Más allá de la gestión de parches: El peligro oculto de los escaneos de red

Cuando se produce un apagón, los agentes de policía suelen comprobar si un vecindario ha recuperado la electricidad observando el tenue resplandor de los timbres de las puertas. Esta pequeña luz, incluso en una casa vacía, es señal de que se ha restablecido la electricidad. Del mismo modo, los delincuentes emplean métodos sorprendentemente sencillos para identificar objetivos potenciales. Por ejemplo, los ladrones de coches recorren las calles con disimulo, levantando sutilmente las manecillas de las puertas en busca de un vehículo abierto. A los ladrones de viviendas, en cambio, les atraen los jardines cubiertos de maleza o la acumulación de paquetes en la puerta de una casa, lo que podría sugerir una ausencia prolongada. Los ladrones de identidad se aprovechan de quienes, sin ser conscientes de ello, comparten un exceso de información personal en las redes sociales. Sin darnos cuenta, emitimos constantemente señales que pueden revelar nuestras vulnerabilidades a personas malintencionadas, y los delincuentes experimentados saben cómo buscarlas.

Encontrar las vulnerabilidades de una red

Del mismo modo que los delincuentes convencionales buscan signos físicos de vulnerabilidad, los hackers y los ciberdelincuentes buscan puntos débiles en el mundo digital. Cuando evalúan un objetivo potencial en persona, se fijan en los sistemas operativos de los ordenadores visibles, como los de una recepción. Los sistemas obsoletos pueden indicar un retraso en la adopción de nuevas tecnologías, lo que sugiere posibles deficiencias en las prácticas de ciberseguridad. Del mismo modo, una seguridad física insuficiente puede indicar una actitud laxa con respecto a la ciberseguridad, lo que constituye un blanco atractivo para los ciberataques.

Sin embargo, no es necesario estar presente para buscar puntos débiles en una red. Un actor de amenazas puede consultar fácilmente las últimas Vulnerabilidades y Exposiciones Comunes (CVE), que son listas de acceso público de fallos de seguridad documentados. Estas listas se mantienen para promover el intercambio de información y ayudar a las organizaciones a reforzar su seguridad. Según Eden Naggel, jefe del equipo DFIR de CYREBRO:

«El escaneo es un concepto sencillo, y no hay razón para que los actores maliciosos no empiecen con él. Recurrir a una supervisión 24/7 que haga uso de las TTP de MITRE ATT&CK, puede tener un impacto significativo en la seguridad de una organización, especialmente durante las cruciales fases iniciales de los ataques. Sin embargo, es esencial tener en cuenta que la supervisión no se debe basar únicamente en las TTP de ATT&CK; también debe incorporar la detección basada en firmas, el aprendizaje automático, reglas personalizadas para identificar actividades anómalas y, por supuesto, la inteligencia sobre amenazas.»

He aquí una secuencia típica de pasos que podrían seguir los hackers:

  1. En primer lugar, consultan la base de datos CVE para identificar las vulnerabilidades conocidas en los sistemas, ordenadores y dispositivos de red comunes a la organización seleccionada como objetivo.
  2. Una vez que localizan una vulnerabilidad conocida, buscan exploits asociados.
  3. Antes de atacar un entorno real, pueden poner a prueba el exploit.
  4. Los hackers utilizan un escáner de vulnerabilidades para analizar la red e identificar las vulnerabilidades conocidas.
  5. Finalmente, ejecutan el ataque contra la vulnerabilidad para conseguir el acceso no autorizado a la red y proceder con sus actividades maliciosas.


Como casi todas las herramientas de ciberseguridad, los CVE y las herramientas de escaneo de redes pueden utilizarse tanto con fines positivos como negativos. Los ciberdelincuentes esperan su momento, vigilan los avisos CVE de la comunidad dedicada a la seguridad y los aprovechan en su beneficio. Dada la facilidad de uso de las modernas herramientas de escaneo de redes, incluso los hackers aficionados pueden llevar a cabo escaneos de CVE de reciente publicación, vendiendo posteriormente sus descubrimientos a actores de amenazas más hábiles que pueden explotar eficazmente esas vulnerabilidades.

La carrera está en marcha

¿Cómo benefician exactamente los avisos CVE a las organizaciones honestas cuando la misma información está a disposición de los ciberdelincuentes? El propósito de los CVE es proporcionar información a los departamentos internos de informática y a los proveedores de servicios gestionados (MSP) sobre las vulnerabilidades, tanto pasadas como presentes, así como permitirles abordar estos problemas de acuerdo con la solución sugerida por el proveedor, normalmente mediante la aplicación de parches. Esto requiere que las organizaciones sean rápidas y minuciosas en sus procedimientos de aplicación de parches, dado que la rapidez con la que actúan los ciberdelincuentes aumenta constantemente, gracias a procesadores más rápidos, herramientas más avanzadas y un mejor reconocimiento. En esencia, es fundamental adelantarse a los adversarios en sus actividades de investigación y mitigación de CVE. Es una carrera que hay que ganar.

No se puede depender únicamente de los parches

Sería maravilloso que la ciberseguridad fuera tan fácil como mantener los sistemas y el software totalmente parcheados. Por desgracia, la ciberseguridad es un proceso complejo que requiere tiempo, estrategia y esfuerzo. Aunque una mala gestión de los parches expondrá a su empresa a ataques susceptibles de ser explotados, la aplicación de parches por sí sola no es suficiente. En primer lugar, hay otras metodologías de ataque que los hackers pueden utilizar para acceder a su red, como el phishing, la ingeniería social, los ataques de denegación de servicio, las inyecciones SQL y los ataques de relleno de credenciales *(credential stuffing), por nombrar sólo algunos. Pero incluso la gestión de parches por sí sola es todo un desafío. En segundo lugar, los CVE reflejan vulnerabilidades conocidas y no incluyen ataques de día cero. Los parches suelen requerir un reinicio para completarse. Como parece que nunca es un buen momento para desconectar los switches, los routers y los servidores de aplicaciones, estos procesos de actualización se retrasan perpetuamente hasta “algún día” que nunca parece llegar. Como mínimo, la aplicación de parches se retrasa hasta el fin de semana o las horas no laborables.

El proceso de escaneo de las vulnerabilidades de red

La buena noticia es que usted puede realizar los mismos escaneos de vulnerabilidades en su red que los hackers, ya que ambos tienen acceso a la misma información. Es importante realizar escaneos tanto externos como internos, ya que una vez que su red ha sido vulnerada, los intrusos podrán desplazarse lateralmente a través de su red para realizar reconocimientos. El escaneo de la red también puede descubrir otros puntos de ataque susceptibles de ser explotados, como puertos abiertos o configuraciones erróneas. No debe considerar los escaneos de vulnerabilidades como un evento programado que se realiza una vez al año. Deben realizarse con regularidad las 24 horas del día, los 7 días de la semana, ya que constantemente se descubren nuevas vulnerabilidades y los hackers nunca descansan. De hecho, muchos de sus escaneos están automatizados.

El desafío para las PYME

El proceso de aplicación de parches y escaneo de vulnerabilidades puede plantear importantes desafíos a las PYME, principalmente debido a la limitación de los recursos informáticos y a la falta de procedimientos formales de gestión de parches. Las PYME suelen carecer de dichos procedimientos, lo que puede dar lugar a una aplicación incoherente de los parches de la que pueden aprovecharse los atacantes. Un Centro de Operaciones de Seguridad (SOC) como CYREBRO puede hacer frente a estos desafíos con eficacia. Al incorporar la experiencia de un SOC, que es experto en la identificación de vulnerabilidades de red en diversos sectores, las PYME pueden dedicar sus recursos internos a la consecución de sus objetivos empresariales. Esta asociación en materia de seguridad ofrece a las organizaciones la tranquilidad de saber que sus sistemas están constantemente vigilados y protegidos frente a posibles amenazas.

Conclusión

Puede resultar incómodo saber que los ciberdelincuentes disponen de la misma información que los equipos de ciberseguridad en lo que respecta a las brechas de seguridad. La aplicación de parches y actualizaciones es una tarea que no tiene fin, ya que constantemente aparecen nuevos CVE y vulnerabilidades aprovechables. Si bien esta tarea puede ser todo un reto, también puede ser manejable si se cuenta con las soluciones adecuadas.

Regístrese para obtener actualizaciones