La estrategia militar consiste en saber dónde están los puntos débiles del adversario y cómo aprovecharlos. Es el mismo concepto para los ciberataques. Los autores de amenazas externas no esperan pacientemente a que se debiliten las defensas sólidas. En cambio, se aprovechan de las vulnerabilidades conocidas, como los sistemas operativos sin parches de seguridad. Un solo sistema operativo sin parches puede ser el punto de entrada que permita que tus recursos digitales sean saqueados por un agresor desconocido.

En CYREBRO, nuestra prioridad es identificar los eslabones débiles que se pueden vulnerar. El primer paso para asegurar tu red es darse cuenta de que los eslabones débiles pueden existir en cualquier parte de tu red, incluyendo el equipo suministrado por tu proveedor de ITaaS. Uno de los principales causantes de debilidad son las vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente.

Un caso de estudio para la aplicación de parches

Un ejemplo de esto es un importante caso de respuesta a incidentes que CYREBRO investigó en 2019, en el que docenas de puntos de venta fueron infectados con WannaCry. WannaCry es una de las muchas cepas de malware que aprovechan la vulnerabilidad CVE-2017-0144, también conocida como EternalBlue. El parche para este ataque conocido existía desde hacía más de dos años en el momento del ataque. En este caso, las máquinas de punto de venta utilizaban sistemas operativos Windows 7 que no habían sido actualizados desde su instalación inicial. Para empeorar las cosas, los dispositivos POS estaban expuestos a Internet y tenían asignadas direcciones IP estáticas externas. Esta combinación de circunstancias resultó ser letal para esa empresa en particular.

La gestión de parches es fundamental

Es importante abordar la aplicación de parches y la actualización de sistemas y software con un sentido de vigilancia. La aplicación de parches es un proceso eterno, ya que constantemente se descubren nuevas vulnerabilidades. Es más, las actualizaciones de nuevas funciones crean luego vulnerabilidades adicionales. Las nuevas vulnerabilidades descubiertas en un determinado sistema operativo se publican en una lista de vulnerabilidades y exposiciones comunes (CVE) conocidas. Según un informe de 2020, las CVE han ido en aumento. Esta tendencia en ascenso puede atribuirse a que los proveedores de software publican códigos nuevos con mayor frecuencia o, simplemente, a que hay más gente buscando vulnerabilidades

Piensa en todos los dispositivos de tu red que albergan un sistema operativo. Dado que sólo hace falta un punto débil para abrir tu red a un atacante, necesitas un enfoque sistemático de la gestión de parches para asegurarte de que todos los sistemas operativos tienen parches y están actualizados en todo tu parque informático. La omisión de una actualización crítica en un solo equipo puede suponer un desastre.

Un sistema operativo sin parches provoca problemas

No aplicar un parche contra una CVE es casi el equivalente a utilizar las credenciales de administrador por defecto. Las credenciales por defecto para casi todos los dispositivos de IT están fácilmente disponibles en Internet, lo que significa que el hecho de no reconfigurarlas inmediatamente es una invitación abierta para un usuario no autorizado. Los ciberdelincuentes hacen un seguimiento de las nuevas CVE publicadas para crear código y herramientas que permitan aprovecharlas. Lo cierto es que un sistema sin parches es presa fácil para las organizaciones de hackers y las herramientas maliciosas que utilizan para realizar sus actos infames.

Deshazte de lo obsoleto

El primer paso es dejar de utilizar los sistemas operativos que han quedado obsoletos y ya no reciben soporte. Las empresas de software sólo dan soporte a los sistemas obsoletos durante un tiempo, ya que no es económicamente viable hacerlo. El software obsoleto representa uno de los ejemplos más evidentes de vulnerabilidad y, sin embargo, demasiadas empresas siguen haciendo uso de estos sistemas que deberían ser dados de baja. Por ejemplo, Microsoft dejó de dar soporte a Windows 7 en enero de 2020, y sin embargo el 16% de todos los ordenadores con Windows estaban ejecutando el sistema operativo sin soporte 18 meses después. De hecho, en abril de 2022, todavía había más máquinas con XP en funcionamiento que con Windows 11. Mantener dispositivos obsoletos en tu entorno de producción es simplemente buscarse problemas.

Permitir el acceso externo sólo cuando sea necesario

Las empresas que carecen de un enfoque proactivo de la gestión de la ciberseguridad se encuentran a menudo lidiando con varios problemas pequeños continuamente. Confiar únicamente en tu solución de seguridad para puntos finales no es una estrategia. Un plan eficaz utiliza un enfoque de defensa en profundidad que crea un esfuerzo colectivo para mantener las amenazas a raya. Por ejemplo, es importante seguir estrictamente el principio del mínimo privilegio (PoLP) para cualquier dispositivo, con o sin parches. Esto es especialmente relevante para los dispositivos conectados a Internet. En CYREBRO hemos realizado Una extensa investigación que demuestra que los puertos abiertos y expuestos son una de las principales causas de incidentes de ciberseguridad. Cualquier puerto que no esté relacionado con los servicios web necesarios debe ser bloqueado de Internet. Por ejemplo, los puertos 80 y 443 son necesarios para un servidor web o de aplicaciones, pero el 3389, que permite el acceso a RDP, debe ser denegado, así como el puerto 445, que da servicio al protocolo SMB. Sin embargo, una vez que un puerto está cerrado, no impide que alguien lo abra involuntariamente o a propósito. Por eso es tan importante el monitoreo. El monitoreo activo le da visibilidad sobre lo que está intentando conectarse a sus sistemas expuestos a Internet

Refuerza todos los sistemas

Por muy vital que sea, la gestión de parches no es suficiente. Los parches de seguridad se publican normalmente de acuerdo con un calendario regular, como el infame “martes de parches” de Microsoft, por lo que hay una brecha entre el momento en que se descubre una vulnerabilidad y la publicación de su parche aplicado. Además, sus sistemas siguen siendo susceptibles de sufrir ataques de día cero. Como los parches no son perfectos, es importante fortalecer todos los sistemas deshabilitando los puertos, servicios y funciones innecesarios. Sólo deben permitirse las aplicaciones autorizadas y, si es posible, deben bloquearse mediante listas de permisos. Los usuarios de cuentas privilegiadas deben utilizar cuentas separadas para consultar el correo electrónico y navegar por Internet de las cuentas utilizadas para realizar tareas privilegiadas en los sistemas críticos. Si se produce un brote de malware, las estaciones de trabajo y los dispositivos IoT deben segmentarse de los sistemas críticos mediante VLAN y un firewall de última generación.

Conclusión

Una de las razones por las que las empresas siguen utilizando sistemas anticuados es para evitar el coste de su sustitución. Desgraciadamente, eso es muy parecido a ahorrarse dinero por seguir conduciendo un vehículo que no es seguro. Pero incluso un automóvil nuevo requiere un mantenimiento regular, al igual que un sistema operativo requiere parches y actualizaciones periódicas para seguir siendo seguro. Debido a que los CVEs son tan frecuentes hoy en día, los esfuerzos de aplicación de parches deben ser monitoreados para asegurar que los puntos débiles vulnerables sean erradicados. Estos pasos colectivamente constituyen la seguridad de que algún día se ahorrará potencialmente el gasto de recuperarse de un ciberataque que puede costar fácilmente más de un millón de dólares. Los hackers y los ciberdelincuentes conocen sus puntos débiles, lo que significa que usted también debería conocerlos. Los pasos necesarios para eliminar esos puntos débiles le ahorrarán tanto dinero como dificultades a largo plazo.