Una vulnerabilidad informática puede poner en riesgo los activos, operaciones, finanzas e incluso la reputación de una empresa.
Adoptar medidas de ciberseguridad para corregirlas, es esencial para proteger a los sistemas corporativos.
¿Quieres saber cómo hacerlo? En esta nota te introduciremos a las vulnerabilidades informáticas, te contaremos los riesgos y por supuesto te compartiremos algunos consejos para lidiar con ellas.
Una vulnerabilidad informática se refiere a la susceptibilidad de un sistema a ser afectado a través de acciones perjudiciales que dañen su funcionamiento.
Los fallos en los sistemas lógicos, los defectos de instalación, la mala ubicación y las debilidades en los activos, corresponden a vulnerabilidades informáticas, y pueden surgir debido a fallos en la implementación del sistema o aplicación, descuidos en la configuración o mala utilización de los activos.
Los atacantes pueden aprovechar dichas vulnerabilidades para introducirse en los sistemas o redes y controlarlos.
Este tipo de daños causan pérdidas que repercuten negativamente a las operaciones y, por supuesto, a las finanzas de las empresas.
Existen dos tipos de vulnerabilidad informática: la física y la lógica.
La vulnerabilidad física es la que afecta directamente al hardware y puede ser provocada por ubicaciones, en donde desastres naturales causan daños; la ausencia de medidas de seguridad, como cerraduras, cámaras de vigilancia y controles de acceso; electricidad inestable; o mal mantenimiento.
Mientras que la lógica tiene que ver con el sistema operativo y se divide en tres:
El diseño mal efectuado puede dar lugar a brechas que los atacantes explotan fácilmente. Esto incluye protocolos que transmiten información sin cifrar, sistemas que no implementan autenticación sólida o configuraciones que dejan puertas abiertas a ataques comunes, como la inyección SQL o el cross-site scripting (XSS).
Además, la falta de evaluación de riesgos en la etapa de diseño puede resultar en sistemas incapaces de resistir ataques dirigidos.
Los fabricantes de las redes y sistemas pueden tener errores en la programación que deje “puertas traseras”, como códigos mal escritos, configuraciones predeterminadas inseguras o la falta de actualizaciones de seguridad oportunas.
Esto incluye bugs en el software, errores en las librerías utilizadas o incluso dependencias de terceros que no han sido auditadas adecuadamente.
Estas vulnerabilidades pueden ser explotadas mediante técnicas como desbordamiento de búfer, escalamiento de privilegios o ejecución de código remoto. Además, una implementación incorrecta de criptografía puede comprometer la confidencialidad de los datos.
Una vez que los sistemas informáticos están en manos de los usuarios, si estos no han sido sensibilizados o tienen desconocimiento de prácticas ciberseguras pueden facilitar la disponibilidad de herramientas que faciliten los ataques.
Esto incluye compartir contraseñas débiles o reutilizadas, descargar software de fuentes no confiables, ignorar actualizaciones críticas de seguridad o caer en ataques de ingeniería social, como el phishing.
Además, el uso de dispositivos personales en redes corporativas sin controles adecuados puede introducir malware o exponer información confidencial.
La falta de capacitación y concientización puede agravar estos riesgos al no preparar a los usuarios para detectar y responder a amenazas comunes.
Es importante saber que no todas las vulnerabilidades están relacionadas con todos los riesgos, sino que depende de su criticidad y exposición.
Aprender a vincular la vulnerabilidad con su riesgo es fundamental para identificar en dónde poner los esfuerzos sobre ciberseguridad. A continuación describimos esta interrelación.
El aumento inusual de tráfico de red es un indicador de un posible riesgo de ataque y puede derivar de diferentes tipos de vulnerabilidades.
Cuando existe debilidad en el código, configuración o diseño de una aplicación web, esta puede ser explotada por atacantes, quienes buscarán comprometer su disponibilidad.
Por medio de inyecciones SQL, el ciberdelincuente manipula consultas SQL enviadas a una base de datos para acceder a la información. Esto genera tráfico anómalo, y de no ser detectado a tiempo podrían extraerse grandes volúmenes de datos sensibles y ser usados para secuestro de cuentas o suplantación de identidad.
Igualmente, se puede atacar por medio de Cross-Site Scripting (XSS), que consiste en inyectar scripts maliciosos para provocar tráfico inesperado con la carga de recursos externos, para interrumpir las operaciones de la empresa.
O bien, es posible, de manera remota, ejecutar un código malicioso en un servidor para sobrecargarlo de tráfico y afectar su rendimiento provocando fallos en el funcionamiento de la aplicación.
Hay una táctica simple para aprovechar las vulnerabilidades de red, conocida como ARP Spoofing, en la que el atacante simplemente intercepta el tráfico de la red y lo redirige para causar congestión en las redes LAN por medio de solicitudes falsas, con el fin de robar credenciales o ralentizar los servicios.
Por otro lado, la mala configuración de un DNS, como la permisión de consultas sin restricciones (servidores DNS abiertos), es una vulnerabilidad informática que puede traer consigo un riesgo de ataque de amplificación.
El DNS amplification consiste en que el atacante falsifica la dirección IP de la víctima para enviar muchas peticiones a los servidores DNS, diseñadas estratégicamente para pedir respuestas grandes, lo cual amplifica el tráfico de ataque: una solicitud de 60 bytes puede generar una respuesta de 4,000 bytes.
Además, los atacantes pueden explotar las vulnerabilidades del protocolo de SMB (Server Message Block) para generar tráfico masivo en la red por medio de ataques como EternalBlue y WannaCry.
Si un SMB no cuenta con parches de seguridad o tiene errores de implementación, el atacante puede ejecutar código malicioso en la máquina víctima, sin necesidad de autenticación, y robar archivos para pedir rescate.
Cuando los servidores tienen puertos abiertos sin protección, dejan una entrada para que se realicen ataques DoS o de fuerza bruta.
Igualmente si un dispositivo resulta infectado por malwares o botnets y envía tráfico hacia otros servidores de comando y control, resultaría víctima de un DDoS también.
Los ataques de denegación del servicio están diseñados para sobrecargar una red o servidor con tráfico de tal manera que se vuelva inaccesible para los usuarios legítimos.
Ahondando en el funcionamiento de las botnets: un atacante utiliza varios dispositivos infectados para generar tráfico masivo, cada dispositivo de la botnet envía solicitudes de forma simultánea, lo que desborda el ancho de banda del objetivo para lograr un aumento en la latencia y bloquear el servicio.
Los firewalls mal configurados permiten tráfico entrante no controlado que arriesga la red, y permite su exploración y explotación.
Asimismo si una red no se segmenta adecuadamente y un dispositivo es atacado, debido a su conexión, puede propagarse fácilmente y saturar la red.
Este riesgo suele estar relacionado con vulnerabilidades que permiten alteraciones en el funcionamiento normal de la infraestructura de TI. Estas vulnerabilidades pueden clasificarse en diferentes categorías:
Los fallos en la programación del software, como errores en el código, pueden ser una vulnerabilidad informática que resulte en la facilitación de la manipulación del sistema por parte de actores malintencionados que ejecutan comandos arbitrarios para alterar el flujo normal de los sistemas.
Asimismo, existe un error de software llamado desbordamiento de búfer, en donde un programa pierde el control sobre la cantidad de datos copiados en la memoria, lo cual provoca la corrupción de la misma y por lo tanto fallos en las aplicaciones.
Toda configuración mal asegurada puede exponer a funcionalidades no deseadas.
Aunque el firmware forme parte inherente de los dispositivos, debe ser actualizado, de lo contrario las versiones antiguas son más vulnerables al riesgo de ser alteradas.
Por lo que se refiere al IoT, si sus sensores están comprometidos, pueden ser vulnerados y aprovechados para enviar datos alterados o falsificados y afectar las decisiones automatizadas.
Además, si el hardware tiene fugas de información, puede procederse a realizar un ataque de canal lateral, que consiste en extraer datos confidenciales del sistema para influir en su comportamiento.
El aprovechamiento de estas vulnerabilidades informáticas en el hardware puede traer como consecuencia: caídas del sistema, modificaciones injustificadas de los datos, pérdida de control de acciones automatizadas y caídas en el rendimiento.
El establecimiento de sesiones, ya sea para realizar llamadas telefónicas o simplemente para compartir información, puede incluir vulnerabilidades comunicacionales como lo puede ser la falta de cifrado durante la transmisión.
Esta vulnerabilidad informática trae como consecuencia que los atacantes puedan interceptar las comunicaciones entre dos sistemas con el objetivo de modificarlas y generar respuestas confusas; a este tipo de ataque se le llama Man-in-the-Middle (MitM).
Asimismo, los ciberdelincuentes pueden simplemente tomar control de las sesiones activas y secuestrarlas para provocar acciones indeseadas en los sistemas.
Un acceso sospechoso se puede definir como una serie de intentos fallidos reiterados para ingresar a un sistema, red o aplicación, lo que puede indicar un posible intento de intrusión no autorizada.
La poca robustez en la gestión de accesos es una vulnerabilidad informática que puede ser aprovechada y permitir que personas no autorizadas accedan a los sistemas, propiciando la intrusión y obtención de permisos para modificar parámetros críticos.
Entre estas vulnerabilidades se encuentran: las contraseñas débiles o reutilizadas, la falta de 2FA y la mala implementación de escalada de privilegios.
La vulnerabilidad informática de credenciales comprometidas puede provocar:
La evolución de los sistemas informáticos exige cambios en los recursos físicos y lógicos, lo cual trae consigo nuevas maneras de atacar y por ende los métodos preventivos deben actualizarse y ser competentes para enfrentarlas.
La definición de políticas de seguridad de la información conforman las reglas y los procedimientos para manejar la información y que permanezca protegida.
Los empleados de las organizaciones deben estar familiarizados con las normativas sobre la gestión de contraseñas, acceso a la red y transferencia de información; para ello las políticas deben ser comprensibles y efectivas.
Cuando menos debe contarse con cuatro políticas de seguridad de la información esenciales que abarquen: creación de contraseñas seguras, definición de roles y permisos de usuarios, delimitación de lo permisible y respuesta a incidentes.
Cuidar la seguridad de las contraseñas es una medida eficiente para evitar vulnerabilidades informáticas.
Para que una contraseña sea segura necesita superar los 12 caracteres, mezclar mayúsculas y minúsculas con números y símbolos; no ser reutilizada en diferentes cuentas; cambiarse regularmente (cada 3 o 6 meses); y, por supuesto, tratarse de manera confidencial (o sea no compartirlas con terceros).
Esta medida es un adición a la contraseña en la que los usuarios se autentican una segunda vez a través de un código de seguridad enviado a otro medio, ya sea a un token, un dispositivo móvil o a través de la huella dactilar y tarjetas inteligentes.
El cifrado vuelve los datos ilegibles para cualquier persona sin la clave de encriptación, ya que están escritos en código para que solo las partes autorizadas tengan acceso a él.
Las actualizaciones en los sistemas deben implementarse una vez que estén disponibles, pues instalar las últimas versiones de inmediato asegurará que los parches de seguridad y las mejoras puedan corregir más rápido las vulnerabilidades y enfrentar a los atacantes.
Antes de realizar la descarga de cualquier actualización, lo mejor es comprobar si es auténtica, de preferencia asegurándose de que la fuente es confiable.
Si bien los sistemas pueden actualizarse de manera manual, lo recomendable es automatizar y programar las automatizaciones para evitar que se retrasen y también para asegurar que, en esos momentos, los sistemas estén disponibles no se afecte la continuidad de las operaciones.
Una vez realizadas, debe comprobarse que los cambios se han ejecutado y que no haya ningún inconveniente que deba corregirse.
Adicionalmente, una buena práctica antes de realizar una actualización es respaldar la información. Una copia de seguridad garantizará que los datos no se dañen ni pierdan en caso de que la descarga implique problemas o falle, ahondemos más en ello.
Un plan de copias de seguridad garantiza que se hagan frecuentemente, se tenga ubicado dónde se almacenarán y se defina cómo se protegerán.
Por supuesto, esto significa que deben estar en un lugar seguro a salvo del acceso no autorizado.
Los firewalls son técnicas que ayudan a proteger la red, analizando el tráfico entrante y saliente para decidir si deniegan o permiten el acceso, basándose en los parámetros definidos dentro de las políticas de seguridad de la información.
De esta manera, básicamente se tiene un filtro de red para bloquear el tráfico malicioso.
Los detectores de intrusos son sistemas detectivos y reactivos que funcionan a través de IDS e IPS.
IDS significa en español sistema detector de intrusos y es un elemento pasivo que es capaz de identificar ataques sin eliminarlos, pues su complemento IPS (sistema de prevención de intrusos) es el elemento activo encargado de neutralizarlos.
Estos programas se encargan de escanear los archivos y buscar código malicioso o comportamientos sospechosos a partir de una base de datos de malware conocido.
Las empresas deben invertir tiempo en la concientización de sus empleados a través de capacitaciones periódicas en donde se les enseñen buenas prácticas de ciberseguridad, protección de contraseñas, etc. para evitar el aprovechamiento de su falta de conocimiento en técnicas de ingeniería social.
La falta de preparación del equipo organizacional es, sin lugar a dudas, una de las principales vulnerabilidades informáticas de las compañías, pues el personal es el principal blanco de los atacantes.
Con premura, debe establecerse una respuesta efectiva a los ataques de seguridad informática.
Dentro de este plan, es importante definir los roles y responsabilidades de los empleados, así como los procedimientos que se implementarán para minimizar el impacto de los incidentes.
La prevención y gestión proactiva de una vulnerabilidad informática puede hacer la diferencia entre un sistema seguro y uno expuesto a riesgos.
Mantenerse informado, adoptar nuevas tecnologías de protección y fomentar una cultura de ciberseguridad dentro de la organización es esencial para minimizar riesgos y garantizar la integridad de los sistemas.
.svg)
