{"id":26487,"date":"2023-07-05T22:16:27","date_gmt":"2023-07-06T04:16:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26487"},"modified":"2023-07-06T22:17:23","modified_gmt":"2023-07-07T04:17:23","slug":"how-to-protect-ram","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-ram\/26487\/","title":{"rendered":"C\u00f3mo proteger los secretos de la RAM"},"content":{"rendered":"<p>Hace poco los desarrolladores del gestor de contrase\u00f1as KeePass cerraron una vulnerabilidad que permit\u00eda recuperar la <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-32784\" target=\"_blank\" rel=\"noopener nofollow\">contrase\u00f1a maestra de la RAM<\/a>, donde se almacenaba en texto sin cifrar. De esta misma forma, se pueden \u201celiminar\u201d de la memoria fragmentos de otra informaci\u00f3n importante, como mensajes recientes o informaci\u00f3n de bases de datos corporativas. Los desarrolladores de KeePass encontraron r\u00e1pidamente una soluci\u00f3n poco ortodoxa para el problema, pero en la mayor\u00eda de las aplicaciones, las contrase\u00f1as a\u00fan siguen almacen\u00e1ndose en la RAM en texto sin cifrar, lo que las convierte en un punto d\u00e9bil generalizado de los sistemas de seguridad.<\/p>\n<p>Un ataque a la memoria puede sonar ex\u00f3tico y complejo, pero lo cierto es que resulta bastante f\u00e1cil para los ciberdelincuentes lograr uno exitoso, si los administradores no adoptan medidas de protecci\u00f3n especiales.<\/p>\n<h2>C\u00f3mo puede acceder alguien a la memoria del ordenador<\/h2>\n<p>Las \u00e1reas de la RAM utilizadas por las diferentes aplicaciones est\u00e1n en gran medida aisladas entre s\u00ed por el sistema operativo y el hipervisor. Por tanto, no se puede leer un fragmento de memoria en el que se est\u00e1 ejecutando otra aplicaci\u00f3n. Sin embargo, los procesos con privilegios de kernel (<em>sistema<\/em> en Windows, <em>root<\/em> en *nix) s\u00ed pueden hacerlo. Adem\u00e1s, hay varias formas de <a href=\"https:\/\/latam.kaspersky.com\/blog\/nokoyawa-zero-day-exploit\/26204\/\" target=\"_blank\" rel=\"nofollow noopener\">escalar los privilegios<\/a> al nivel requerido, siendo las vulnerabilidades en el sistema operativo o en los <a href=\"https:\/\/latam.kaspersky.com\/blog\/genshin-driver-attack\/25303\/\" target=\"_blank\" rel=\"nofollow noopener\">drivers de los dispositivos<\/a> las m\u00e1s comunes.<\/p>\n<p>Otra forma de acceder a la RAM es a trav\u00e9s de un <a href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/what-is-dma-attack-understanding-mitigating-threat\" target=\"_blank\" rel=\"noopener nofollow\">ataque de DMA<\/a>, que se basa en que las interfaces de alta velocidad (USB 4.0, Thunderbolt, Firewire, etc.) tengan acceso directo a la memoria para acelerar los procesos de E\/S. Un dispositivo especialmente dise\u00f1ado puede abusar de esta funci\u00f3n para leer bits de memoria. Y no se trata de una amenaza hipot\u00e9tica, ha habido casos reales (<a href=\"https:\/\/es.wikipedia.org\/wiki\/Ataque_DMA\" target=\"_blank\" rel=\"noopener nofollow\">FinFireWire<\/a>).<\/p>\n<p>Pero incluso sin dispositivos sofisticados ni vulnerabilidades, \u00a1todav\u00eda sigue siendo factible! Dado que el sistema operativo escribe el contenido de la RAM en los archivos, se puede acceder a la informaci\u00f3n simplemente ley\u00e9ndolos.<\/p>\n<p>Hay varios tipos de archivos de este tipo en Windows:<\/p>\n<ul>\n<li>Los archivos de intercambio temporales (pagefile.sys)<\/li>\n<li>Los archivos guardados de hibernaci\u00f3n (hiberfil.sys)<\/li>\n<li>Los volcados de memoria bloqueados y de depuraci\u00f3n (memory.dmp, minidump). Estos archivos se pueden generar <a href=\"https:\/\/learn.microsoft.com\/es-es\/troubleshoot\/windows-client\/performance\/generate-a-kernel-or-complete-crash-dump\" target=\"_blank\" rel=\"noopener nofollow\">manualmente<\/a>.<\/li>\n<\/ul>\n<p>En Linux, los archivos de <em>intercambio<\/em> e <em>hibernaci\u00f3n<\/em> utilizan una partici\u00f3n de disco especial compartida para estos fines.<\/p>\n<p>Para llegar a uno de estos archivos generalmente se requiere acceso f\u00edsico al ordenador, sin necesidad de conocer las credenciales de acceso ni encender el equipo. Simplemente puedes quitar el disco duro y leerlo en otro ordenador.<\/p>\n<h2>C\u00f3mo evitar un ataque a la memoria<\/h2>\n<p>Dado que hay muchas formas de atacar a la memoria, debes proteger varios niveles a la vez. Algunas protecciones ser\u00e1n f\u00e1ciles de usar para el usuario, as\u00ed que, antes de aplicarlas, considera los escenarios de uso de cada ordenador en tu empresa y eval\u00faa los riesgos.<\/p>\n<h3>Medidas sencillas<\/h3>\n<p>Comencemos con algunas medidas relativamente simples, que se recomiendan en todos los casos sin excepci\u00f3n.<\/p>\n<ul>\n<li><strong>Implementa el principio del m\u00ednimo privilegio<\/strong>. Ning\u00fan usuario deber\u00eda trabajar con derechos de administrador. Incluso los propios administradores deber\u00edan contar con estos privilegios \u00fanicamente cuando realmente los necesitan: durante los procedimientos de mantenimiento.<\/li>\n<li><strong>Implementa sistemas de protecci\u00f3n <\/strong>en todos los ordenadores virtuales y f\u00edsicos. Las empresas deben contar con <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/edr-security-software-solution?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">sistemas de EDR<\/a>. Aseg\u00farate que las pol\u00edticas de seguridad eviten que los empleados ejecuten herramientas leg\u00edtimas, aunque peligrosas, que puedan utilizarse para la escalada de privilegios y los volcados de memoria (Sysinternals, PowerShell, drivers redudantes\/obsoletos, etc.).<\/li>\n<li><strong>Mant\u00e9n actualizados <\/strong>el sistema operativo y todas las aplicaciones.<\/li>\n<li><strong>Aseg\u00farate de que todos los ordenadores se inicien en el modo UEFI, no en BIOS. <\/strong>Actualiza regularmente el firmware de UEFI en todos los ordenadores.<\/li>\n<li><strong>Configura los ajustes de UEFI de forma segura<\/strong>. Desactiva la unidad de gesti\u00f3n de memoria de entrada y salida (IOMMU por sus siglas en ingl\u00e9s) para evitar los ataques DMA. Protege con contrase\u00f1a la UEFI y define el orden de inicio correcto del sistema operativo para reducir las probabilidades de que el sistema se inicie desde medios maliciosos externos y que la configuraci\u00f3n se vuelva insegura.<\/li>\n<\/ul>\n<h2>Unas medidas ambiguas<\/h2>\n<p>Todas las medidas mencionadas en esta secci\u00f3n mejoran considerablemente la seguridad del sistema, pero a veces impactan negativamente en el rendimiento del ordenador, la usabilidad y\/o la capacidad de recuperaci\u00f3n. Todos ellos necesitan una consideraci\u00f3n especial dependiendo del contexto de cada compa\u00f1\u00eda y la implementaci\u00f3n requiere precisi\u00f3n y un despliegue gradual de una prueba en profundidad.<\/p>\n<ul>\n<li>El M\u00f3dulo de plataforma segura de <strong>almacenamiento de claves de hardware<\/strong> basado en TPM 2.0 ofrece una autenticaci\u00f3n segura del sistema operativo, utiliza datos biom\u00e9tricos para iniciar sesi\u00f3n en la cuenta y dificulta la recopilaci\u00f3n de claves. El TPM tambi\u00e9n mejora en gran medida la protecci\u00f3n que brinda el cifrado de disco completo, ya que sus claves tambi\u00e9n se almacenan en este m\u00f3dulo. <strong>Posibles peligros:<\/strong> la falta de un TPM en algunos ordenadores, las combinaciones incompatibles de SO\/hardware o las dificultades con la gesti\u00f3n centralizada de claves, debido a diferentes sistemas y versiones de TPM.<\/li>\n<li><strong>El cifrado de disco completo.<\/strong> Esta medida reduce dr\u00e1sticamente el riesgo de filtraci\u00f3n de datos, sobre todo de port\u00e1tiles perdidos o robados; por lo que se recomienda incluso para aquellos que no temen tanto los ataques de memoria. La implementaci\u00f3n nativa de Microsoft es <a href=\"https:\/\/learn.microsoft.com\/es-es\/windows\/security\/operating-system-security\/data-protection\/bitlocker\/\" target=\"_blank\" rel=\"noopener nofollow\">BitLocker<\/a>, pero tambi\u00e9n existen otras soluciones de terceros. El cifrado de disco completo (FDE por sus siglas en ingl\u00e9s) tambi\u00e9n se ha convertido en parte de muchos sistemas basados en Linux (por ejemplo, en <a href=\"https:\/\/ubuntu.com\/core\/docs\/uc20\/full-disk-encryption\" target=\"_blank\" rel=\"noopener nofollow\">Ubuntu versi\u00f3n 20 y posteriores<\/a>) y generalmente se basa en <a href=\"https:\/\/www.redhat.com\/sysadmin\/disk-encryption-luks\" target=\"_blank\" rel=\"noopener nofollow\">LUKS<\/a>. La combinaci\u00f3n de TPM y FDE ofrece la m\u00e1xima fiabilidad. <strong>Posibles peligros:<\/strong> en caso de accidente grave, no se puede restaurar nada desde la unidad. Por tanto, es m\u00e1s que necesario un sistema de copias de seguridad que funcione correctamente. A veces la unidad experimenta una ralentizaci\u00f3n notable en su rendimiento, especialmente a la hora de arrancar el ordenador.<\/li>\n<li><strong>Deshabilitar el modo de suspensi\u00f3n\/espera.<\/strong> Si deshabilitas el modo de suspensi\u00f3n y dejas solo el modo de hibernaci\u00f3n, las situaciones en las que los atacantes tengan acceso a un ordenador iniciado y parcialmente descifrado vulnerable a ataques DMA y otros m\u00e9todos ser\u00e1n muy escasas. La desventaja de esta soluci\u00f3n resulta obvia, ya que el modo de suspensi\u00f3n suele ser la forma m\u00e1s r\u00e1pida y conveniente de \u201capagar\u201d el ordenador despu\u00e9s del trabajo o al cambiar de ubicaci\u00f3n en la oficina. Si decides seguir este camino, implementa siempre un FDE; de lo contrario, lo m\u00e1s probable es que los empleados utilicen la hibernaci\u00f3n y el archivo de hibernaci\u00f3n quedar\u00e1 indefenso frente a los ataques.<\/li>\n<li><strong>Deshabilitar el modo de hibernaci\u00f3n.<\/strong> Si la hibernaci\u00f3n est\u00e1 deshabilitada, no se puede copiar una imagen de la memoria desde un archivo en un ordenador apagado. En el caso de ordenadores cr\u00edticos, puedes deshabilitar tanto la hibernaci\u00f3n como la suspensi\u00f3n; de modo que estas m\u00e1quinas solo puedan apagarse. Junto con el FDE, el TPM y otras medidas, quedar\u00e1n pocas posibilidades de ataques a la memoria; pero todo esto no ser\u00eda lo m\u00e1s c\u00f3modo para el usuario, por lo que vale la pena pensar seriamente en qu\u00e9 casos estar\u00eda justificada esta estrategia.<\/li>\n<\/ul>\n<h2>Hablando claro<\/h2>\n<p>Si decides que deshabilitar la suspensi\u00f3n o la hibernaci\u00f3n est\u00e1 justificado por razones de seguridad, considera detenidamente para qu\u00e9 usuarios deber\u00eda aplicarse esta pol\u00edtica. Es poco probable que afecte al 100 % de los empleados; m\u00e1s bien, aquellos que trabajan con informaci\u00f3n cr\u00edtica. Debes explicarles que las contrase\u00f1as y otros datos pueden robarse de muchas maneras, por lo que medidas como \u201cusar un antivirus\u201d y \u201cno entrar a estos y otros sitios\u201d no son suficientes para evitar incidentes de seguridad graves.<\/p>\n<p>Es una buena idea hablar sobre cada medida de seguridad, explicando su prop\u00f3sito a los empleados. El cifrado de disco completo ofrece protecci\u00f3n contra la simple copia de datos de un ordenador olvidado o robado, as\u00ed como contra los <a href=\"https:\/\/latam.kaspersky.com\/blog\/evil-maid-attack\/20706\/\" target=\"_blank\" rel=\"nofollow noopener\">ataques de evil maid<\/a>, es decir, un desconocido con acceso f\u00edsico al dispositivo. La desactivaci\u00f3n de la suspensi\u00f3n e hibernaci\u00f3n refuerza estas medidas de seguridad, por lo que los cinco minutos adicionales necesarios para encender y apagar el ordenador ayudar\u00e1n a garantizar que el empleado no sea el chivo expiatorio si su contrase\u00f1a se usa en un ciberataque.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>\u00bfQu\u00e9 puede robarse de la RAM y qu\u00e9 tiene que ver el archivo hiberfil.sys con todo esto? <\/p>\n","protected":false},"author":2722,"featured_media":26488,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2795,3539],"tags":[638,427,92,893,5905,5841,2056,810,5906,79],"class_list":{"0":"post-26487","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-amenazas","11":"tag-ataques","12":"tag-contrasenas","13":"tag-linux","14":"tag-memoria","15":"tag-ram","16":"tag-tecnologias","17":"tag-uefi","18":"tag-volcados","19":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-ram\/26487\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-ram\/25844\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-ram\/21285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-ram\/28542\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-ram\/26143\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-ram\/28964\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-ram\/35642\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-ram\/48518\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-ram\/20793\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-ram\/21495\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-ram\/30302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-ram\/26456\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-ram\/32153\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-ram\/31837\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ram\/","name":"RAM"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26487"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26487\/revisions"}],"predecessor-version":[{"id":26489,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26487\/revisions\/26489"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26488"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}