Miguel Ángel Martos, Regional Sales Director, Iberia e Italia de Zscaler, pronostica un año difícil en materia de seguridad para los departamentos de TI, que han visto cómo crecen notablemente los ciberataques hacia todo tipo de infraestructuras.
Los ataques de ransomware lanzados contra empresas no dejan de crecer. Estudios recientes nos hablan de incrementos en este tipo de ataques en España cercanos al 160 %, muy por encima de otros países como Alemania (145 %), Reino Unido (80 %) o Francia (36 %). Este aumento es muy revelador: o las empresas no tienen control sobre los servicios potencialmente a los ataques en línea o, quizás, nunca lo han tenido. Los cibercriminales suelen aprovecharse de mucha información publicada en las web de las empresas para obtener información sobre su infraestructura de red, y utilizar estos conocimientos para sus ataques. Todo lo que necesitan hacer es unir las pistas disponibles, instalar el malware y robar los datos confidenciales a su alcance.
Si algo han de tener claro los departamentos de TI es que, en este año 2021, tienen que trabajar por identificar y reducir todos los vectores de ataque existentes.
Desde el punto de vista de la seguridad, las empresas están mostrando más información sobre su infraestructura en línea de lo que deberían. Esto es una realidad bien conocida. Un servicio mal configurado deja rastros en la web, mientras que los entornos de desarrollo insuficientemente protegidos son una auténtica puerta abierta a los piratas informáticos. Les dan acceso a calendarios de reuniones compartidos, a archivos multimedia e incluso a rúters, todos ellos exponiendo sus datos. Peor aún, una vez que una infraestructura de hardware está conectada a Internet, es muy fácil para los atacantes obtener información sobre ella. Un firewall, por ejemplo, establece una frontera entre la red interna y la externa. Al hacerlo, puede ofrecer involuntariamente a los actores externos una visión general de la estructura de la empresa, al revelar los nombres de red o los dominios utilizados en los entornos internos.
Con esta información de código abierto (o OSINT por Open Source Intelligence) sobre los nombres de host de la infraestructura, como ras.empresa.com o vpneur.empresa.com, los atacantes pueden recopilar información sobre los servicios de acceso remoto o el acceso VPN en Europa. Los recursos con restricciones de acceso, como msql.company.com:1433 para las bases de datos de producción, o connect.company.com para los portales de acceso, también permiten a los hackers recopilar información en línea sobre las empresas y luego explotarla para encontrar posibles puntos de entrada y lanzar sus ataques. Este tipo de datos es de libre acceso en línea, a menudo incluso sin que la empresa en cuestión sea consciente de los riesgos que conlleva. Los atacantes utilizan esta información de dominio público para identificar puntos débiles y de acceso a la red de la empresa.
Desconocimiento de los vectores de ataque por parte de las empresas
Hay muchas razones por las que las empresas parecen ignorar las potenciales superficies de ataque expuestas a la vista de todos en su propia infraestructura de TI. Las circunstancias excepcionales que estamos viviendo, influyen sin duda en una propensión a publicar en Internet más información de la necesaria sobre su infraestructura de acceso remoto. En 2020, las empresas tuvieron que ofrecer rápidamente sistemas de acceso remoto al personal de forma generalizada. Sin embargo, el impacto de la pandemia no es la única causa. Hay muchas otras causas por las que las empresas pueden perder fácilmente el control de su infraestructura informática.
Entre los peligros potenciales, destacan la marcha de los empleados responsables del mantenimiento de los activos de la red, la obsolescencia de los componentes de la infraestructura que han sido completamente desatendidos y de los que nadie es responsable, o la falta de procesos e inventarios de los servicios en línea y los componentes de red existentes. Los entornos de desarrollo, que suelen ser menos seguros que los de producción, también presentan algunos riesgos. La posibilidad de que prácticamente cualquiera pueda poner en marcha un servicio es una amenaza. Si la operación no es realizada por un experto o de manera profesional, o si no se definen claramente las responsabilidades, una peligrosa e incontrolada proliferación de información en línea es el precio que pagar por la comodidad. Las empresas deben entender que todos los servicios en línea son visibles para todo el mundo. Esto significa que cualquier usuario de Internet puede llamar a la puerta de la empresa en línea y, en ausencia de soluciones de seguridad eficaces, franquear fácilmente el paso a la red.
Gestionar correctamente la expansión en línea
Hacer pública la información y poder comentarla con terceros es el sello distintivo de Internet. No obstante, todos los servicios y activos deben estar protegidos por medidas de seguridad adecuadas. Un sitio de compras en línea debe ser accesible para los usuarios, sin dar acceso innecesario a información como, por ejemplo, una base de datos de clientes. A la hora de elegir una solución de seguridad, las empresas deben determinar primero qué información se pone a disposición de todos y qué datos se reservan para un círculo limitado de usuarios.
Para limitar los vectores de ataque, la primera prioridad es asignar niveles de seguridad distintos a los diferentes grupos de usuarios. La distinción entre público objetivo interno y externo puede utilizarse como criterio básico de categorización. Internamente, ciertos grupos necesitarán acceso a las aplicaciones, mientras que el equipo de soporte necesitará derechos de acceso más amplios. Los administradores que gestionan las aplicaciones también necesitarán derechos adicionales. El acceso debe definirse de forma detallada. Externamente, hay que distinguir entre los escenarios de usuarios que implican a los clientes o a otras terceras partes. Para cada categoría de usuarios, las empresas deben establecer un nivel controlado de seguridad basado en una segmentación granular, según las necesidades de los grupos de usuarios. La dificultad de este tipo de configuración radica en su complejidad. Las técnicas tradicionales de segmentación basadas en interacciones manuales aumentan el riesgo de errores.
La aplicación de la estrategia de seguridad automatizada con un enfoque de “confianza cero” puede ser la solución al problema. El sistema aísla los servicios y datos requeridos por el usuario en función de su identidad y sus derechos de acceso. Este principio se aplica tanto a los servicios y aplicaciones en la nube como a las redes físicas. El aislamiento y la segmentación basados en los derechos de acceso de los usuarios en los distintos niveles de aplicación impiden que los atacantes entren en el sistema y se desplacen lateralmente dentro de la red corporativa. Para aplicar el concepto de segmentación, las empresas deben primero evaluar con precisión el nivel de exposición en línea de su infraestructura.
Análisis de los vectores de ataque
Todos los servicios o equipos accesibles en línea suponen una potencial superficie de ataque. Por ello, las empresas deben tener una panorámica completa de lo que se expone en línea antes de poner en marcha las medidas de seguridad adecuadas. Las herramientas capaces de detectar esta información de código abierto e indicar dónde intervenir, facilitan el proceso.
No es necesario que todo sea accesible en línea para la mayor cantidad de personas posible y de forma no segura. Sólo una vez que se hayan identificado los vectores de ataque abiertos, las organizaciones podrán actuar en materia de seguridad y establecer reglas de segmentación y aislamiento adecuadas para las aplicaciones mediante un modelo de confianza cero. Las aplicaciones serán entonces accesibles sólo para los usuarios autorizados, con lo que se cerrará la puerta a los atacantes.
En 2020, el teletrabajo ha ampliado aún más el perímetro informático de la empresa y ensanchado su superficie de ataque. Sin duda, ésta es uno de los motivos detrás del aumento de los ciberataques, especialmente de ransomware. Superada la urgencia inicial por el mantenimiento de la actividad de la empresa, es el momento, ahora en 2021, de recuperar el control de su ciberseguridad y el de conocer sus debilidades expuestas a los cibercriminales.