En muchas noticias sobre ciberataques en la actualidad encontrará que se habla de “superficie de ataque” o de algo similar. Resulta fundamental comprender cómo funcionan los ataques y dónde están más expuestas las organizaciones para poder tomar las medidas correspondientes. Durante la pandemia, se podría decir que la superficie de ataque ha crecido más y más rápido que en cualquier otro momento del pasado. Y esto trajo sus propios problemas. Desafortunadamente, las organizaciones en la actualidad son cada vez más incapaces de definir el tamaño real y la complejidad de su superficie de ataque, haciendo que sus activos digitales y físicos estén más expuestos a los actores de amenazas.
Afortunadamente, mediante la ejecución de algunas buenas prácticas, es posible mejorar la visibilidad de la superficie de ataque de una organización, y con ello, obtener una mejor comprensión de lo que es necesario para minimizarla y gestionarla.
¿Qué es la superficie de ataque corporativa?
La superficie de ataque se puede definir como los activos físicos y digitales que posee una organización y que podrían ser comprometidos por un atacante y de esta manera facilitar un ciberataque. El objetivo final de los actores de amenazas puede ser desde desplegar un ransomware y robar datos, reclutar máquinas para una botnet, descargar troyanos bancarios, o hasta instalar malware para minar criptomonedas. En conclusión: cuanto mayor sea la superficie de ataque, mayores serán las opciones que tienen los cibercriminales para apuntar a sus objetivos.
Echemos un vistazo con más detalle a las dos principales formas de clasificar a las superficies de ataque:
La superficie de ataque digital
Esto describe todo el hardware, software y componentes relacionados que están conectados a la red de una organización. Incluye los siguientes elementos:
Aplicaciones: las vulnerabilidades en las aplicaciones son comunes y pueden ser utilizadas por los atacantes como la puerta de entrada a los sistemas y datos críticos de TI.
Código: un riesgo importante ahora que gran parte del código que se utiliza es compilado a partir de componentes de terceros, ya que pueden contener malware o vulnerabilidades.
Puertos: los atacantes cada vez están a la caza de puertos abiertos y si hay algún servicio escuchando en un puerto específico (por ejemplo, el RDP en el puerto TCP 3389). Si esos servicios están mal configurados o contienen vulnerabilidades, pueden ser explotados.
Servidores: estos podrían ser atacados a través de la explotación de vulnerabilidades o la saturación de tráfico en ataques de DDoS.
Sitios web: otra parte de la superficie de ataque digital que ofrece múltiples vectores de ataque, que incluyen fallas en el código y malas configuraciones. Un ataque exitoso puede derivar en un defacement, que es cuando intervienen el sitio web dejando una nota presumiendo de ser los responsables del ataque, o en la implantación de código malicioso para realizar otros ataques (es decir, formjacking).
Lectura recomendada: 9 formas en que los atacantes utilizan los sitios web comprometidos
Certificados: las organizaciones con frecuencia dejan que estos expiren, permitiendo que los atacantes se aprovechen.
Esto está lejos de ser una lista exhaustiva. Para tomar dimensión de la magnitud que puede representar una superficie de ataque digital, observe los números a continuación que surgen de una investigación realizada en 2020 sobre empresas que integran la lista FTSE 30. La investigación encontró:
- 324 certificados expirados
- 25 certificados que utilizan el algoritmo de cifrado obsoleto SHA-1
- 743 posibles sitios de prueba expuestos a Internet
- 385 formularios inseguros de los cuales 28 se utilizaron para autenticación
- 46 frameworks para aplicaciones web con vulnerabilidades conocidas
- 80 instancias del ahora desaparecido PHP 5.x
- 664 versiones de servidor web con vulnerabilidades conocidas
La superficie de ataque física
Esto incluye todos los dispositivos de punto final a los que un atacante podría acceder "físicamente", como:
- Computadores de escritorio
- Unidades de disco duro
- Laptops
- Teléfonos/dispositivos móviles
- Memorias USB
También hay motivos para decir que sus empleados son una parte importante de la superficie de ataque física de la organización, ya que pueden ser manipulados mediante ingeniería social (phishing y sus variantes) en el curso de un ciberataque. También son responsables del Shadow IT; es decir, del uso no autorizado de aplicaciones y dispositivos que eluden los controles de seguridad corporativos. Al utilizar para el trabajo estas herramientas que no han sido aprobadas por el equipo de TI, y que a menudo son poco seguras, los empleados podrían estar exponiendo a la organización a amenazas adicionales.
¿La superficie de ataque está creciendo?
Las organizaciones han estado desarrollando su estructura digital y de TI durante muchos años. Pero con la llegada de la pandemia se observó una inversión a gran escala para respaldar el trabajo remoto y mantener las operaciones comerciales en un momento de extrema incertidumbre del mercado. Esta expansión de la superficie de ataque se ha dado de las siguientes maneras:
- Endpoints de trabajo remoto (por ejemplo, computadoras portátiles, equipos de escritorio)
- Infraestructura y aplicaciones en la nube
- Dispositivos IoT y 5G
- Uso de código de terceros y DevOps
- Infraestructura de trabajo remoto (VPN, RDP, etc.)
No hay vuelta atrás. Según los expertos, muchas empresas han superado un punto de inflexión digital que cambiará sus operaciones para siempre. Eso es potencialmente una mala noticia en cuanto a la superficie de ataque, ya que podría invitar a:
- Ataques de phishing que intentan explotar la poca concientización en temas de seguridad de los empleados
- Uso de malware y exploits de vulnerabilidades en ataques dirigidos a servidores, aplicaciones y otros sistemas
- El uso de contraseñas robadas u obtenidas vía fuerza bruta para lograr inicios de sesión no autorizados
- Explotación de configuraciones incorrectas (por ejemplo, en cuentas en la nube)
- El uso de certificados web robados
…y mucho más. De hecho, hay cientos de vectores de ataque que pueden utilizar los cibercriminales, algunos de los cuales son muy populares. ESET detectó 71 mil millones de intentos de acceso a las redes de una organización a través de servicios RDP mal configurados entre enero de 2020 y junio de 2021.
Cómo mitigar los riesgos de la superficie de ataque
Conocer cuál es la superficie de ataque es fundamental para poder establecer las mejores prácticas de ciberseguridad, ya que comprender su tamaño y tomar medidas para reducirla o gestionarla es el primer paso hacia la protección proactiva. A continuación, se ofrecen algunos consejos:
- Primero, comprenda el tamaño de la superficie de ataque a través de auditorías de activos e inventarios, pruebas de penetración, escaneo de vulnerabilidades y más.
- Siempre que sea posible, reduzca el tamaño de la superficie de ataque y el riesgo cibernético asociado a través de las siguientes acciones:
- Gestión de configuración y parches según riesgos
- Consolidar endpoints, deshacerse del hardware heredado
- Actualización de software y sistemas operativos
- Segmentar redes
- Seguir las mejores prácticas de DevSecOps
- Gestión continua de vulnerabilidades
- Mitigación de riesgos de la cadena de suministro
- Implementar medidas de seguridad para los datos (por ejemplo, cifrado fuerte)
- Buena gestión de identidades y accesos
- Enfoque Zero Trust
- Monitoreo continuo de los registros y los sistemas
El entorno TI corporativo está en un estado de cambio constante, gracias al uso extendido de máquinas virtuales, contenedores y microservicios, y la continua llegada y salida de empleados y nuevo hardware y software. Eso significa que cualquier intento de administrar y comprender la superficie de ataque debe realizarse con herramientas ágiles e inteligentes que funcionen a partir de datos en tiempo real. Como siempre, "visibilidad y control" deben ser sus palabras clave en este viaje.