¿Qué es un sistema NAS y cómo nos afecta?

Network Attached Storage (NAS) es una solución habitual para gestionar archivos compartidos en redes corporativas, ya sean para empresas, entornos de enseñanza, o centros de datos con compartición de datos entre diferentes clientes.

En los sistemas NAS, las unidades de almacenamiento se utilizan como una alternativa al almacenamiento en los servidores independientes. Esto hace que sea muy fácil para las empresas distribuir información entre diferentes equipos y departamentos, sin necesidad de invertir en costosos sistemas de TI.

Estas unidades NAS, simplemente son dispositivos con muchas bahías de discos y un sistema operativo capaz de interactuar con los usuarios de la red local. El acceso a la red local se efectúa a través del protocolo de red Windows SMB (Server Message Blocks). O bien en los sistemas basados en Linux utilizan NFS (Network File System) o FTP (File Transfer Protocol) como protocolo de transferencia.

El almacenamiento conectado a la red suele estar optimizado para ofrecer las velocidades elevadas. Los grupos de usuarios pueden conectarse a dispositivos NAS y examinar los datos que almacenan, sin tener de utilizar discos duros en los propios servidores físicos.

Esto significa que los sistemas NAS tienden a ser mucho más fáciles de crear y mantener, por lo que son la solución de red más eficiente y escalable actualmente.

¿Qué tan seguro es NAS?

En relación con la seguridad, depende de muchos factores. Las actualizaciones de seguridad en equipos NAS suelen tardar más tiempo en emitirlas que los desarrolladores de Windows o iOS. Durante ese período, se debe ir con mucho cuidado y limitar todo lo que se pueda el acceso al NAS desde el exterior.

Lo más importante es el uso que se haga. Por ejemplo, abrir demasiados puertos puede dar opciones a que los intrusos lleguen hasta los datos. O no cambiar las contraseñas predeterminadas es la mejor manera de poner en riesgo los datos.
Un robo o un incendio probablemente tiene más posibilidades de destruirlo que algún hacker que pueda acceder. Por eso, tener una copia de seguridad independiente sin conexión o en la nube es de vital importancia.

Debilidades de un NAS

Un NAS tiene varias debilidades potenciales que deben tenerse en cuenta, aunque estas se pueden estudiar y mitigar.

La mayoría de los sistemas NAS tienen defensas integradas como, por ejemplo, la autenticación con contraseña. Esto quiere decir que no están totalmente indefensos. Dicho esto, hay ciertas amenazas críticas que se deben tener en cuenta.

Seguridad de contraseñas

A veces, los procedimientos de autenticación incorporados en los sistemas de seguridad NAS pueden ser, de por sí, una amenaza por derecho propio. Es muy importante no descuidar los propios riesgos que conlleva la clave.

Las contraseñas débiles se pueden adivinar o forzar con fuerza bruta mediante el uso de herramientas digitales con relativa facilidad. Es por eso por lo que, lo primero que hay que hacer siempre (y no solo en estos equipos, sino en todos), es cambiar las contraseñas predeterminadas. Dado que los servidores NAS están conectados directamente a la red, pueden estar muy expuestos a posibles ataques de contraseñas.

No todas las organizaciones utilizan prácticas estrictas de seguridad personal. Esto puede conducir al robo de los detalles de la contraseña o la filtración de datos a través de prácticas como el uso de aplicaciones de trabajo en redes wifi no seguras.

Por lo tanto, aunque las medidas de seguridad del NAS ayudan, nunca pueden ser suficientes para garantizar la integridad completa de los datos.

Accesos a través de otros dispositivos de red

Los servidores NAS se pueden conectar directa o indirectamente a una amplia gama de otros dispositivos. Por lo general, a equipos de la misma red. Sin embargo, los dispositivos inteligentes que están conectados al IoT (Internet de las cosas), a veces también pueden estar involucrados.

Últimamente, se están levantando alarmas sobre los dispositivos conectados IoT, siendo dirigidos por piratas informáticos, que luego utilizan esos dispositivos para propagar malware a través de las redes corporativas.

Es fácil imaginar que las unidades conectadas al NAS se infecten de esta manera, lo que potencialmente ofrece a los atacantes acceso sin restricciones a los datos que esas unidades tienen.

Malware y virus

También hay muchas preocupaciones por la posible exposición del NAS al malware y los virus. Incluso ha habido casos de dispositivos NAS dirigidos por malware.

En 2017, apareció un agente llamado SecureCrypt, que utilizó el resquicio legal de SambaCry NAS para tomar el control de los servidores. Después de cifrar los datos en unidades victimizadas, SecureCrypt exigía un «rescate» en bitcoin para desbloquear el contenido, o la unidad se haría inutilizable.

Esto siguió al ataque de StuxNet a las instalaciones nucleares iraníes, que atravesaron dispositivos NAS e IoT mal securizados. Así que se ha demostrado cómo, incluso las grandes empresas, podían ser desconectados por atacantes.

Inyección de comandos

Otra debilidad común a la que el NAS es propenso es la inyección de comandos. Más importante aún, los fabricantes luchan cada vez más para contrarrestar esta vulnerabilidad. Básicamente, los ataques de inyección de comandos permiten a los atacantes no autorizados tomar el control de las unidades de almacenamiento conectado a la red, dándoles privilegios raíz que solo los administradores de red deben poseer.

Los hackers han informado de técnicas de inyección de comandos relativamente simples para tomar el control de los servidores NAS de LG, mientras que las unidades de empresas como Buffalo, Western Digital y ZyXEL han sido objeto de ataques.

Casi ningún dispositivo NAS se ha encontrado que está completamente protegido contra ataques de inyección de comandos.

Cómo mejorar la seguridad del NAS

El almacenamiento conectado a la red no es 100% seguro. Sin embargo, sigue siendo una solución muy buena tanto para empresas como para particulares. Y además, los beneficios de respaldar fácilmente los datos y la posibilidad de compartir archivos supera el peligro de piratería o virus.

Sin embargo, eso no significa que debamos ignorar los riesgos asociados con los NAS. En realidad, hay algunas maneras accesibles y efectivas de bloquear el equipo NAS contra atacantes malintencionados.

Implementar la seguridad de contraseñas seguras

Los empleados deben cambiar regularmente sus contraseñas y elegir contraseñas de cierta dificultad. Proteger todas las cuentas con autenticación de dos factores (2FA). Uno de los métodos más comunes es el uso de una aplicación de autenticación en su teléfono.

El firmware del NAS debe actualizarse periódicamente

Pero esto debería ser extensible a todo tipo de equipos. Los atacantes siempre están buscando maneras de descifrar el firmware del NAS y tienden a tener éxito con el tiempo. Después de unos meses, prácticamente ningún sistema operativo NAS puede considerarse totalmente seguro, lo que resulta en la necesidad de parches y revisiones al por mayor.

También es importante actualizar el software antivirus.

Nunca utilizar cuentas de administrador predeterminadas

Esto puede sonar evidente, pero es importante. Cuando se instalan servidores NAS, normalmente proporcionan la opción de usar el nombre de usuario predeterminado «admin«. Puede parecer de sentido común asignar este nombre de usuario en particular al administrador del NAS. Sin embargo, hacerlo sería un gran error.

Asegurar la conexión y puertos

Debe habilitarse HTTPS en lugar de HTTP para proteger el tráfico entrante y saliente. También debe asegurarse de que la conexión FTP también es segura.
Deben cerrarse todos los puertos que no se necesiten para la comunicación con el exterior. Otra buena idea es cambiar los puertos predeterminados: esto reducirá el número de ataques a un NAS. Se recomienda cambiar al menos los puertos HTTP, HTTPS y SSH.

Hacer uso de su firewall NAS

La mayoría de los sistemas NAS vienen con firewalls y no hay razón para desactivarlos. Los firewalls funcionan registrando usuarios legítimos y negando el acceso a cualquier otra persona. Esto hace que sean una gran primera línea de defensa contra posibles atacantes.

Habilitar la protección dos

Habilitar la protección contra ataques de denegación de servicio (DoS) es otra configuración crucial en un NAS. El problema de esta medida es que hay que irla ajustando ya que normalmente genera muchos falsos positivos.

Utilizar una VPN siempre que se utilice un NAS

Una VPN puede ser una herramienta de seguridad importante. Las VPN añaden una capa de cifrado en todo el tráfico en línea que pasa entre la red y la web. Esto significa que los posibles atacantes no pueden interceptar los detalles de la contraseña o las direcciones IP de los usuarios legítimos.

Las VPN también hacen viable el acceso a los servidores NAS de forma remota desde fuera de las oficinas.

NAS se está utilizando en muchísimas organizaciones en la actualidad, en universidades, incluso en domicilios particulares y, sin duda, puede ser una solución muy útil de almacenamiento de datos. Pero, como hemos visto, los datos que se encuentran en las unidades NAS no siempre son tan seguros como podríamos suponer.

El uso de una red privada virtual puede hacer que los datos estén mucho más seguros. Y en un mundo donde las fugas de datos pueden destruir la reputación empresarial, las VPN pueden ser una parte vital de una estrategia anti-ataque en profundidad.