; el puerto 22, también, es popular entre los atacantes porque está asociado con el protocolo Secure Shell (SSH) y es un puerto por defecto para conexiones de dispositivos remotos. Eso significa que, como muchos de los números de puerto que ya hemos mencionado, está sujeto a más intentos de inicio de sesión no autorizados que otros números de puerto menos populares.
En cualquier caso, mantener los puertos abiertos o permitir el reenvío de puertos (que permite a servidores remotos acceder a dispositivos de tu red de área local (LAN) privada, lo que puede llevar a que los atacantes tomen el control de tus dispositivos) es intrínsecamente peligroso.
Sin embargo, existen formas de conectar el almacenamiento a la Web sin necesidad de hacerlo. Cuando se trata de dispositivos NAS Synology, algunos expertos en seguridad recomiendan utilizar Conexión rápida en lugar del método de conexión DDNS del dispositivo, ya que QuickConnect no requiere reenvío de puertos.
El inconveniente de QuickConnect, sin embargo, es que se considera extremadamente lento cuando se exporta un archivo o carpeta de gran tamaño a colaboradores o clientes a través de Internet.
Utilizar una VPN
Una de las formas más eficaces de proteger sus conexiones de almacenamiento es utilizar una red privada virtual (VPN) para añadir una capa de cifrado a todo su tráfico de red, lo que hace mucho más difícil que los atacantes se introduzcan en su sistema.
La mayoría de los dispositivos NAS permiten incluso crear su propio servidor VPN.
Sin embargo, el principal inconveniente de utilizar una VPN es que puede resultar engorroso utilizarlas cuando se trabaja con clientes o socios. Probablemente no quieras dar a un cliente acceso a tu VPN para que pueda descargar un archivo o carpeta de gran tamaño de tu NAS, por ejemplo.
Las VPN tampoco son la panacea en materia de seguridad. No pueden aplicar políticas de autenticación ni permisos de usuario, y permiten que usuarios remotos se conecten desde dispositivos dañados (dejando tu red expuesta).
Cambiar el número de puerto por defecto
La "seguridad por oscuridad" tiene mala reputación en los círculos de ciberseguridad porque no es del todo eficaz y puede conducir a una falsa sensación de seguridad. Ciertamente, no es una técnica de seguridad sólida por sí sola, pero puede tener cierto valor cuando se utiliza junto con otras salvaguardas de seguridad más sustanciales y eficaces.
Por eso algunos aconsejan cambiar el número de puerto por defecto utilizado por el almacenamiento conectado:
- Un NAS Synology, por ejemplo, utiliza de forma predeterminada los puertos 5000 (para conexiones HTTP) y 5001 (conexiones HTTPS). Por este motivo, los hackers que buscan vulnerar un NAS suelen husmear en estos puertos en busca de objetivos fáciles.
- Si te apetece, también puedes cambiar los números de puerto por defecto de tu router para las conexiones HTTP (80), HTTPS (443) y SSH (22). Puedes cambiar tus puertos a cualquier número entre uno y 65.535.
El principal inconveniente de cambiar los números de puerto es que los usuarios deben estar al tanto de las actualizaciones o no podrán acceder al NAS.
Y aunque los atacantes pueden escanear y encontrar cualquier número de puerto en uso con bastante facilidad, es probable que sólo lo hagan si se han dirigido específicamente a usted. y no se limitan a probar los números de puerto más populares en una expedición de pesca.
Recopile datos sin abrir puertos con la ingesta centralizada de MASV
Proteger tu conexión de almacenamiento no es difícil, pero requiere un poco de esfuerzo y diligencia. Para proteger su NAS conectado u otros dispositivos de almacenamiento, debe tener en cuenta lo siguiente:
- Mantenga la seguridad de su red.
- Deshabilitar la cuenta de administrador de tu dispositivo de almacenamiento.
- Activar el bloqueo de IP y nombres de usuario.
- Utilizar 2FA o MFA adaptativo.
- Cambiar el número de puerto por defecto.
- Habilitar el cortafuegos de su NAS y la protección DoS.
- Proteja sus puertos.
- Utilizar una VPN.
La mayoría de las medidas anteriores son de baja fricción y fáciles de implementar, pero desafortunadamente aún pueden dejarlo en riesgo ante un atacante decidido.
Otras técnicas, como el uso de Synology QuickConnect o una VPN, pueden causar dolores de cabeza en torno al rendimiento y otras variables al envío o recepción de archivos de gran tamaño o conjuntos de datos.
Ingesta centralizada de MASVpor otro lado, permite a los usuarios centralizar su proceso de ingestión de datos a través de un único punto de entrada a cualquier almacenamiento conectado, ya sea en las instalaciones o en la nube. Se trata de un punto de entrada seguro y unificado a destinos de almacenamiento compartidos, que ayuda a reducir la carga de TI y de seguridad en torno a la configuración y gestión de múltiples plataformas de almacenamiento y usuarios remotos.
Conexión de su almacenamiento local conectado a MASV no requiere el reenvío de puertos ni la apertura de ningún puerto. Los usuarios pueden recopilar archivos de sus colaboradores mediante un cargador web seguro del portal MASV sin necesidad de conceder acceso directo al almacenamiento o a la red. MASV es un servicio de transferencia de archivos verificado por Trusted Partner Network (TPN) con cifrado robusto y controles de gestión de accesoy que cumple las normas ISO 27001, SOC 2 y otras normas de protección de datos.
Con la ingesta centralizada, usted o su equipo de TI pueden definir fácilmente la ruta de ingesta y restringir el acceso de carga a un único bucket o carpeta, en lugar de a todo el sistema de almacenamiento.
Regístrate en MASV y pruebe Centralized Ingest hoy mismo y consiga 20 GB gratis.
Conéctate al NAS sin abrir los puertos
Utilice MASV Centralized Ingest para almacenar datos en la nube o en almacenamiento conectado on-prem sin necesidad de abrir puertos o reenviar puertos.