Seguridad del NAS: 7 buenas prácticas para mantener tus datos a salvo

Fiabilidad
Resumen

Proteger el almacenamiento conectado a la red (NAS) es crucial para salvaguardar los datos valiosos de los ciberdelincuentes.

Su dispositivo de almacenamiento conectado a la red (NAS) contiene una gran cantidad de activos digitales. Tanto si son valiosos para otras personas como si no, son importantes para usted y un objetivo para los delincuentes.

La seguridad y su NAS

Se han producido varios ataques generalizados y de gran repercusión contra dispositivos de almacenamiento conectados a la red. El ataque Qlocker de 2021 se dirigió contra dispositivos QNAP, aprovechando una vulnerabilidad en el software incluido para ejecutar un ataque de ransomware. Al parecer, los autores de la amenaza ganaron unos 350.000 dólares en un solo mes.

Tal vez en un intento de evitar ser detectados, la banda Qlocker ha cerrado el negocio, y todos los sitios web relacionados han sido retirados.

Se trata de una tendencia preocupante, ya que significa que la última oleada de víctimas no tiene forma de pagar el rescate y adquirir sus claves de descifrado. Su único recurso es purgar su NAS y restaurar sus datos a partir de copias de seguridad.

Synology también ha tenido su ración de exploits y ataques. El ransomware SynoLocker apareció por primera vez en 2013 y sigue reapareciendo en nuevas variantes.

Los dispositivos NAS están en el punto de mira porque, para un ciberdelincuente, un NAS es un premio tan valioso como un servidor. Está lleno de datos valiosos. Un ataque de ransomware puede ser devastador para la víctima. Muchos pagarán para recuperar sus datos.

Un NAS tiene dos ventajas añadidas desde el punto de vista del atacante. Suelen ser más fáciles de comprometer que un servidor y, muy a menudo, no cuentan con copias de seguridad. Eso significa que la víctima no tiene más opción que pagar por la clave de descifrado del ransomware.

Siempre que los ciberdelincuentes sigan proporcionándolas, claro.

7 buenas prácticas para proteger tu NAS

1. Haga una copia de seguridad de su NAS

Es probable que un NAS sea uno de los mayores repositorios de datos de su red. Puede que incluso sea el más grande. Eso plantea un problema a la hora de hacer copias de seguridad. ¿Qué capacidad tiene para aceptar sus copias de seguridad? Pero si no tiene una copia de seguridad a la que recurrir, está a merced de los ciberdelincuentes.

Sin una solución de copia de seguridad sólida y probada, tendrá que pagar el rescate y esperar que la clave de descifrado funcione.

A menudo se utiliza un NAS para almacenar las copias de seguridad de la red. Es rápido hacer copias de seguridad en él y, al ser local, también es rápido restaurarlo. Pero sin una copia de seguridad del propio NAS, estás exponiendo a tu organización a un riesgo.

La única opción sensata para la mayoría de los dispositivos NAS es la copia de seguridad externa. Hacer copias de seguridad en un servicio en la nube es una forma de dar cabida a dispositivos de gran capacidad como un NAS.

Si su organización gestiona diferentes sucursales o centros, pueden organizarse para realizar copias de seguridad entre sí, siempre que tengan la capacidad necesaria y su infraestructura pueda gestionar el ancho de banda.

Establezca y cumpla un calendario de pruebas de las copias de seguridad. Compruebe periódicamente que sus copias de seguridad son fiables. Tienes que saber que se hacen cuando se supone que deben hacerse. Deben almacenarse de forma segura y sin degradación ni corrupción.

Tus copias de seguridad deben ser accesibles bajo demanda y capaces de restaurar tus datos de forma rápida y literal.

2. Cambie las contraseñas por defecto

Cambie todas las contraseñas predeterminadas de su NAS. No hacerlo equivale a dejar sus instalaciones abiertas y desatendidas toda la noche. Sencillamente, no lo haría.

Por las mismas razones, cambie sus contraseñas predeterminadas.

Cambie la contraseña de la cuenta de administrador predeterminada y de cualquier otra cuenta que permita a alguien iniciar sesión o conectarse a su NAS, como una cuenta SSH. Haga que sus contraseñas sean sólidas y únicas. Tres palabras sin relación entre sí unidas por símbolos de puntuación o números es una buena plantilla a adoptar.

La mayoría de los dispositivos NAS permiten crear un nuevo usuario y asignarle derechos de administrador. Hacerlo y eliminar los derechos de administrador de la cuenta de administrador predeterminada -o eliminar por completo la cuenta de administrador predeterminada- es una técnica especialmente minuciosa.

El malware del atacante no podrá utilizar métodos de fuerza bruta contra la cuenta de administración predeterminada, y no conocerá el nombre de tu cuenta de administración real.

3. Utilice la autenticación de dos factores

Si su dispositivo lo admite, active la autenticación de dos factores. Esto requiere que utilices una llave USB segura o una aplicación de smartphone registrada para recibir o generar tokens o códigos para cada intento de inicio de sesión. Los tokens o códigos se utilizan además del ID y la contraseña de tu cuenta de usuario (cosas que sabes) para proporcionar otra forma de identificación (algo que tienes).

Con la autenticación de doble factor activada, el ID y la contraseña de tu cuenta de usuario son insuficientes para acceder a ella. Incluso si tus credenciales de usuario se ven comprometidas, un atacante no puede acceder a tu cuenta.

4. Desactive las aplicaciones y servicios que no utilice

Los dispositivos NAS modernos vienen listos y cargados con un conjunto de herramientas y aplicaciones. Cuanto más software tenga en ejecución, mayor será su superficie de ataque. Y, por supuesto, parte de ese software tendrá sus propias vulnerabilidades. El malware Qlocker aprovechaba una vulnerabilidad del software de gestión multimedia de QNAP.

El Centro de paquetes de Synology le permite instalar WordPress en su Synology NAS. Las instalaciones de WordPress sin parches y desactualizadas son notoriamente inseguras.

Desactive todo lo que no utilice. En concreto, desactive FTP, telnet, Wi-Fi Protected Setup (WPS) y SSH si no los utiliza. Asimismo, revise las aplicaciones incluidas con el NAS y desactive o desinstale todo lo que no utilice.

Aunque nunca las hayas utilizado, es posible que tengan servicios o demonios en ejecución que acepten conexiones y puedan contener vulnerabilidades.

5. Parchee su NAS y su software

Asegúrese de que su sistema NAS, su firmware y cualquier software incluido que siga utilizando estén actualizados con parches de seguridad y versiones de corrección de errores. El software obsoleto albergará vulnerabilidades y le expondrá cada vez más a riesgos con el paso del tiempo.

Utilice las funciones de análisis antimalware o antivirus que pueda tener su NAS. Siempre que sea posible, programe análisis automáticos para que se realicen con regularidad.

6. Garantice una conectividad remota segura

Si su NAS debe estar expuesto a Internet para permitir la conexión remota, debe tener en cuenta estos pasos y aplicar los que correspondan.

Reenvío de puertos
Los protocolos de comunicación y conexión utilizan números de puerto predeterminados. Por ejemplo, el puerto SSH predeterminado es el puerto 22. Cerrando el puerto 22 en su cortafuegos evitará que se acepten conexiones en ese puerto. Esto evitará ataques de fuerza bruta.

Para que pueda seguir realizando conexiones SSH, puede elegir cualquier otro puerto disponible y hacer que su cortafuegos reenvíe el tráfico que llega por ese puerto a la dirección IP de su NAS, en el puerto 22. Su NAS podrá captar el tráfico que llega por ese puerto. Su NAS podrá recibir solicitudes de conexión SSH entrantes con normalidad.

Lo ideal es configurar claves SSH para conexiones SSH seguras y sin contraseña.

Bloqueo de IP
Es probable que su NAS tenga la capacidad de bloquear automáticamente las direcciones IP que hayan realizado un número determinado de intentos de conexión incorrectos. Si su NAS admite el bloqueo automático de IP, actívelo.

El geobloqueo es una forma de bloqueo de IP que impide cualquier tipo de conexión desde una dirección IP que se encuentre dentro de los rangos de direcciones IP asignados a países o regiones. Esto es útil porque puedes poner fácilmente en una lista negra países enteros desde los que sabes que nunca habrá una solicitud de conexión válida.

Si tu NAS no admite el geobloqueo, comprueba tu cortafuegos. Si se trata de un modelo actual, es posible que disponga de funciones de geobloqueo.

Habilite SSL/TSL
Si puede conectarse a su NAS desde un navegador, asegúrese de que ha habilitado el protocolo cifrado HTTPS y de que tiene instalado un certificado SSL/TSL válido. El fabricante de su NAS le proporcionará un conjunto de instrucciones que le indicarán cómo obtener e instalar un certificado SSL/TSL desde la interfaz de gestión administrativa de su dispositivo.

Un certificado OpenSSL es gratuito.

Utilizar una VPN
La mayoría de los dispositivos NAS admiten servidores VPN que permiten conectarse a ellos a través de una red privada virtual. Estas redes utilizan un túnel cifrado para la comunicación entre los dos extremos de la conexión.

Las marcas de NAS más conocidas admiten VPN directamente o mediante el uso de complementos.

Protección contra la denegación de servicio
Un ataque de denegación de servicio inunda el dispositivo víctima con tráfico de red hasta el punto de que no puede distinguir ni responder al tráfico de red auténtico. De hecho, el dispositivo queda fuera de línea.

Activar la protección contra la denegación de servicio suele ser tan sencillo como marcar una casilla de verificación en la configuración de tu NAS.

7. No olvide su red

Tu NAS está en tu red, así que la seguridad de tu red afecta a la seguridad de tu NAS. Asegúrate de que el router, el cortafuegos y otros dispositivos de red estén actualizados, bien configurados con contraseñas nuevas y con los parches al día.

Y, por supuesto, muchas de tus preocupaciones de seguridad desaparecerán si no está expuesto a Internet en absoluto. A menos que sea imprescindible, no expongas tu NAS al mundo exterior.

Temas relacionados

Artículos relacionados

Marshall Gunnell
Technology Writer
Marshall Gunnell
Editor

Marshall es un experimentado escritor técnico y entusiasta de los videojuegos con sede en Tokio. Es un profesional en el arte de las palabras con cientos de artículos destacados en VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, y mucho más. Sus escritos han llegado a una audiencia masiva de más de 70 millones de lectores.