Esto más que una entrada es una pequeña reflexión mía, y además me gustaría que me dieseis vuestra opinión profesional (en equipos en empresas).
Creo que la pregunta está bastante clara, ¿qué hacemos si nos encontramos con un equipo comprometido dentro de la empresa?
Lógicamente tendríamos que puntualizar más, porque esto podría dar lugar a una conversación de esas de “caña y pipas”, ya que no es lo mismo que encontremos en el equipo un adware, una barra de esas tan chulas que se nos ponen en el navegador o algo por el estilo, que encontrarnos con algún malware algo más avanzado (puñetero).
Supongamos que nuestro sistema de detección de intrusos favorito nos manda un log en el que vemos que un malware se nos ha colado en un equipo, de supongamos un comercial que tiene acceso a datos sensibles de clientes y proveedores, comprometiendo dicho equipo y pudiendo llegar a tener acceso a dicho datos.
Bien, sin entrar en demasiados debates y por lo que estoy pudiendo ver (en los años que llevo trabajando), las “reacciones” más habituales son:
1. Hemos pasado el “antivirus de turno” y el equipo está limpio.
2. Visto el impacto del ataque, hemos decidido optar por formatear el equipo y cargar de nuevo la imagen inicial.
Sinceramente, lo que yo he visto en estos más de 10 años de trabajo, en el 98% de los casos optan por la opción número 1, es decir pasan un antivirus –en la mayoría de los casos gratuito- (sin entrar en la polémica de si hacen o no lo mismo que los de pago, me refiero a que tienen un antivirus en el equipo local, no una solución de servidor, con lo que ello conlleva, sin actualizar, sin análisis programado cada X horas/días/semanas y en algunos casos hasta un Eset pirata [guiño guiño]) y se quedan tan tranquilos. Ni siquiera se molestan en pasar un par de ellos online (que los hay) y obtener “una segunda opinión”.
Yo particularmente, y en el caso del malware algo “puñetero” que puede tener acceso a datos sensibles, no me lo pensaría, formateo el equipo, cargo la imagen con el SO y sus programas y “me quito de problemas”.
Si, ya sé que hay malware que se queda en el arranque y que por mucho que formatees sigue ahí, pero como dije al principio, hablamos de un malware “normalito” no de cosas más avanzadas. Y diréis, para eso le paso el antivirus y a correr (como dice alguien por ahí, que no recuerdo, formatear es de cobardes), y si, efectivamente es una opción “valida” pero quien te dice que no se replica, que no se inyecta en algún otro proceso o que incluso no está evadiendo el antivirus.
Pues esta es la eterna pregunta y la que me gustaría que me contestaseis en la siguiente encuesta, que son 10 segundos.
*Recordar que no estamos hablando de malware super-sofisticado, sino de algo tipo troyano bancario Citadel (Variante de Zeus) por poner otro ejemplo.
Más información:
Roberto García (@1GbDeInfo)
