Este blog habla sobre la rapidez con la que las empresas están cambiando como resultado de las tecnologías digitales en el cloud, de los riesgos de ciberseguridad vinculados a esto y de cómo una importante empresa estadounidense sufrió una violación de la protección de datos que afectó a más de 143 millones de personas. También descubrirás qué contribuye al aumento de la superficie de ataque digital y del número de vectores de ataque, cómo identificar y minimizar la superficie de ataque y qué beneficios puede obtener tu empresa de ello en última instancia.
Las tecnologías digitales han cambiado radicalmente la forma de hacer negocios de las empresas. En la actualidad se almacenan enormes cantidades de datos en el cloud. Miles de cifras demuestran la rápida adopción del cloud; aquí tienes algunas que resumen lo esencial:
Los números se han disparado. Las empresas utilizan estas tecnologías para mejorar sus procesos, maximizar la disponibilidad, optimizar la experiencia del cliente y reducir los costes al mismo tiempo.
La introducción del cloud está asociada a riesgos de seguridad. Alrededor del 93 % de las empresas afirma que la seguridad en el cloud es su mayor preocupación. Estos riesgos pueden incluir el acceso no autorizado a los datos, ataques DDoS (denegación de servicio distribuido), configuraciones erróneas en el cloud, fugas de datos, violaciones de la privacidad, API (interfaz de programación de aplicaciones) inseguras y mucho más. Las iniciativas de transformación de las empresas están aumentando su superficie de ataque digital y, con ella, los riesgos de seguridad. Imagina tu empresa como una fortaleza y, a medida que sigues ampliándola, le añades más puertas y ventanas. Estas puertas y ventanas ofrecen a los enemigos nuevas oportunidades de entrar. Esto es justo lo que ocurre cuando las empresas introducen tecnologías digitales: las oportunidades de entrada se multiplican, al igual que el tamaño de la superficie de ataque.
¿Qué contribuye a aumentar la superficie de ataque digital en un escenario real? A continuación se enumeran algunos ejemplos:
Los factores mencionados dan lugar a riesgos como plug-ins inseguros, accesos no protegidos, autenticación mal configurada, ingeniería social, malware, ataques de phishing, amenazas internas, software sin parches y mucho más, con lo que la superficie de ataque crece notablemente. Las empresas deben tener cuidado con esto, porque cuanto mayor sea la superficie de ataque, mayor será el riesgo. Muchos incidentes cibernéticos importantes en todo el mundo se atribuyen a superficies de ataque como accesos inseguros, software sin parches y mucho más.
Te presentamos un incidente tristemente célebre debido a un software sin parches:
En 2017, Equifax, una agencia de referencia crediticia con sede en Estados Unidos, sufrió una de las peores vulneraciones de la privacidad de la historia. Unos 143 millones de personas se vieron afectadas por esta violación de los datos. Se filtró información como números de la seguridad social, permisos de conducir, nombres, fechas de nacimiento y direcciones. Alrededor del 40 % de la población estadounidense fue víctima de este incidente con los datos. Las cosas fueron peor aún para unas 200 000 personas, ya que a estas también les robaron los datos de sus tarjetas de crédito.
Fueron varios los factores que condujeron a esta filtración de datos, pero todo empezó con una vulnerabilidad de seguridad que podría haberse solucionado. El portal web de Equifax para los consumidores presentaba una vulnerabilidad (Apache Struts) que los atacantes conocían y aprovecharon. Entraron en los sistemas a través de este resquicio. Además, pudieron moverse sin obstáculos de un sistema a otro porque no estaban segmentados. Encontraron incluso los nombres de usuario y las contraseñas en texto plano, lo cual les permitió acceder a otros sistemas. Los datos se filtraron de forma inadvertida durante meses porque los certificados de seguridad de la herramienta interna de Equifax habían caducado.
Antes de este incidente cibernético se había publicado un parche para solucionar la vulnerabilidad de Apache Struts (ampliamente conocida en el mercado en ese momento). Por desgracia para Equifax, no aplicaron la actualización del parche y la vulnerabilidad persistió. Lamentablemente, ninguno de los escáneres internos pudo detectar esta vulnerabilidad.
Este incidente protagonizado por Equifax trajo consigo mucha prensa negativa, demandas judiciales y una rebaja de la calificación financiera de la organización. La empresa invirtió alrededor de 1400 millones de dólares para actualizar su tecnología y mejorar la seguridad. También gastó 1380 millones de dólares en liquidar y resolver las reclamaciones de los consumidores3.
Este incidente no es un caso aislado por vulnerabilidades no parcheadas, configuraciones erróneas o accesos inseguros. Otros ejemplos son JP Morgan Chase, Uber, el registro electoral de Estados Unidos, Yahoo, Target, Home Depot y muchos más. Alrededor del 70 % de las empresas ya se han visto expuestas a un ciberataque desde un dispositivo desconocido o que no gestionan ellas4. Y solo el 9 % de ha revisado toda su superficie de ataque.
Esto subraya la necesidad de reducir la superficie de ataque eliminando vulnerabilidades, sobre todo porque las empresas añaden dispositivos y tecnologías nuevos a diario. Para minimizar el riesgo de acceso no autorizado, infección, violación de datos u otro incidente cibernético hay que proteger todos los puntos de acceso.
Determinar la superficie de ataque es un proceso complejo. No obstante, existen algunas reglas básicas que pueden ayudar a las empresas a encontrar superficies de ataque.
Inventario
Crea un inventario exhaustivo de todos los recursos informáticos, es decir, servidores, bases de datos, hardware, aplicaciones, etc. El inventario debe incluir tanto los recursos locales como las infraestructuras basadas en el cloud.
Documentación de la red
Comprender la arquitectura de la red es crucial para muchos dispositivos y puntos finales. Para ello, deben tenerse en cuenta todos los puntos de conexión (externos e internos).
Derechos de usuario
Revisa los derechos de usuario y de control de acceso concedidos. ¿Siguen siendo relevantes? ¿Debería retirarse algunos de ellos? En la mayoría de los casos, los derechos de acceso innecesarios aumentan la superficie de ataque.
Evaluación de las herramientas de terceros
Es necesario analizar la interacción y el intercambio de datos con los proveedores y las herramientas de terceros, ya que también brindan acceso a los sistemas internos.
Una vez identificada la superficie de ataque, una empresa puede tomar las siguientes medidas para reducirla:
Actualizar programas y sistemas obsoletos
Actualiza todas las aplicaciones de software y corrige las vulnerabilidades con parches en cuanto estén disponibles.
Segmentar la red
Segmenta tu red en subredes o microsegmentos. Así limitarás el área de la red a la que puede acceder un atacante en caso de incidente de seguridad.
Principio de Least Privilege
Las empresas deben seguir los principios de seguridad de «Least Privilege» o «Zero Trust» para garantizar que solo obtienen acceso los usuarios autorizados y que este acceso se supervisa continuamente. Así se evita la intrusión de agentes malintencionados o hackers.
Evaluar la seguridad
Una de las medidas más importantes para proteger las superficies de ataque es llevar a cabo periódicamente evaluaciones de seguridad y análisis de vulnerabilidades para identificar recursos y riesgos desconocidos. Además de las precauciones mencionadas antes, las empresas también deberían formar a sus equipos y empleados en cuestiones básicas de seguridad. Las personas son el eslabón más débil del sistema y es importante sensibilizarlas sobre los riesgos.
En el caso de Equifax, la empresa no identificó la superficie de ataque y, más aún, no adoptó las medidas de seguridad adecuadas. Si se hubiera cerrado la brecha de seguridad, el atacante nunca habría podido acceder. Si las redes hubieran estado segmentadas, el ataque podría haberse limitado a un único segmento, y el acceso a las aplicaciones internas habría sido aún más difícil si se hubieran seguido los principios de seguridad de «Least Privilege» o «Zero Trust». Es obvio que una empresa aumenta su seguridad reduciendo la superficie de ataque y que así tiene bastante más éxito a la hora de evitar ciberataques. Sin embargo, controlar y minimizar la superficie de ataque conlleva otras ventajas.
Cumplimiento más preciso de la normativa
Supervisar y minimizar constantemente la superficie de ataque ayuda a las empresas a cumplir mejor la normativa pertinente. Esto les permite evitar litigios y multas. Cumpliendo la normativa al detalle, demuestras que te tomas en serio la protección de datos.
Ahorro de costes
Cuanto menor sea la superficie de ataque, menos incidentes cibernéticos tendrás que afrontar. Así ahorras costes, incluidos los de análisis de incidentes, restablecimiento de la disponibilidad operativa, litigios legales, tiempo de inactividad y pérdidas empresariales.
Respuesta eficaz a los incidentes
Una menor superficie de ataque ayuda a las empresas a controlar los incidentes de seguridad y responder con mayor rapidez. Cuanto más rápido reacciones ante los incidentes, mejor podrás reconocerlos, contenerlos y resolverlos. Y así minimizarás el impacto de los incidentes de seguridad.
Mejor reputación y mayor confianza de los clientes
Cumpliendo la normativa de manera estricta y minimizando el número de incidentes de seguridad refuerzas la confianza de los clientes y mejoras la reputación de tu empresa. El cliente moderno recurre a empresas en las que confía.
Mayor productividad
Al reducir la superficie de ataque, se minimiza el número de interrupciones causadas por incidentes cibernéticos, maximizando así el tiempo de producción e impulsando la productividad de tu empresa.
La seguridad como ventaja competitiva
Las empresas que minimizan su superficie de ataque y cumplen a rajatabla la normativa demuestran que son capaces de procesar y proteger los datos de los clientes. Un alto nivel de seguridad es un punto a favor que atrae a nuevos clientes.
En resumen, reduciendo la superficie de ataque, no solo disiparás las dudas de seguridad inmediatas, sino que mejorarás la eficacia operativa y el cumplimiento normativo de tu organización, y además serás más resistente a las ciberamenazas en constante evolución. T-Systems ofrece un servicio de análisis y evaluación de la arquitectura de seguridad actual para las empresas que desean controlar sus superficies de ataque con eficacia. Contamos con un enfoque probado para controlar las superficies de ataque, desde el inventario y la corrección hasta la medición de la eficacia de los programas.
1 Cloud Adoption Statistics, 2023, Zippia
2 IoT Connect Devices, 2023, Statista
3 Equifax Data Breach, 2020, CSO Online
4 Attack Surface Management Statistics, 2023, Webinarcare