Los riesgos de una mala gestión de los parches
Todos descuidamos cosas que sabemos que no deberíamos descuidar, como el chequeo médico anual. Cuando llega el momento, nos decimos a nosotros mismos que ya pediremos cita cuando estemos menos ocupados, que nos encontramos bien y que no es necesario, o nos inventamos otra historia que nos permite posponer lo que sabemos que no deberíamos posponer. Aunque la excusa pueda parecer válida o incluso lógica en ese momento, saltarse esa visita al médico puede permitir que los problemas de salud pasen desapercibidos, pudiendo acarrear graves consecuencias e incluso la muerte, todo lo cual podría haberse evitado si hubiera acudido a la cita.
El simple acto de parchear las vulnerabilidades del software es muy parecido. Aplicar parches con frecuencia y rapidez puede contribuir en gran medida a evitar consecuencias desastrosas como los ciberataques y los elevados costes que conlleva (a menudo cientos de miles de dólares) la limpieza tras una brecha. Sin embargo, al igual que ocurre con la visita al médico, los equipos de seguridad pueden retrasar la aplicación de parches debido a otras prioridades, a la escasez de personal o a cualquier otra razón que parezca lógica en ese momento.
El coste de no parchear
Las vulnerabilidades sin parchear que pueden ser aprovechadas por los ciberdelincuentes pueden ser extremadamente costosas, dado que el coste medio anual de las brechas de datos en 2022 fue de 4,35 millones de dólares, un 2,6% más que en 2021. Aún más sorprendente es que el 57% de las víctimas de ciberataques afirmaron que su brecha de seguridad se debió a vulnerabilidades no parcheadas, y el 34% conocía la vulnerabilidad, pero no aplicó los parches a tiempo.
Y el tiempo no está del lado de los profesionales de la seguridad. Según un informe de Palo Alto Networks, el 80% de los exploits se hicieron públicos una media de 23 días antes de que se publicaran sus CVE. Además, los investigadores de Edgescan señalan que las organizaciones tardan una media de 60 días en corregir las vulnerabilidades críticas; sin embargo, el 57% de las vulnerabilidades observadas tenían dos años de antigüedad y el 17%, al menos cinco.
A medida que su organización crece y se vuelve más dependiente de aplicaciones de terceros, se expone a más vulnerabilidades potenciales. Garantizar que los sistemas permanezcan protegidos exige que los profesionales de la seguridad estén constantemente al día de las últimas actualizaciones de software y de la información sobre amenazas relacionada con las aplicaciones de su empresa.
El dilema de parchear
Parchear o no parchear no es exactamente la cuestión en este caso. En el mundo actual, los ciberdelincuentes lanzan ataques con rapidez, a menudo en cuanto se descubre una vulnerabilidad y antes de que se publique un parche. Eso significa que siempre es mejor y menos arriesgado parchear los sistemas inmediatamente para mantenerse protegido. Sin embargo, los parches pueden tener consecuencias imprevistas, por lo que el momento de aplicarlos puede ser crítico cuando hay que tener en cuenta varios sistemas, y puede producirse un tiempo de inactividad.
Piense en los parches de día cero. Dado que se publican lo más rápidamente posible, no se someten a pruebas rigurosas y, sin saberlo, pueden llegar a interferir o entrar en conflicto con otros sistemas o parches, lo que puede causar más problemas.
Para complicar aún más el asunto, la gestión de parches puede fallar por muchas razones. Los parches pueden ser incompatibles con el hardware, los portátiles y los dispositivos pueden estar apagados, o la actividad de los dispositivos puede impedir la instalación. Dada la actual falta de expertos en ciberseguridad, las estrategias de gestión de parches pueden fracasar simplemente por falta de experiencia o de personal.
Sopesar los efectos a corto plazo de un posible ciberataque, como la interrupción del servicio, o los más catastróficos, como los conflictos de los sistemas desconocidos, es un acto de equilibrio delicado, pero los sistemas sin parchear son un punto de entrada habitual para los ciberdelincuentes. Una decisión equivocada, un mal momento o una estrategia de mitigación mal concebida pueden tener consecuencias nefastas, como pueden atestiguar muchas empresas.
Rackspace: Mitigar en lugar de parchear fue la decisión equivocada
En diciembre de 2022, el proveedor de servicios en la nube Rackspace fue atacado por el grupo de ransomware Play, que aprovechó el CVE-2022-41080, un conocido fallo de día cero en el entorno de correo electrónico Hosted Exchange de Microsoft. Microsoft, consciente de la existencia de amenazas que aprovechaban activamente la vulnerabilidad, publicó un parche a principios de noviembre e instó a los clientes a instalar las actualizaciones inmediatamente.
En el caso de Rackspace, la preocupación por la interrupción del servicio y la decisión de confiar en una estrategia de mitigación prevalecieron sobre la importancia de aplicar el parche. Esa decisión permitió a Play acceder a los datos personales de 27 clientes de Hosted Exchange, lo que, a su vez, provocó interrupciones del servicio para los clientes de Rackspace (precisamente lo que la empresa intentaba evitar). Rackspace no ha dicho si pagó un rescate, pero la reputación de la empresa sufrió un duro golpe.
Equifax: Una aplicación sin parchear provoca uno de los mayores desembolsos
En 2017, la agencia de información crediticia estadounidense Equifax fue víctima de una brecha de datos que expuso la información personal y confidencial de aproximadamente 147 millones de clientes. En marzo de 2017, se publicó un parche para la vulnerabilidad, conocida como CVE-2017-5638. Equifax no lo aplicó a tiempo, lo que permitió a los hackers explotar la vulnerabilidad desde mediados de mayo hasta su descubrimiento en julio.
El incidente provocó un importante escándalo público, graves daños a la reputación y múltiples investigaciones. Finalmente, Equifax llegó a un acuerdo con la FTC, la Oficina de Protección Financiera del Consumidor y 50 estados de Estados Unidos, que incluía un pago de 425 millones de dólares para compensar a los consumidores afectados.
Uber, la SEC y el Departamento de Seguridad Nacional también comunicaron que se vieron afectados por la misma vulnerabilidad.
La Cruz Roja: Una vulnerabilidad y personas vulnerables
Nada demuestra más la depravación de los ciberdelincuentes que cuando atacan a organizaciones humanitarias como el Comité Internacional de la Cruz Roja y roban los datos personales de más de 515.000 personas vulnerables. En este ataque, los hackers aprovecharon una vulnerabilidad no parcheada (CVE-2021-40539) en la herramienta de inicio de sesión único de Zoho y luego accedieron a la base de datos de contactos de la Cruz Roja utilizando herramientas de seguridad ofensivas, lo que hizo que los atacantes parecieran usuarios legítimos.
La sofisticación del ataque y las técnicas de ofuscación utilizadas para evitar su detección sólo son conocidas por un puñado de grupos de Amenazas Persistentes Avanzadas (APT), lo que hace pensar a muchos miembros de la comunidad de seguridad que fue un ataque auspiciado por un estado. En esta línea está el hecho de que los datos robados pertenecen a personas desaparecidas, detenidas y otras desplazadas por conflictos armados, migraciones o desastres naturales. Como no se pidió rescate ni se borraron datos, parece que los autores del ataque los copiaron y exportaron para su propio uso.
El aumento de las vulnerabilidades exige una gestión rigurosa de los parches
En el primer trimestre de 2022, se publicaron más de 8.000 vulnerabilidades en la Base de Datos Nacional de Vulnerabilidades de Estados Unidos, lo que supone un aumento del 25% con respecto al primer trimestre de 2021, una tendencia que probablemente continuará.
Un estudio de Positive Technologies reveló que el 84% de las empresas tienen vulnerabilidades de alto riesgo en su red externa, y más de la mitad de ellas podrían eliminarse fácilmente si las empresas simplemente instalaran actualizaciones y parches, lo que pone de manifiesto lo crítico que puede ser un simple parche y cómo puede disminuir significativamente las posibilidades de sufrir un ataque.
Un despliegue rápido y cuidadoso puede evitar que se convierta en una víctima. Sin embargo, mantenerse al día del creciente número de vulnerabilidades es un reto, especialmente para los equipos pequeños y las PYMES. Las empresas de ciberseguridad como CYREBRO pueden ayudarle a superar este reto suministrándole un flujo constante de información crítica sobre amenazas y actualizaciones de proveedores, al tiempo que supervisan su organización las 24 horas del día, los 7 días de la semana, por si algún incidente llega a amenazar su negocio. Con esa información, podrá priorizar las vulnerabilidades y proteger su organización.