Buscar
Desarrolladores de software programando y probando aplicaciones de ciberseguridad

Por qué es tan importante minimizar la superficie de ataque

Descubre por qué controlar la superficie de ataque es esencial para mejorar la seguridad de las empresas digitales modernas

29-ene.-2024Dheeraj Rawal

¿De qué trata este blog?

Este blog habla sobre la rapidez con la que las empresas están cambiando como resultado de las tecnologías digitales en el cloud, de los riesgos de ciberseguridad vinculados a esto y de cómo una importante empresa estadounidense sufrió una violación de la protección de datos que afectó a más de 143 millones de personas. También descubrirás qué contribuye al aumento de la superficie de ataque digital y del número de vectores de ataque, cómo identificar y minimizar la superficie de ataque y qué beneficios puede obtener tu empresa de ello en última instancia.

La transformación digital se acelera

Las tecnologías digitales han cambiado radicalmente la forma de hacer negocios de las empresas. En la actualidad se almacenan enormes cantidades de datos en el cloud. Miles de cifras demuestran la rápida adopción del cloud; aquí tienes algunas que resumen lo esencial:

  • Alrededor del 94 % de las empresas utilizan servicios cloud
  • En torno al 60 % de los datos de las empresas se almacenan en el cloud
  • En 2010, el mercado de la computación y alojamiento en cloud ascendía a 24 600 millones de dólares estadounidenses; en 2020, a 156 400 millones.
  • En 10 años, esta cifra ha aumentado un 535 %.
  • Un empleado utiliza una media de 36 servicios basados en cloud cada día1

Los números se han disparado. Las empresas utilizan estas tecnologías para mejorar sus procesos, maximizar la disponibilidad, optimizar la experiencia del cliente y reducir los costes al mismo tiempo.

La transformación entraña riesgos

La introducción del cloud está asociada a riesgos de seguridad. Alrededor del 93 % de las empresas afirma que la seguridad en el cloud es su mayor preocupación. Estos riesgos pueden incluir el acceso no autorizado a los datos, ataques DDoS (denegación de servicio distribuido), configuraciones erróneas en el cloud, fugas de datos, violaciones de la privacidad, API (interfaz de programación de aplicaciones) inseguras y mucho más. Las iniciativas de transformación de las empresas están aumentando su superficie de ataque digital y, con ella, los riesgos de seguridad. Imagina tu empresa como una fortaleza y, a medida que sigues ampliándola, le añades más puertas y ventanas. Estas puertas y ventanas ofrecen a los enemigos nuevas oportunidades de entrar. Esto es justo lo que ocurre cuando las empresas introducen tecnologías digitales: las oportunidades de entrada se multiplican, al igual que el tamaño de la superficie de ataque.

¿Qué contribuye a aumentar la superficie de ataque digital en un escenario real? A continuación se enumeran algunos ejemplos:

  • Uso de recursos y tecnologías digitales
    Con el tiempo, las empresas incorporan activos como nuevos dispositivos, servidores, bases de datos, aplicaciones, etc. Las nuevas tecnologías también abren nuevas oportunidades de entrada con nuevas interfaces y canales de comunicación. 
  • Mayor conectividad
    Cuantos más sistemas y dispositivos están conectados, más vías se abren. Estas rutas son puntos de ataque potenciales. 
    En 2025 habrá unos 75 000 millones de dispositivos conectados a la red en todo el mundo.2
  • Trabajo remoto e híbrido
    Los empleados que acceden a las aplicaciones desde múltiples dispositivos (de trabajo y privados) y desde diferentes ubicaciones también aumentan la superficie de ataque. Además, no se puede garantizar la seguridad de los dispositivos y redes personales.
  • Software obsoleto y sin parches
    Cualquier aplicación que funcione con software obsoleto o sin parches puede presentar vulnerabilidades que den lugar a posibles ataques (más adelante, este blog incluye un informe sobre un ataque).
  • Servicios de terceros
    Las empresas necesitan productos y servicios de terceros, incluidos sistemas externos, API, aplicaciones, etc. Y estas aplicaciones de terceros aumentan la superficie de ataque. Además, es posible que los sistemas externos no cumplan las directrices de seguridad de tu empresa.

Los factores mencionados dan lugar a riesgos como plug-ins inseguros, accesos no protegidos, autenticación mal configurada, ingeniería social, malware, ataques de phishing, amenazas internas, software sin parches y mucho más, con lo que la superficie de ataque crece notablemente. Las empresas deben tener cuidado con esto, porque cuanto mayor sea la superficie de ataque, mayor será el riesgo. Muchos incidentes cibernéticos importantes en todo el mundo se atribuyen a superficies de ataque como accesos inseguros, software sin parches y mucho más.

Una vulnerabilidad y 143 millones de personas afectadas

Te presentamos un incidente tristemente célebre debido a un software sin parches:

En 2017, Equifax, una agencia de referencia crediticia con sede en Estados Unidos, sufrió una de las peores vulneraciones de la privacidad de la historia. Unos 143 millones de personas se vieron afectadas por esta violación de los datos. Se filtró información como números de la seguridad social, permisos de conducir, nombres, fechas de nacimiento y direcciones. Alrededor del 40 % de la población estadounidense fue víctima de este incidente con los datos. Las cosas fueron peor aún para unas 200 000 personas, ya que a estas también les robaron los datos de sus tarjetas de crédito.

Fueron varios los factores que condujeron a esta filtración de datos, pero todo empezó con una vulnerabilidad de seguridad que podría haberse solucionado. El portal web de Equifax para los consumidores presentaba una vulnerabilidad (Apache Struts) que los atacantes conocían y aprovecharon. Entraron en los sistemas a través de este resquicio. Además, pudieron moverse sin obstáculos de un sistema a otro porque no estaban segmentados. Encontraron incluso los nombres de usuario y las contraseñas en texto plano, lo cual les permitió acceder a otros sistemas. Los datos se filtraron de forma inadvertida durante meses porque los certificados de seguridad de la herramienta interna de Equifax habían caducado.

Antes de este incidente cibernético se había publicado un parche para solucionar la vulnerabilidad de Apache Struts (ampliamente conocida en el mercado en ese momento). Por desgracia para Equifax, no aplicaron la actualización del parche y la vulnerabilidad persistió. Lamentablemente, ninguno de los escáneres internos pudo detectar esta vulnerabilidad.

Este incidente protagonizado por Equifax trajo consigo mucha prensa negativa, demandas judiciales y una rebaja de la calificación financiera de la organización. La empresa invirtió alrededor de 1400 millones de dólares para actualizar su tecnología y mejorar la seguridad. También gastó 1380 millones de dólares en liquidar y resolver las reclamaciones de los consumidores3.

Este incidente no es un caso aislado por vulnerabilidades no parcheadas, configuraciones erróneas o accesos inseguros. Otros ejemplos son JP Morgan Chase, Uber, el registro electoral de Estados Unidos, Yahoo, Target, Home Depot y muchos más. Alrededor del 70 % de las empresas ya se han visto expuestas a un ciberataque desde un dispositivo desconocido o que no gestionan ellas4. Y solo el 9 % de ha revisado toda su superficie de ataque.

Esto subraya la necesidad de reducir la superficie de ataque eliminando vulnerabilidades, sobre todo porque las empresas añaden dispositivos y tecnologías nuevos a diario. Para minimizar el riesgo de acceso no autorizado, infección, violación de datos u otro incidente cibernético hay que proteger todos los puntos de acceso.

¿Cómo se reconoce una superficie de ataque?

Determinar la superficie de ataque es un proceso complejo. No obstante, existen algunas reglas básicas que pueden ayudar a las empresas a encontrar superficies de ataque.

Inventario

Crea un inventario exhaustivo de todos los recursos informáticos, es decir, servidores, bases de datos, hardware, aplicaciones, etc. El inventario debe incluir tanto los recursos locales como las infraestructuras basadas en el cloud.

Documentación de la red

Comprender la arquitectura de la red es crucial para muchos dispositivos y puntos finales. Para ello, deben tenerse en cuenta todos los puntos de conexión (externos e internos).

Derechos de usuario

Revisa los derechos de usuario y de control de acceso concedidos. ¿Siguen siendo relevantes? ¿Debería retirarse algunos de ellos? En la mayoría de los casos, los derechos de acceso innecesarios aumentan la superficie de ataque.

Evaluación de las herramientas de terceros

Es necesario analizar la interacción y el intercambio de datos con los proveedores y las herramientas de terceros, ya que también brindan acceso a los sistemas internos.

¿Cómo se reduce la superficie de ataque?

Una vez identificada la superficie de ataque, una empresa puede tomar las siguientes medidas para reducirla:

Actualizar programas y sistemas obsoletos

Actualiza todas las aplicaciones de software y corrige las vulnerabilidades con parches en cuanto estén disponibles.

Segmentar la red

Segmenta tu red en subredes o microsegmentos. Así limitarás el área de la red a la que puede acceder un atacante en caso de incidente de seguridad.

Principio de Least Privilege

Las empresas deben seguir los principios de seguridad de «Least Privilege» o «Zero Trust» para garantizar que solo obtienen acceso los usuarios autorizados y que este acceso se supervisa continuamente. Así se evita la intrusión de agentes malintencionados o hackers.

Evaluar la seguridad

Una de las medidas más importantes para proteger las superficies de ataque es llevar a cabo periódicamente evaluaciones de seguridad y análisis de vulnerabilidades para identificar recursos y riesgos desconocidos. Además de las precauciones mencionadas antes, las empresas también deberían formar a sus equipos y empleados en cuestiones básicas de seguridad. Las personas son el eslabón más débil del sistema y es importante sensibilizarlas sobre los riesgos.

En el caso de Equifax, la empresa no identificó la superficie de ataque y, más aún, no adoptó las medidas de seguridad adecuadas. Si se hubiera cerrado la brecha de seguridad, el atacante nunca habría podido acceder. Si las redes hubieran estado segmentadas, el ataque podría haberse limitado a un único segmento, y el acceso a las aplicaciones internas habría sido aún más difícil si se hubieran seguido los principios de seguridad de «Least Privilege» o «Zero Trust». Es obvio que una empresa aumenta su seguridad reduciendo la superficie de ataque y que así tiene bastante más éxito a la hora de evitar ciberataques. Sin embargo, controlar y minimizar la superficie de ataque conlleva otras ventajas.

Ventajas de controlar y reducir las superficies de ataque

Cumplimiento más preciso de la normativa

Supervisar y minimizar constantemente la superficie de ataque ayuda a las empresas a cumplir mejor la normativa pertinente. Esto les permite evitar litigios y multas. Cumpliendo la normativa al detalle, demuestras que te tomas en serio la protección de datos.

Ahorro de costes

Cuanto menor sea la superficie de ataque, menos incidentes cibernéticos tendrás que afrontar. Así ahorras costes, incluidos los de análisis de incidentes, restablecimiento de la disponibilidad operativa, litigios legales, tiempo de inactividad y pérdidas empresariales.

Respuesta eficaz a los incidentes

Una menor superficie de ataque ayuda a las empresas a controlar los incidentes de seguridad y responder con mayor rapidez. Cuanto más rápido reacciones ante los incidentes, mejor podrás reconocerlos, contenerlos y resolverlos. Y así minimizarás el impacto de los incidentes de seguridad.

Mejor reputación y mayor confianza de los clientes

Cumpliendo la normativa de manera estricta y minimizando el número de incidentes de seguridad refuerzas la confianza de los clientes y mejoras la reputación de tu empresa. El cliente moderno recurre a empresas en las que confía.

Mayor productividad

Al reducir la superficie de ataque, se minimiza el número de interrupciones causadas por incidentes cibernéticos, maximizando así el tiempo de producción e impulsando la productividad de tu empresa.

La seguridad como ventaja competitiva

Las empresas que minimizan su superficie de ataque y cumplen a rajatabla la normativa demuestran que son capaces de procesar y proteger los datos de los clientes. Un alto nivel de seguridad es un punto a favor que atrae a nuevos clientes.

En resumen, reduciendo la superficie de ataque, no solo disiparás las dudas de seguridad inmediatas, sino que mejorarás la eficacia operativa y el cumplimiento normativo de tu organización, y además serás más resistente a las ciberamenazas en constante evolución. T-Systems ofrece un servicio de análisis y evaluación de la arquitectura de seguridad actual para las empresas que desean controlar sus superficies de ataque con eficacia. Contamos con un enfoque probado para controlar las superficies de ataque, desde el inventario y la corrección hasta la medición de la eficacia de los programas.

Para más información, descarga el folleto aquí

1 Cloud Adoption Statistics, 2023, Zippia
2 IoT Connect Devices, 2023, Statista
3 Equifax Data Breach, 2020, CSO Online
4 Attack Surface Management Statistics, 2023, Webinarcare

Información sobre el autor
Dheeraj Rawal

Dheeraj Rawal

Marketing de contenidos, T-Systems International GmbH

Todos los artículos y perfil del autor

Esto también podría interesarte

Do you visit t-systems.com outside of Spain? Visit the local website for more information and offers for your country.