Seguridad Bajo Amenaza: Tengo lo último en tecnología, ¿Por qué fui hackeado?

mayo 20, 2024

En mi artículo más reciente, abordé la importancia de los procesos bien definidos como parte de una estrategia de seguridad efectiva. En esta ocasión, nos centraremos en el segundo pilar de una estrategia de seguridad efectiva: La Tecnología.

¿Por qué Seguimos Teniendo Incidentes a Pesar de Usar la Última Tecnología?

Muchas veces se culpa al usuario final por todos los problemas, pero ¿no se supone que las tecnologías implementadas deberían detener estos incidentes? Incluso, aunque el usuario final sea solo la puerta de entrada inicial, los movimientos por la red y la escalada de privilegios en la mayoría de los casos son producto de malas implementaciones, errores de configuración, errores de comunicación y malas prácticas, debido a desconocimiento o falta de experiencia.

Ciberseguridad NO es Solo Implementar Tecnología

Cuando hablamos de implementar ciberseguridad no es comprar los juguetes más caros, con los reportes más coloridos y bonitos, si al final no desarrollas una estrategia alineada a los objetivos del negocio y la protección de los activos realmente importantes, para la continuidad de las operaciones.

Los controles de seguridad no deben paralizar las operaciones ni entorpecer el trabajo de los colaboradores. Como ciberdefensores, debemos comprender que los negocios existen para agregar valor a los clientes y transformar ese valor en dinero, dinero que paga nuestros salarios y el de todos en la organización..

Cada vez que implementemos un control, debe estar basado en un plan estratégico con un proceso de implementación progresivo, alineado con los objetivos del negocio, y buscando impactar lo menos posible en la eficiencia operativa de los colaboradores. Además, es esencial incluir en nuestro proceso de planificación una fase de comunicación y formación para explicar la razón del control, sus beneficios y su importancia, utilizando un lenguaje comprensible para los usuarios, evitando términos técnicos.

Comunicación como clave en Incorporación efectiva de nuestro plan estratégico de Ciberseguridad.

Vemos 2 escenarios, de comunicación con nuestros usuarios durante la implementación de un control, en este caso se busca implementar MFA en las cuentas de redes sociales, manejadas por el equipo de Marketing de la empresa ACME S.A:

Escenario 1:

  • IT Guy: Hola, necesito instale en su teléfono Google Authenticator, en su teléfono y cree una contraseña segura, para proteger las redes sociales de la empresa.
  • Marketing: ¿Por qué?
  • IT Guy: Por es más seguro y las políticas de seguridad lo dicen

Escenario 2:

  • IT Guy: Hola, quisiera solicitar una reunión con el equipo de marketing para conversar sobre los riesgos y posibles amenazas a las que están expuestas las redes sociales de la empresa y cómo podemos resolverlo.
  • Marketing: Si claro que sí, me parece interesante.
  • IT Guy: Voy a mostrarte algunos casos de influencers y empresas que perdieron los accesos a sus redes sociales. En todos los casos los ciber criminales aprovecharon el acceso para estafar a sus seguidores.
  • Marketing: ¿Cómo sucedió eso?
  • IT Guy: En algunos casos se Debió a que usaban contraseñas débiles y en otros casos fueron engañados por estafadores. Dando como resultado, perdidas económicas a la empresa lo que resulto en un recorte de personal inevitable para mantener las operaciones.
  • Marketing: Wao, pensé que eso solo pasaba en películas, ¿qué podemos hacer para evitarlo?
  • IT Guy: Efectivamente tenemos una solucion, vamos a hacer lo siguiente:
    • Necesitamos crear una contraseña robusta y no te preocupes por memorizarla, instalaré una aplicación segura en tu computadora para que la recuerde por ti.
    • Instalaré una aplicación en tu teléfono que generará unos números que cambian constantemente y al colocar tu usuario y password, te solicitará esos 6 números.
    • Además jamás abras links ni compartas contraseñas o el código generado con nadie en lo absoluto. Inmediatamente debes bloquearlo y reportarlo. Te muestro cómo hacerlo.
  • Marketing: Excelente eres un sol, gracias por tu ayuda.

En el primer escenario, la comunicación fue tosca y ruda, generando incomodidad y molestia en el equipo de marketing. Ellos perciben al equipo de seguridad como una fuente de molestias que dificulta su trabajo. Como resultado, terminarán anotando las credenciales en un papel, en un bloc de notas o debajo del teclado, y finalmente informarán a la alta gerencia que esa aplicación de MFA les impide hacer su trabajo, solicitando que se retire.

En el segundo escenario, se presentaron casos reales y el impacto que causaron, lo que permitió al equipo de marketing comprender la importancia de tus recomendaciones. Además, nadie quiere perder su trabajo cuando hay una solución disponible. Al ser tú el experto, el personal siente que los has ayudado y enseñado, y probablemente aplicarán las mismas medidas de seguridad en sus cuentas personales. De esta manera, creaste un nuevo aliado.

Algunas causas por la que las empresas son Hackeadas

Desarrollos Inseguros Made-Home

Cada vez más, me encuentro con organizaciones que desarrollan sus propias aplicaciones para resolver necesidades internas, como automatización, CRM, entre otros. Sin embargo, es muy común que los equipos de ciberseguridad y desarrollo de software trabajen como dos silos independientes, enterándose del software solo cuando ya está en producción. Esto puede generar una posible superficie de ataque que puede ser explotada por ciberdelincuentes.

Los errores más comunes que se transforman en brechas de seguridad son los siguientes:

  • Poca o ninguna interacción del equipo de ciberseguridad durante el proceso de diseño, desarrollo e implementación de la solución: La falta de colaboración entre los equipos de desarrollo y ciberseguridad resulta en aplicaciones que no consideran aspectos críticos de seguridad desde el inicio.
  • Ausencia de prácticas de desarrollo seguro: No seguir metodologías de desarrollo seguro como la verificación de entrada, la autenticación robusta y la gestión segura de sesiones puede llevar a vulnerabilidades explotables.
  • Falta de auditorías de seguridad: No realizar auditorías de seguridad regulares para evaluar y mejorar la postura de seguridad del software incrementa el riesgo de que vulnerabilidades pasen desapercibidas.
  • Usuarios de servicios con permisos excesivos: Asignar permisos más allá de lo necesario para el funcionamiento de servicios y aplicaciones puede facilitar la explotación de estos permisos por parte de atacantes.
  • Firewalls de servidores desactivados para “reducir problemas de conectividad”: Desactivar firewalls para evitar problemas de conectividad abre la puerta a posibles ataques, ya que se eliminan capas críticas de defensa.
  • Inclusión en la lista blanca de los Endpoint Security: Al incluir aplicaciones en la lista blanca, se evita que las herramientas de seguridad las monitoreen, lo que permite que actividades maliciosas pasen desapercibidas.
  • Uso de librerías desactualizadas y sin soporte: Utilizar librerías obsoletas y sin soporte puede introducir vulnerabilidades conocidas que los atacantes pueden explotar fácilmente.
  • Ausencia de trazado de eventos o logs: No contar con un registro detallado de eventos de seguridad complica la identificación y análisis de incidentes, retrasando la respuesta a los mismos.
  • Manejo inadecuado de credenciales y claves: Almacenar credenciales, claves API o certificados de forma insegura, como en el código fuente o en archivos no protegidos.
  • Desconocimiento de los marcos de trabajo y estándares de seguridad: No seguir marcos de trabajo y estándares reconocidos como OWASP, ISO/IEC 27001, o NIST, lo que puede llevar a omitir prácticas de seguridad críticas.

Implementación Insegura de Soluciones Externas o Comerciales

Al igual que en los desarrollos hechos en casa, regularmente se observan departamentos distintos a IT que adquieren e implementan soluciones sin el consentimiento de IT o los equipos de seguridad, y en la mayoría de estos casos, son soluciones con acceso a información crítica de la empresa, por lo que una mala implementación de las mismas, puede generar resultados catastróficos.

Algunos de los errores más comunes que se pueden presentar son:

  • Poca o ninguna integración con las políticas de la organización: No asegurar que las nuevas soluciones se integren adecuadamente con las políticas de seguridad y los sistemas existentes de la empresa puede crear brechas de seguridad.
  • Usuarios de servicios con permisos excesivos: Asignar permisos más allá de lo necesario para el funcionamiento de servicios y aplicaciones puede facilitar la explotación de estos permisos por parte de atacantes.
  • Actualización y Mantenimiento Inadecuados:  No mantener las soluciones actualizadas con los últimos parches y actualizaciones de seguridad deja el software vulnerable a ataques conocidos.
  • Shadow IT:  La presencia de Shadow IT puede resultar en la exposición de datos sensibles, la creación de vulnerabilidades no gestionadas y el incumplimiento de normativas de seguridad.
  • Firewalls de servidores desactivados para “reducir problemas de conectividad”: Desactivar firewalls para evitar problemas de conectividad abre la puerta a posibles ataques, ya que se eliminan capas críticas de defensa.

Configuraciones Insegura en Dispositivos Conectados

Muchas veces subestimamos el impacto que puede causar un dispositivo conectado a la red corporativa, ya sea una computadora personal, un dispositivo móvil o incluso un simple detector de humedad. En una ocasión, durante una prueba de intrusión autorizada, un dispositivo de detección de humedad conectado a la red nos permitió acceder a la red de servidores, la cual se suponía que estaba “completamente aislada”. Al presentar el informe, el cliente indicó que desconocía que el equipo estaba conectado a la red. Además, el dispositivo había estado conectado por más de 5 años sin recibir actualizaciones y, como si fuera poco, tenía una vulnerabilidad crítica y estaba configurado con credenciales de fábrica.

Algunos de los errores comunes encontrados en organizaciones:

  • Equipos con credenciales de fábrica: No cambiar las credenciales predeterminadas que vienen con los dispositivos, lo cual facilita el acceso no autorizado.
  • Equipos con configuraciones por defecto sin adaptación al entorno: Utilizar configuraciones estándar que no se ajustan a las necesidades específicas del entorno de la organización, aumentan el riesgo de explotación.
  • Equipos desactualizados: No mantener los dispositivos actualizados con los últimos parches de seguridad, lo que deja el sistema vulnerable a ataques conocidos.
  • Dispositivos con vulnerabilidades presentes: Tener dispositivos que contienen vulnerabilidades conocidas pero no mitigadas, exponiendo la red a posibles ataques.
  • Dispositivos sin protección de malware: No implementar soluciones de protección contra malware en todos los dispositivos conectados, permite que el software malicioso se propague sin ningún tipo de restricción.

Configuraciones Insegura de Controles de Seguridad e Infraestructuras

Es posible que te sorprendas al leer “Configuraciones Insegura”, junto con “Controles de Seguridad”, sin embargo, esto es más común de lo que crees y se da mucho más con los clásicos “yo tengo un amigo que me hace lo mismo pero más barato”. Durante mis 10 años en el campo de ciberseguridad, me he encontrado muchísimas empresas, indicando que tienen sistemas robustos de ciberseguridad y que no necesitan nada más, hasta que los auditas y te das cuenta, que simplemente tienen un montón de aplicaciones instaladas que no resuelven ninguno de sus problemas y por el contrario crean nuevas brechas de seguridad al entorno.

Algunos de los errores comunes encontrados en organizaciones:

  • Credenciales administrativas de acceso default en firewalls y otros controles: No cambiar las credenciales predeterminadas de los dispositivos de seguridad, lo que facilita el acceso no autorizado.
  • Puertos administrativos expuestos a internet con contraseñas débiles:  Tener puertos abiertos a internet con contraseñas débiles, aumenta el riesgo de ataques de fuerza bruta.
  • DLP con configuraciones default: un dlp sin configuraciones propias del negocio, generará una alta cantidad de falsos positivos y lo que es mucho peor, puede dejar pasar falsos negativos, poniendo en riesgo la seguridad de su información.
  • Sistemas Operativos desactualizados: la falta de actualizaciones  en los dispositivos, permite a los ciber criminales explotar las vulnerabilidades existentes, permitiendo la distribución de malware por la red o incluso la toma del control de los mismos.
  • Firewalls desactualizados: el firewall es uno de los controles de seguridad principales y básico que toda empresa debe tener, para proteger su red de tráfico malicioso, sin embargo tenerlo desactualizado es como vivir en una casa sin techo durante una tormenta, es inservible.
  • Antivirus/Antimalware o Endpoint Security Piratas: la mayoría del software crackeado disponible en internet, cuentan con malware, lo que transforma su supuesto software de seguridad en un centro de distribución de malware, poniendo en riesgo sus operaciones.
  • Antivirus/Antimalware o Endpoint Security desactualizados: muchas soluciones de seguridad requieren de firmas, generadas por el threat intelligence network, sin embargo si mantenemos nuestras soluciones desactualizadas, corremos con el riesgo de impactar con la continuidad del negocio, generando pérdidas económicas.
  • Sistemas de detección de intrusos (IDS) sin reglas: aunque muchos IDS hacen uso de análisis de comportamiento para identificar tráfico o actividad maliciosa, la mayoría de estos utilizan reglas para la identificación de patrones, sin estas reglas activas y adaptadas a su tipo de tráfico, es tener un super auto sin gasolina, sin motor y sin neumáticos.
  • Múltiples aplicaciones obsoletas y crackeadas: las aplicaciones desactualizadas contienen una gran cantidad de vulnerabilidades lo que representa un riesgo para la organización.
  • Firewall de sistema operativo desactivados: desactivar el firewall del sistema operativo, significa eliminar uno de los controles de seguridad que puede impedir que un atacante continue
  • desplazándose por su red.
  • Servidores, clientes e invitados en la misma red: No segmentar adecuadamente la red, permitiendo que todos los dispositivos, incluidos los de invitados, compartan la misma red, aumenta el riesgo de propagación de malware, y facilita el desplazamiento de los cibercriminales.
  • Puertos de Red activos sin uso: mantener puertos disponibles y activos en sus oficinas, permite a un atacante con acceso físico a la red, conectar su dispositivos para ejecutar diversos tipos de ataques, incluso la capacidad de dejar permanentemente conectado herramientas que les permitan accesos remotos a su red sin su consentimiento.

Recomendaciones:

Desarrollos Internos o Externos:

  • Involucra al departamento de seguridad en todos tus desarrollos internos y externos desde la fase de diseño, desarrollo e implementación, para garantizar que se cumplan las mejores prácticas de seguridad y evitar exponer a la organización a riesgos innecesarios.
  • Realiza pruebas de seguridad durante todo el ciclo de pruebas de tus aplicaciones, tanto internas como externas.
  • Ofrece entrenamientos continuos a tus equipos de desarrollo de software en prácticas de desarrollo seguro y ciberdefensa.
  • Ejecuta pruebas de intrusión continuas en cada versión de la aplicación antes de su lanzamiento a producción, lo que ayudará a reducir los riesgos.
  • Implementa WAF (firewall de aplicaciones web) para proteger tus aplicaciones y asegurar los datos a nivel de campo en la base de datos.
  • Cifra toda información que se considere confidencial.
  • Utiliza frameworks que ofrezcan funcionalidades de seguridad integradas.
  • Evalúa y monitorea las librerías que utilizas, evitando el uso de librerías obsoletas o sin mantenimiento activo.
  • Nunca implementes soluciones sin el consentimiento o conocimiento de los equipos de TI o ciberseguridad. Esto permitirá que desarrollen un proceso de gestión de riesgos y apliquen las configuraciones necesarias para mantener la confidencialidad, integridad y disponibilidad de la información.

Controles de Seguridad e Infraestructura

  • Desarrolla e implementa políticas de seguridad, estándares y baseline, con el apoyo de la alta gerencia para que sea respetado y aceptado por todos los departamentos.
  • Identifica el estado actual de seguridad de tus entornos, no se trata solo de comprar soluciones, se trata de identificar posibles riesgos en tus activos más importantes y diseñar una solución para estos, que en ocasiones puede que no necesite de software adicional, si no de la correcta configuración de la solución que ya posees.
  • Jamás uses software pirata, ahorrarte unos dolares hoy, podría costarte mucho dinero mañana.
  • Jamás mantengas configuraciones de fábrica en tus dispositivos, aplicaciones y controles de seguridad.
  • Adapta las soluciones DLP a tu negocio, implementa las configuraciones necesarias para que la solución reconozca que información es confidencial y no debe salir de la organización y las acciones que deba tomar ya sea reportar o bloquear.
  • Actualiza tus soluciones constantemente, siempre tomando en cuenta controles de cambio controlados y verificados previamente en un entorno de pruebas.
  • Evita el uso de reglas de firewalls excesivamente permisivas, aplica el concepto de negación implícita, donde todo inicia negando y únicamente permite lo necesario para las operaciones.
  • Segmenta y microsegmenta la red, de esta manera distribuirás el riesgo y reducirás el alcance de un ciberataque en caso de presentarse, además de aplicar controles en cada segmento de red como IDS/IPS, Firewalls a nivel de perímetro, host y aplicaciones.
  • Desarrolla y prueba, planes de continuidad de negocio y recuperación ante desastres.
  • Ejecuta ejercicios de TableTop donde pongas a prueba a tus equipos de TI y Ciberseguridad y todos los involucrados ante un supuesto escenario y así conocerás si estan preparados o no, y aplicar mejoras.
  • Incorpora pruebas de seguridad durante el ciclo de pruebas de tus aplicaciones desarrolladas internamente o por parte de terceros.
  • Ejecuta de forma continua evaluaciones de vulnerabilidad sobre tu infraestructura y estaciones de usuario.
  • Gestiona todos tus activos digitales y físicos de forma eficiente y automatizada, esto te permitirá saber en todo momento el estado de los dispositivos conectados a tu red.
  • Implementa el concepto de ZeroTrust jamás confíes, siempre verifica.
  • Implementa controles de acceso a nivel de red o NAC, para evitar dispositivos no autorizados merodeando en tu red.

Conclusiones

La ciberseguridad es un esfuerzo conjunto, por lo que el trabajo en equipo y la comunicación son esenciales para que una estrategia de seguridad tenga éxito. Entendemos que los departamentos de TI y ciberseguridad a menudo están muy ocupados y que la presión del mercado puede llevar a otros departamentos a buscar soluciones rápidas. Sin embargo, siempre debemos considerar las posibles consecuencias negativas, el impacto en la continuidad del negocio y los riesgos asociados con la implementación de soluciones sin la debida comunicación y evaluación previa por parte de los equipos de seguridad.

La implementación de soluciones piratas o crackeadas, aunque parezca una forma de ahorrar en licencias, puede ser una bomba de tiempo para la continuidad de las operaciones. Esto podría resultar mucho más costoso si una infección de ransomware, originada por lo que se suponía era un control de seguridad, afecta a la empresa.

¡Comparte este artículo con otros 🔁!

Scroll al inicio