Inicio / Blog / ¿Mi empresa es vulnerable a un ataque informático?

¿Mi empresa es vulnerable a un ataque informático?

Publicado el 09/09/2014, por Juan D. Peláez (INCIBE)
¿Mi empresa es vulnerable a un ataque informático?

Las empresas están expuestas a numerosos riesgos y amenazas de sufrir ataques o incidentes de seguridad dirigidos a los servicios que prestan, principalmente para poner en peligro la integridad, disponibilidad o confidencialidad de la información o aplicaciones.

Las vulnerabilidades existentes en los sistemas de información, son una de las principales amenazas, que pueden ser aprovechadas por atacantes mediante exploits, para acceder a los sistemas con fines maliciosos. Las empresas deben ser conscientes de estos riesgos y mantener una actitud preventiva, así como llevar un control de sus sistemas mediante evaluaciones periódicas, que nos den indicadores que permita conocer el grado de exposición a sufrir ataques informáticos, y de esta manera, poner las medidas técnicas necesarias para proteger sus sistemas adecuadamente.

Según un estudio de PwC el 65% de las empresas declara haber detectado incidentes de seguridad en el último año.

Muchos de los ataques pasan desapercibidos para las organizaciones, durante largos periodos de tiempo hasta que son descubiertos. Y sólo en algunos casos estos ataques se hacen públicos por el impacto que pueden tener en los usuarios o clientes de la compañía.

Los ataques informáticos que aprovechan vulnerabilidades para robar información, pueden suponer altísimos costes para una organización. Un reciente estudio de Ponemon Institute concluyó que el coste de un incidente de seguridad puede estar entre 42$ y 188$ por registro perdido. La estimación de este coste se hace en base a los gastos de la detección, escalado, notificación y respuesta del incidente, así como el impacto ocasionado por la pérdida de confianza del cliente de la compañía.

Las vulnerabilidades conocidas, encontradas en aplicaciones comerciales por investigadores de seguridad, en algunos casos, expuestas en congresos y eventos de seguridad o reportadas por los propios fabricantes, generalmente son publicadas en bases de datos como la NVD  del NIST  o la BD de vulnerabilidades de INTECO, o en listas como Full Disclosure de SecLists.

Estas fuentes de información sobre vulnerabilidades conocidas deben ser revisadas y consideradas por las empresas mediante mecanismos técnicos (auditorías, herramientas, controles, indicadores, etc.) para tener gestionado el riesgo de sufrir ataques contra sus sistemas de información de una manera continua en el tiempo. 

Entonces, ¿qué son las vulnerabilidades? 

Las vulnerabilidades son fallos en el software, de diseño, configuración, o implementación, que ponen en riesgo los sistemas informáticos. Algunas vulnerabilidades graves permiten a los atacantes explotar el sistema comprometido, permitiendo la ejecución de código malicioso controlado por el atacante pero sin el conocimiento del usuario.

 Existen numerosas vulnerabilidades en aplicaciones, sistemas operativos ó navegadores,  que son aprovechadas por los atacantes para acceder a información confidencial, realizar una intrusión, instalar un malware, etc. El estándar más común de las vulnerabilidades conocidas y documentadas se denomina CVE (Common Vulnerabilities and Exposures) y son mantenidas y publicadas por el NIST en su la Base de Datos de Vulnerabilidades conocida como NVD. 

NIST

¿Y qué son los exploits? 

Los exploits son códigos maliciosos, mecanismos o secuencias de comandos y acciones que permiten a un atacante aprovechar una vulnerabilidad en un sistema de información para realizar alguna acción no permitida en el mismo que le permita infectar, bloquear o tomar el control del sistema sin el consentimiento del usuario y por lo general sin su conocimiento. 

Estos exploits, realizados o usados por atacantes, investigadores de seguridad o cibercriminales en algunos casos vienen preparados para facilitar su uso, mediante kits de explotación de vulnerabilidades que se venden en el mercado negro a través de internet.

Indicadores de vulnerabilidades

La gestión de métricas e indicadores de vulnerabilidades  ofrecen valores técnicos que permiten medir el grado de exposición a las mismas, así como la capacidad de resiliencia de las organizaciones ante distintos ataques/amenazas o incidentes reales que puedan sufrir, su nivel de preparación y su capacidad para mantener la continuidad de su negocio y recuperarse de posibles impactos. 

Algunas de estas métricas e indicadores son:

  • Número de incidentes ocurridos debido a vulnerabilidades en los sistemas.
  • Número de vulnerabilidades de nivel alto, medio, o bajo en sistemas críticos.
  • Porcentaje de sistemas con vulnerabilidades conocidas.
  • Tiempo medio para corregir las vulnerabilidades.
  • Coste medio para corregir las vulnerabilidades.

Un adecuado cuadro de mando de indicadores alimentados en los procesos de auditoría técnica mediante la ejecución de herramientas automáticas, es de gran ayuda para la detección de vulnerabilidades y de los valores de las mismas. El cuadro de mando permite a las organizaciones tener bajo control su grado de exposición a los riesgos de las vulnerabilidades de sus sistemas.

En base al conocimiento de estos indicadores se puede aplicar el denominado ARTE (Asumir el riesgo, o tomar medidas para Reducirlo, o Transferirlo a un tercero o Eliminarlo), para gestionar los riesgos de las vulnerabilidades existentes en los sistemas de información de la organización.

Cuadro de Mando Indicadores Vulnerabilidades

Auditorias técnicas de vulnerabilidades

Los procesos de auditorías técnicas realizadas de manera continua, y apoyadas en herramientas para descubrir vulnerabilidades y brechas de seguridad, pueden ayudar a las organizaciones a mantener controladas y reducir las amenazas y riegos de sufrir incidentes de seguridad debido a la posible explotación de las vulnerabilidades en sus sistemas de información. 

Algunas soluciones multipropósito de escaneo de vulnerabilidades son:

  • Acunetix: herramienta para búsqueda de vulnerabilidades  mediante técnicas de hacking como, por ejemplo, inyección SQL, ataques de ejecución de código y ataques de autentificación, entre otros.
  • Faast de Eleven Paths: servicio de persistent pentesting que implementa y automatiza todas las técnicas de pruebas de penetración mediante un proceso continuo de evaluación.
  • GFI Languard: herramienta que permite escanear, detectar, evaluar y remediar cualquier  vulnerabilidad de seguridad en una red informática.
  • Nessus: Herramienta que detecta numerosos fallos de seguridad.
  • Nexpose: Herramienta para realizar escaneo de vulnerabilidades.
  • OpenVAS: Escáner de vulnerabilidades, muy similar al Nessus, desarrollado por la comunidad de software libre.

Existen listados de herramientas de seguridad, entre ellos SecTools, donde se enlazan herramientas de escaneo de vulnerabilidades, o para pruebas específicas y utilizadas en procesos de auditoría técnica.

El Catálogo de empresas y Soluciones de Seguridad TIC de INTECO recoge una buena parte de las empresas proveedoras de soluciones de seguridad TIC y en particular para la realización de auditorías técnicas de seguridad, en las que se puede apoyar una organización para la gestión de vulnerabilidades.