Los riesgos de una mala gestión de parches
Todos descuidamos ciertas cosas que sabemos que no deberíamos descuidar, como la revisión médica anual. Cuando llega el momento, nos decimos a nosotros mismos que ya pediremos cita cuando estemos menos ocupados, o que nos encontramos bien y no es necesario, o inventamos otra historia que nos permite posponer lo que sabemos que no debemos posponer. Aunque la excusa pueda parecer válida o incluso lógica en un momento dado, saltarse la visita al médico puede hacer que los problemas de salud pasen desapercibidos, lo que puede acarrear graves consecuencias e incluso la muerte (algo que podría haberse evitado de haber acudido a la cita).
El simple acto de parchear las vulnerabilidades del software es algo muy parecido. Aplicar los parches con rapidez y frecuencia puede contribuir en gran medida a evitar consecuencias desastrosas, como los ciberataques y los elevados costos de limpieza posteriores, a menudo de cientos de miles de dólares. Sin embargo, al igual que ocurre con la visita al médico, los equipos de seguridad pueden retrasar la aplicación de parches debido a otras prioridades, a la escasez de personal o a cualquier otra razón que pueda parecer lógica en un momento dado.
El costo de no parchear
Las vulnerabilidades sin parchear que pueden ser aprovechadas por los actores de amenazas pueden llegar a ser extremadamente costosas, dado que el costo promedio a nivel mundial de las brechas de datos en 2022 fue de 4,35 millones de dólares, un 2,6% más que en 2021. Aún más sorprendente es el hecho de que el 57% de las víctimas de ciberataques afirmaron que su brecha de datos se debió a vulnerabilidades sin parchear, y el 34% sabía de la existencia de la vulnerabilidad pero no aplicó los parches a tiempo.
Y el tiempo no está del lado de los profesionales de la seguridad. Según un informe de Palo Alto Networks, el 80% de los exploits se hicieron públicos una media de 23 días antes de que se publicaran sus correspondientes CVE. Además, los investigadores de Edgescan afirman que las organizaciones tardan una media de 60 días en corregir las vulnerabilidades críticas, aunque el 57% de las vulnerabilidades observadas tenían dos años de antigüedad y el 17% al menos cinco.
A medida que su organización crece y se vuelve más dependiente de aplicaciones de terceros, se expone a un mayor número de posibles vulnerabilidades. Garantizar que los sistemas se mantengan protegidos, requiere que los profesionales de la seguridad estén constantemente al día de las últimas actualizaciones de software y de la información sobre las amenazas relacionadas con las aplicaciones de su empresa.
El dilema de parchear
Parchear o no parchear no es exactamente la cuestión en este caso. En el mundo actual, los actores de amenazas lanzan ataques rápidamente, a menudo en cuanto se descubre una vulnerabilidad y antes de que se publique un parche. Esto significa que siempre es mejor y menos arriesgado parchear los sistemas inmediatamente para mantenerse a salvo. Sin embargo, los parches pueden tener consecuencias imprevistas, por lo que el momento de aplicarlos puede ser crítico cuando hay varios sistemas que deben tenerse en cuenta, y puede producirse un tiempo de inactividad.
Piense en los parches de día cero. Dado que se publican lo más rápidamente posible, no se someten a pruebas rigurosas y, sin saberlo, pueden llegar a interferir o entrar en conflicto con otros sistemas o parches, lo que puede causar más problemas.
Para complicar aún más el asunto, la gestión de parches puede fallar por muchas razones. Los parches pueden ser incompatibles con el hardware, los portátiles y dispositivos pueden estar apagados o la actividad del dispositivo puede impedir la instalación. Dada la actual escasez de talentos en ciberseguridad, las estrategias de gestión de parches pueden fracasar simplemente por falta de personal o de experiencia.
Sopesar los efectos a corto plazo frente a un posible ciberataque, como las interrupciones del servicio, o los más catastróficos, como los conflictos de sistema desconocidos, es un acto de equilibrio delicado, pero los sistemas sin parchear son un punto de entrada habitual para los actores de amenazas. Una decisión equivocada, un mal momento o una estrategia de mitigación mal concebida pueden tener consecuencias nefastas, como pueden atestiguar muchas empresas.
Rackspace: Mitigar en lugar de parchear fue la elección equivocada
En diciembre de 2022, el proveedor de servicios en la nube Rackspace fue atacado por el grupo de ransomware Play, que se aprovechó del CVE-2022-41080, un conocido fallo de día cero en el entorno de correo electrónico Hosted Exchange de Microsoft. Microsoft, consciente de la existencia de amenazas que aprovechaban activamente la vulnerabilidad, publicó un parche a principios de noviembre e instó a los clientes a instalar las actualizaciones inmediatamente.
Para Rackspace, la preocupación por la interrupción del servicio y la decisión de confiar en una estrategia de mitigación, primaron sobre la importancia de aplicar el parche. Esa decisión permitió a Play acceder a los datos personales de 27 clientes de Hosted Exchange, lo que, a su vez, provocó interrupciones del servicio para los clientes de Rackspace, precisamente lo que la empresa intentaba evitar. Rackspace no ha dicho si pagó un rescate, pero la reputación de la empresa sin duda sufrió un duro golpe.
Equifax: Una aplicación sin parchear da lugar a uno de los mayores pagos
En 2017, la agencia de información crediticia estadounidense Equifax fue víctima de una brecha de datos que expuso la información personal y confidencial de aproximadamente 147 millones de clientes. En marzo de 2017, se publicó un parche para la vulnerabilidad, conocida como CVE-2017-5638. Pero Equifax no lo aplicó a tiempo, lo que permitió a los hackers aprovechar la vulnerabilidad desde mediados de mayo hasta su descubrimiento en julio.
El incidente provocó un importante escándalo público, graves daños a la reputación y múltiples investigaciones. Finalmente, Equifax llegó a un acuerdo con la FTC, la Oficina de Protección Financiera del Consumidor y 50 estados de Estados Unidos, que incluía un pago de 425 millones de dólares para compensar a los consumidores afectados.
Uber, la SEC y el Departamento de Seguridad Nacional también informaron de que se vieron afectados por la misma vulnerabilidad.
La Cruz Roja: Una vulnerabilidad y personas vulnerables
Nada demuestra más la depravación de los actores de amenazas, que cuando atacaron a una organización humanitaria como es el Comité Internacional de la Cruz Roja y robaron los datos personales de más de 515.000 personas vulnerables. En este ataque, los hackers se aprovecharon de una vulnerabilidad no parcheada (CVE-2021-40539) en la herramienta de inicio de sesión único de Zoho para acceder posteriormente a la base de datos de contactos de la Cruz Roja utilizando herramientas ofensivas de seguridad, lo que hizo que los atacantes parecieran usuarios legítimos.
La sofisticación del ataque y las técnicas de ofuscación utilizadas para evitar su detección, sólo son conocidas por un puñado de grupos de Amenazas Persistentes Avanzadas (APT), lo que hace pensar a muchos miembros de la comunidad de expertos en seguridad, que fue un ataque auspiciado por un estado. En esta línea, está el hecho de que los datos robados pertenecen a personas desaparecidas, personas detenidas y personas desplazadas por conflictos armados, migraciones o desastres naturales. Como no se pidió rescate ni se borraron datos, parece que los autores del ataque los copiaron y exportaron para su propio uso.
El aumento de las vulnerabilidades exige una gestión rigurosa de los parches
En el primer trimestre de 2022, se publicaron más de 8.000 vulnerabilidades en la Base de Datos Nacional de Vulnerabilidades de Estados Unidos, lo que representa un aumento del 25% con respecto al primer trimestre de 2021, una tendencia que probablemente continuará al alza.
Un estudio de Positive Technologies, reveló que el 84% de las empresas tienen vulnerabilidades de alto riesgo en su red externa, y que más de la mitad de las mismas podrían eliminarse fácilmente si las empresas simplemente instalaran actualizaciones y parches, lo que pone de manifiesto lo crítico que puede ser un simple parche y cómo puede disminuir significativamente las posibilidades de sufrir un ataque.
Un despliegue rápido y cuidadoso puede evitar que se convierta en víctima. Sin embargo, mantenerse al día del creciente número de vulnerabilidades es todo un desafío, especialmente para los equipos pequeños y las PYMES. Las empresas de ciberseguridad como CYREBRO, pueden ayudarle a superar este desafío proporcionándole un flujo constante de información crítica sobre amenazas y actualizaciones de proveedores, al tiempo que supervisan su organización 24/7, por si algún incidente llegara a poner en peligro su negocio. Con esa información, será capaz de priorizar las vulnerabilidades y proteger su organización.