vulnerabilidades tecnologicas vulnerabilidades tecnologicas

Vulnerabilidades tecnológicas, ¿qué son y cómo actuar?

juandelrio

Juan del Río Cruzado

Ingeniero informático

Sobre mi

Licenciado en Ingeniería Informática. PMP®. Durante años se ha dedicado a la gestión y seguridad en redes y equipos de comunicaciones con diversas certificaciones en dicha área. Actualmente, aplicando el conocimiento adquirido en el área de ciberseguridad del sector financiero.

Controlar las debilidades de los activos para evitar que las amenazas dañen a nuestra organización

09 Sep 2022

7 Min de lectura

En esta nueva entrada de UniBlog vamos a tratar un tema candente en la actualidad como son las vulnerabilidades tecnológicas, las cuales toman cada vez más relevancia en este mundo hiperconectado. El término vulnerabilidad está relacionado con un concepto más amplio, que no es otro que, el riesgo y su gestión. Para saber qué es una vulnerabilidad, antes tenemos que definir qué es un activo (asset, en inglés), que se define como “cualquier elemento o entidad que se usa en un proceso de negocio o tarea” y que en el ámbito de las organizaciones se trata de “un recurso humano o una cosa, tangible o intangible”. Teniendo en cuenta que es un activo, se define vulnerabilidad como “la debilidad en un activo o la ausencia o debilidad de una salvaguarda o contramedida”, es decir, “un fallo, un error, un descuido o una fragilidad que permitiría a una amenaza causar daño a ese activo”.

 

Aunque quedaría fuera del ámbito de este artículo y daría para hablar largo y tendido en otra entrada de este blog, vamos a completar la ecuación de los tres términos que hemos introducido en este breve párrafo anterior:

 

                                                            RIESGO = AMENAZA * VULNERABILIDAD

                                                                                                 o

                                               RIESGO = PROBABILIDAD DE DAÑO * SEVERIDAD DEL DAÑO

 

En definitiva, las amenazas explotan vulnerabilidades lo cual resulta en exposición. La exposición no es otra cosa que riesgo y este riesgo se mitiga con la implementación de salvaguardas, por lo que, las salvaguardas (o contramedidas) sirven para proteger a los activos, que, a su vez, están en peligro por las amenazas. Gráficamente sería:


Ya hemos introducido las amenazas, las vulnerabilidades y el riesgo, por tanto, cualquier persona que comienza en este mundo de la ciberseguridad le surgirán cuestiones como, ¿cómo puedo reducir las vulnerabilidades que me afectan?, ¿a qué vulnerabilidades estoy expuesto o están expuestos mis activos?, ¿qué medidas, protecciones o salvaguardas puedo aplicar para reducir el riesgo a que una amenaza cause un daño irreparable en mis activos y, por ende, en mi organización?... upsss.... ¿qué hago? ¿por dónde empiezo? Son tantas las preguntas que empiezan a surgir, que casi uno es más feliz viviendo en la ignorancia, sin embargo, es precisamente esa ignorancia una debilidad (o vulnerabilidad) que hay que mitigar.

 

Vamos a tratar de dar respuesta a estas cuestiones, al mismo tiempo que introducimos cierto orden en todas las cuestiones que van surgiendo, conforme vamos tomando conciencia de las amenazas a las que estamos expuestos.

 

Vulnerabilidades: ¿qué hago? ¿Por dónde empiezo?

 

En primer lugar, hay que obtener un inventario de los activos de la organización y realizar una valoración de los mismos, donde se pueden aplicar enfoques cuantitativos o cualitativos. En el fondo, debemos tener conciencia de los activos que nos interesa proteger, porque si no, ¿para qué proteger algo que no tiene valor alguno?

 

¿A qué amenazas estoy expuesto?

 

Una vez inventariamos los activos de la organización, se realiza un proceso de identificación de amenazas que pueden explotar vulnerabilidades y causar daño a estos activos (esta cuestión será objeto de una nueva entrada de UniBlog, para profundizar en este proceso de identificación de amenazas y propuesta de salvaguardas).

 

¿Qué vulnerabilidades nos pueden afectar? ¿de qué tipo?

 

Las vulnerabilidades las podemos clasificar en varios tipos:

  • Código o desarrollo: son vulnerabilidades que se producen cuando se diseña y desarrolla código o aplicaciones propias.
  • Cumplimiento: son vulnerabilidades que se producen cuando no se cumplen las normas y políticas de seguridad de la organización.
  • Actualización: son vulnerabilidades relativas a los productos de los fabricantes, los cuales van liberando parches de seguridad que mitigan sus propias debilidades, donde lo habitual y, que no debería ser lo normal, es que existan en las organizaciones sistemas sin aplicarles los últimos parches liberados por el fabricante.
  • Configuración: son vulnerabilidades relativas a una configuración deficiente del producto (ejemplo, la falsa sensación de seguridad por defecto cuando se despliega un equipo o producto).
  • Naturaleza humana: el ser humano es el eslabón más débil en cualquier postura de seguridad y, por tanto, existe una gran variedad de amenazas (ataques de Ingeniería Social) que buscan explotar esa fragilidad del ser humano.

 

¿Qué salvaguardas puedo aplicar para proteger los activos?

 

Para cada tipo de vulnerabilidad se pueden aplicar diferentes enfoques o soluciones como pueden ser:

  • Código à Aplicar un proceso de desarrollo seguro S-SDLC (Secure Software Development Life Cycle).
  • Cumplimiento à Realizar revisiones de auditoria para detectar los incumplimientos en materia de política de seguridad.
  • Actualización à Aplicar una correcta gestión de parches para remediar las vulnerabilidades publicadas por los fabricantes lo antes posible.
  • Configuración à La “seguridad por defecto” es un principio o idea que hay que desterrar y para ello existen organizaciones como CIS  o CCN-CERT (Centro Criptológico Nacional) que publican documentos de buenas prácticas para proteger debidamente los activos.
  • Naturaleza humana à Concienciación, consejos de seguridad, formación en ciberseguridad, en definitiva, educar y concienciar a los usuarios para que puedan detectar cuando una amenaza esta delante de ellos y así, puedan evitarla.

 

De todas estas cuestiones se encarga el proceso de Gestión de Vulnerabilidades, es decir, de identificar regularmente las vulnerabilidades que van surgiendo, de evaluarlas y de aplicar las medidas necesarias para reducir los riesgos asociados a ellas.

 

La organización estadounidense “Mitre Corporation" se encarga de categorizar las vulnerabilidades de tecnología que se van identificando por diversas vías, y de asignarles un código para referenciarlas. Estos códigos presentan la siguiente nomenclatura CVE-YYYY-NNNNN. Existen otras bases de datos que listan los CVE como son NVD (National Vulnerability Database) y CERT/CC Vulnerability Notes Database.

 

Algunas de las vulnerabilidades más recientes y de gran impacto por su severidad han sido:

  • CVE-2021-44228, más conocida como “log4j”, la cual permitía la ejecución de código remoto de forma no autenticada.
  • CVE-2022-30190, más conocida como “follina”, la cual aprovecha la función de plantilla remota de WORD para obtener un archivo HTML de un servidor, para después utilizar el protocolo “ms-msdt://” para ejecutar la carga útil maliciosa. A día de escritura de este artículo, aún no existe parche de seguridad publicado por Microsoft por lo que la vulnerabilidad es de tipo 0-day.
  • Una vulnerabilidad se referencia como 0-day durante el periodo de tiempo que transcurre desde que se pública la vulnerabilidad al mundo, hasta que se libera el correspondiente parche de seguridad por el fabricante.

 

Como habrás podido comprobar, tras leer estas líneas, es preciso tomar conciencia de las amenazas y vulnerabilidades tecnológicas que nos rodean para no quedar expuesto a cualquier tipo de ciberfraude.

 

 

 

artículos relacionados

Ayuda-ciberseguridad

Ayuda en Ciberseguridad, ¿dónde acudir si tengo un ciberincidente?

En esta sociedad cada vez más conectada a través de Internet resulta básico aprender a ciberprotegerse. Te invitamos a conocer cómo obtener ayuda en ciberseguridad y a que descubras el Incibe y todos sus recursos

Leer más
contraseñas seguras

¿Cómo crear contraseñas seguras?

La contraseña es la primera línea de defensa de la privacidad. Por eso es importante cambiar la contraseña a menudo y crear contraseñas que sean fáciles de recordar, pero que tengan al menos letras, números y símbolos

Leer más
ciberseguridad

Ciberseguridad: amenazas invisibles

La ciberseguridad engloba todas las técnicas, métodos y medidas de seguridad que nos ayudan a evitar vernos expuestos a grandes riesgos

Leer más
Volver
Escuchando