Evaluación global de seguridad: Conocer las debilidades para subsanarlas

El pasado 23 de noviembre, el Parlamento Europeo sufrió un ataque DDOS o de denegación de servicio distribuido, que provocó la caída de su página web. Una banda de ciberdelincuentes rusos se adjudicó la agresión. Esta acción maliciosa contra una de las principales instituciones de la UE es solo uno más de los ejemplos de ciberataques que se producen diariamente. Y la estrategia empleada (DDOS) forma parte del amplio abanico de técnicas y metodologías que pueden desplegar los atacantes. Este caso evidencia que ninguna compañía o institución está a salvo y que, por ello, es fundamental realizar una evaluación global de seguridad para armarse frente a los delincuentes.

A finales del mes pasado, una importante compañía de seguros sufrió un ataque contra sus sistemas de información que comprometió los datos personales de antiguos clientes. Y en las mismas fechas, la Interpol desarticuló una red internacional que estafó casi 130 millones de dólares a miles de personas en todo el mundo, empleando técnicas como la suplantación de identidad o la sextorsión.

Habida cuenta de los casos que venimos de esbozar, podemos llegar a una conclusión: ni las administraciones públicas, ni las compañías privadas, ni los ciudadanos de a pie están a salvo. Todos podemos vernos afectados por un ciberataque y ser víctimas de actuaciones fraudulentas.

¿Qué pueden hacer las compañías y las instituciones para ganar la guerra contra los ciberdelincuentes? Realizar una evaluación global de seguridad que radiografía su estrategia y su capacidad de defensa y respuesta contra las técnicas y metodologías que emplean los criminales.

En este artículo, vamos a abordar las claves de una evaluación global de seguridad y el papel que juegan los servicios de pentesting a la hora de ejecutarla.

1. Un contexto complejo y un mundo cada día más digitalizado

La evaluación global de seguridad es un análisis integral de todos los elementos de una compañía susceptibles de ser vulnerables ante un ciberataque, ya sea de origen externo o interno. Esta evaluación busca detectar brechas en todos los vectores de ataque de una compañía e institución, teniendo en cuenta las amenazas existentes y las herramientas y tácticas que emplean los delincuentes.

Precisamente, tanto los vectores de ataque como las amenazas están en constante transformación.

Por una parte, la digitalización de nuestras vidas ha provocado que cada día realicemos más acciones en el mundo digital. El empleo de software, apps, dispositivos IoT o redes de conexión inalámbricas está absolutamente normalizado. De hecho, la gran mayoría de las personas no pueden vivir ya sin estos avances tecnológicos. Y la práctica totalidad de las empresas no pueden llevar a cabo sus actividades sin estas herramientas. Es más, muchas compañías realizan y comercializan sus servicios en la esfera digital.

¿Qué supone esto? Que las empresas tienen a su disposición un enorme abanico de posibilidades de negocio, pero también están más expuestas a los ciberataques.

Si una compañía tiene sus datos en la nube y cuenta con una aplicación web y otra móvil para que sean usadas por sus clientes, debe contar con una estrategia de seguridad que fortifique estos vectores de ataque.

Así como el proceso digitalizador forma parte integral de la estrategia empresarial, la ciberseguridad también debe ser incluida en el corazón de la toma de decisiones y planificación de una compañía. Realizar una evaluación global de seguridad supone sentar una base sobre la que diseñar una estrategia integral (y revisarla), que salvaguarde a una compañía frente a los ciberataques. Una cuestión de vital importancia, teniendo en cuenta que estos cada día son más comunes y complejos y su impacto mayor.

2. Objetivos de la evaluación global de seguridad

La evaluación global de seguridad es de gran ayuda a la hora de permitir a las empresas conocer sus debilidades mejor que sus potenciales enemigos. Pudiendo, así, anticiparse a sus acciones, fortalecer sus defensas y mejorar sus sistemas de respuesta y subsanación de incidentes.

Aunque podríamos listar un sinfín de objetivos, vamos a resumir la misión de una evaluación global de seguridad en cuatro grandes ítems: detección de problemas, búsqueda de soluciones y, finalmente, protección de los activos y de las propias compañías y sus clientes.

2.1. Detectar y remediar vulnerabilidades

Como señalábamos antes, las organizaciones cada vez cuentan con una superficie de exposición a los ciberataques mayor. Por ello, una evaluación global de seguridad es la opción perfecta para analizar cada activo de una compañía en busca de vulnerabilidades.

Mediante la contratación de servicios de pentesting se pueden testear todos los elementos de una compañía en entornos reales, pero controlados, para comprobar si son o no vulnerables a los ciberataques.

Aunque la detección de las vulnerabilidades es una de las cuestiones claves de una evaluación global de seguridad, no es, ni mucho menos, el final de su recorrido. A partir de las vulnerabilidades encontradas y de un estudio preciso de las amenazas a las que tiene que enfrentarse la organización, se pueden evaluar los riesgos y proponer recomendaciones para subsanar los problemas.

Al fin y al cabo, de nada sirve que una compañía sea consciente de las deficiencias que existen en su seguridad y de las brechas que pueden explotar los atacantes si no sabe cómo tomar medidas para remediar estos problemas.

Por ello, la evaluación global de seguridad incluye un informe en el que no solo se glosan las vulnerabilidades y los riesgos de cada elemento, sino también las medidas que se pueden poner en marcha para subsanar las primeras y reducir los segundos.

2.2. Optimizar la estrategia de seguridad

Vulnerabilidades, amenazas, riesgos y recomendaciones ofrecen la información necesaria para diseñar una estrategia de seguridad integral, sustentada sobre protocolos, medidas, contramedidas y políticas de seguridad eficaces.

Por ello, la evaluación global de seguridad sirve para optimizar la estrategia de seguridad, contribuyendo a mejorar la capacidad de detección, supervisión y respuesta de las compañías y administraciones públicas.

2.3. Salvaguardar los activos… y la organización en su conjunto

¿En qué se traduce una mejora de la estrategia de seguridad? En que los activos y la información de una compañía estarán mejor protegidos frente a los ataques y sus sistemas serán capaces de responder de forma eficaz en caso de que se produzca un incidente de seguridad.

Si los datos de los clientes de una empresa o su información confidencial son vulnerados, las consecuencias económicas, reputacionales y legales pueden ser de enorme trascendencia.

La protección de datos y la continuidad de negocio deben ser dos cuestiones estratégicas para cualquier empresa en la era digital. Y la evaluación global de seguridad pone los mimbres para que las organizaciones puedan salvaguardar la información y garantizar que su modelo de negocio y su capacidad de operar no se vean afectados por un ciberataque.

2.4. Cumplir con las exigencias legales

Precisamente, la protección de datos es uno de los temas centrales de nuestro tiempo. La digitalización nos ha permitido acceder a un sinfín de información y servicios, pero también ha provocado que nuestros datos personales sean recopilados y almacenados por numerosas compañías e instituciones.

De cara a garantizar su salvaguarda, integridad y disponibilidad, el marco normativo europeo ha aumentado los requisitos que deben cumplir las organizaciones que tratan los datos de la ciudadanía. El RGPD a nivel de la UE y la LOPDPGDD en lo que respecta a España, hacen hincapié en el deber de garantizar la protección de los datos frente a los ciberataques que buscan vulnerarlos.

Asimismo, otras normas europeas ya aprobadas o a punto de ver la luz como el reglamento DORA o NIS2 inciden en la necesidad de que las compañías y las administraciones se fortifiquen frente a los ataques, lleven a cabo una vigilancia permanente, cuenten con canales de comunicación y sean capaces de responder con eficacia en caso de que se produzca un incidente. Sobre todo, aquellas vinculadas a sectores económicos críticos, como la salud, la defensa o la banca.

Habida cuenta de este marco legal y del contexto social, económico y político, la evaluación global de seguridad surge como un análisis que puede resultar de gran ayuda. Ya que mediante técnicas como el pentesting, profesionales de la ciberseguridad llevan a cabo un estudio completo y profundo del nivel de protección de una organización y de la eficiencia de sus controles de seguridad, con el objetivo final de subsanar las deficiencias y contribuir a su securización frente a los ataques maliciosos.

Las empresas que no cumplan con las exigencias normativas, además de ver expuesta su ciberseguridad, podrán tener que afrontar cuantiosas multas y demás repercusiones legales.

3. Analizar todos los elementos para detectar todas las vulnerabilidades

Mientras que la evaluación de riesgos de seguridad prioriza los activos críticos de una compañía, de cara a evaluarlos y detectar las vulnerabilidades que presentan, la evaluación global de seguridad actúa sobre todos los elementos de la organización.

Infraestructura, sistemas, servidores, dominios y subdominios, aplicaciones web, aplicaciones móviles, aplicaciones de escaneo de vulnerabilidades, redes, información de seguridad, políticas de seguridad, evaluación del factor humano mediante ejercicios de phishing, vishing o smishing… Todos estos elementos son susceptibles de ser analizados durante una evaluación global de seguridad.

Mediante el pentesting se pueden testear los activos de la compañía o institución empleando, para ello, las múltiples técnicas y estrategias que implementan los atacantes maliciosos. El objetivo es detectar, como ya hemos señalado, cualquier tipo de debilidad que pueda existir y pueda ser empleada por un agresor para robar información, acceder de forma indebida a los sistemas de la compañía, provocar la caída de algún servicio o instalar un malware.

4. Realizar una evaluación global de seguridad mediante el pentesting

Como ya hemos ido señalando a lo largo del texto, los servicios de pentesting avanzados pueden ser los mejores aliados a la hora de realizar una evaluación global de seguridad. Mediante esta prueba de seguridad ofensiva se constata el nivel de seguridad de una compañía. Para ello, se simula un ciberataque real en un entorno controlado.

Esta forma de proceder permite detectar las vulnerabilidades que pueden encontrar los atacantes y comprobar cómo reaccionan los sistemas de seguridad ante amenazas reales como la sustracción de información, el robo de credenciales, los ataques de ingeniería inversa o la propagación de ransomware.

Los test de intrusión avanzados se diseñan y ejecutan de acuerdo a las prioridades, objetivos y recursos de cada compañía. En el caso de una evaluación global de seguridad, su profundidad y campo de actuación debe ser el más amplio posible.

Teniendo en cuenta este hecho, vamos a abordar los tres tipos de pentesting que se pueden llevar a cabo y cuál de ellos se podría ajustar más a los ambiciosos objetivos de una evaluación global de seguridad.

4.1. Caja Negra: Aproximarse a un atacante real

El pentesting de caja negra es el que más se aproxima a la posición en la que se encuentra un actor malicioso que desea vulnerar los sistemas de una compañía. ¿Por qué? Los profesionales que lo llevan a cabo carecen de cualquier tipo de información previa sobre la compañía, sus activos, usuarios, medidas y controles de seguridad.

Es decir, trabajan a ciegas, en la negra oscuridad.

Esto tiene un pro y un contra. Como ya dijimos, este tipo de pentesting permite acercarse a la forma de proceder de un atacante real, llevando a cabo las mismas acciones que estos tendrán que poner en marcha en búsqueda de vulnerabilidades que explotar. Esto es, sin duda alguna, una cuestión atractiva, porque permite constatar cómo responden las medidas y protocoles de seguridad existentes.

El contra es que, al no disponer previamente de toda la información sobre los elementos y los activos de la organización, no se pueden evaluar en su totalidad. De ahí que este tipo de pentesting sea menos completo que el siguiente.

4.2. Caja Blanca: Testear disponiendo de toda la información

Los ejercicios de pentesting de caja negra y caja blanca son como la noche y el día. Si en los primeros los profesionales se mueven entre las tinieblas de una organización, en los segundos pueden observarlo todo bajo un poderoso foco: el de la información total.

En esta modalidad, antes de poner en marcha el pentesting ya se dispone información detallada sobre las tecnologías, el código fuente, las cuentas de usuario, los mapas de red, la arquitectura, las redes, los servidores o las políticas de seguridad de la organización.

Los profesionales diseñan e implementan el pentesting teniendo en cuenta todos estos datos, lo que les permite llevar a cabo una comprobación más exhaustiva de cada activo, de cara a detectar cualquier vulnerabilidad, por muy difícil que resulte de explotar si no se dispone de información previa.

4.3. Caja Gris: Penetrar en la organización desde las penumbras

A medio camino entre una solución y la otra se encuentra el test de intrusión de caja gris. En esta modalidad, los profesionales que ejecutan el pentesting tienen a su disposición información parcial acerca de la compañía o institución. Como, por ejemplo, inventarios de IP de la empresa, información del dominio, credenciales válidas o ciertos datos sobre las tecnologías que se usan en la organización.

El objetivo de este tipo de pentesting es realizar un análisis mejor enfocado que el test de caja negra, porque los profesionales podrán priorizar los ejercicios que lleven a cabo teniendo en cuenta la información previa, dándole más relevancia a los elementos más importantes o aquellos que presenten deficiencias a la luz de los datos previos.

5. Simular ataques externos e internos: Nunca se sabe de dónde viene el enemigo

A la hora de realizar una evaluación global de seguridad, es importante tener en cuenta que los ataques pueden producirse desde la red interna de la empresa o desde su perímetro. Y que los agresores pueden ser agentes maliciosos externos a la compañía o personas que forman parte de la organización (o atacantes externos que han logrado obtener acceso a la infraestructura interna).

Por ello, el pentesting, además de ser de caja negra, gris o blanca, también puede ser interno o externo:

• Test de intrusión externo o de perímetro. Los profesionales que lo realizan actúan como si fuesen agresores sin acceso a la red interna de la compañía. De tal manera que se testean todos los activos de la misma publicados en internet. Desde las IP públicas de la empresa, hasta su DNS, pasando por sus sitios web, aplicaciones móviles y cualquier servicio o elemento al que un atacante podría acceder.
• Test de intrusión interno. Las personas a cargo del pentesting proceden como lo haría un agresor que tiene acceso a la red interna de la compañía, ya sea cableada, inalámbrica o mediante acceso remoto VPN o de escritorio remoto.

Una evaluación global de seguridad puede requerir combinar ambas modalidades para testear todos los activos y la capacidad de respuesta de los controles y medidas de seguridad frente a ataques que vulneran el perímetro de seguridad. Pero también ante aquellas acciones que se ejecutan desde la red interna de la organización.

6. El nivel de profundidad del análisis

Al acometer una evaluación global de seguridad, las compañías y administraciones obtienen una panorámica total de su nivel de protección y de las vulnerabilidades a mitigar, teniendo en cuenta, también, las amenazas existentes en el momento en el que se realiza el análisis.

Parece lógico pensar que para que esta panorámica sea lo más exacta posible es necesario que el test de intrusión que se ejecute sea lo más profundo posible. Sin embargo, hay que contemplar dos derivadas: los recursos económicos con los que se cuenta y la periodicidad del análisis.

Por suerte, los servicios de pentesting pueden adaptarse a la perfección a las necesidades de una organización que opta por realizar una evaluación global de seguridad. En lo que respecta a la profundidad del test de intrusión, podemos diferenciar entre tres tipos de pentesting:

• Automatizado. Se trata de un test de intrusión en el que se utilizan herramientas automatizadas de recopilación de recursos e identificación de vulnerabilidades. Este enfoque permite sacar a la luz las vulnerabilidades más expuestas a los atacantes, las cuales suelen estar asociadas a un riesgo elevado. Esto permite confeccionar un primer mapa inicial de amenazas. La información que se obtiene a través de él también es útil a la hora de poner en marcha test de intrusión más avanzados.
• En profundidad. Mediante este test se comprueba el nivel de seguridad de las redes y aplicaciones. Dada su complejidad, corre a cargo de profesionales altamente cualificados y conocedores de las técnicas y estrategias que emplean los atacantes. A diferencia del anterior, en el que existe un elevado nivel de automatización del testeo, en éste, los profesionales y su conocimiento y experiencia son los protagonistas. Este enfoque puede aportar una mejor evaluación del riesgo, ya que podría identificar impactos que hacen uso de múltiples vulnerabilidades encadenadas o de fallas relacionadas con controles de autorización y lógica de negocio.
• Híbrido. Combina el empleo de herramientas automatizadas con el trabajo periódico y continuado de los profesionales. De esta manera, se aúnan la constancia del testeo automatizado, con los conocimientos avanzados de los pentesters. Así, la evaluación global de seguridad se puede convertir en un servicio continuo.

7. De la explotación a la post-explotación

Hasta ahora hemos abordado las diferentes fases del pentesting que nos permiten llevar a cabo una evaluación de seguridad global: la fijación de objetivos y obtención de la información, detección y análisis de las vulnerabilidades, su explotación para testear los mecanismos de seguridad y la elaboración de una serie de recomendaciones para mitigar los problemas detectados.

Pues bien, el pentesting cuenta, a mayores, con una fase conocida como post-explotación que puede ser de gran interés a la hora de confeccionar una evaluación global de seguridad.

En esta fase, se parte de toda la información y del nivel acceso conseguido durante la explotación de las vulnerabilidades. Y, a partir de ahí, se fijan una serie de objetivos para analizar a fondo los mecanismos de seguridad de la organización para tratar de llegar lo más lejos posible desde el punto de vista de un atacante, aprovechando el contexto de la infraestructura.

En la post-explotación se puede testear la elevación de privilegios de usuario. De esta manera es posible detectar si existen fallos de arquitectura de seguridad o las medidas de seguridad son insuficientes.

Asimismo, se pueden fijar una serie de objetivos de compromiso del sistema y realizar ejercicios de cara a comprobar la capacidad de los hipotéticos atacantes de realizar las siguientes acciones:

• Persistencia
• Movimiento lateral
• Exfiltración de información
• Borrado de huellas

De esta manera, se obtiene una imagen precisa sobre la posible forma de operar de los atacantes una vez que los ataques han tenido éxito y el nivel de protección de la compañía, arrojando luz sobre la eficiencia de las medidas, protocolos y mecanismos de seguridad. Todo ello redunda, claro está, en una evaluación global de seguridad de gran valor añadido.

8. La gestión de los ciber riesgos: Una piedra angular que debe ser sólida

Al inicio de este artículo, hicimos hincapié en que los ciberataques van en aumento y que los métodos empleados por los delincuentes son cada vez más sofisticados. Sin embargo, debemos añadir otro elemento a la ecuación: los ataques críticos se están incrementando a enorme velocidad. El Centro Criptológico Nacional (CCN) viene de hacer público que en 2021 tuvo que gestionar 118 incidentes críticos, es decir, ataques exitosos que amenazan la seguridad nacional, infraestructuras estratégicas y servicios esenciales. Esta cifra supone casi el doble de los ataques críticos gestionados por el organismo en 2020.

Por otro lado, según los informes anuales de Verizon (2021 Data Breach Investigation Report), la mayoría de las violaciones de seguridad son el resultado de objetivos de oportunidad. Esto quiere decir que, si bien es cierto que existen casos de ataques dirigidos hacia objetivos específicos, cualquier compañía puede ser víctima de un ciberataque si es un blanco fácil para un ciberdelincuente.

Por ello, las compañías y las administraciones públicas deben estar concienciadas no solo sobre la probabilidad de sufrir un ciberataque. Sino también sobre la gravedad que puede llegar a adquirir el mismo si no se cuenta con sistemas de seguridad avanzados.

En este contexto, diseñar e implementar una evaluación global de seguridad puede arrojar certezas sobre los riesgos que tiene que afrontar la organización y repercutir positivamente en tres cuestiones estratégicas en el terreno de la ciberseguridad y la gestión de riesgos e incidentes: la prevención, la supervisión, y resiliencia.

8.1. Prevención

Desde tiempos inmemoriales la Humanidad sabe que la mejor forma de enfrentarse a una amenaza es prepararse ante ella. Es decir, tomar medidas de manera preventiva. Por todo el planeta siguen en pie miles de murallas con miles de años de antigüedad para atestiguarlo.

Realizar una evaluación global de seguridad es una decisión de gran valor a la hora de poner en marcha una estrategia que haga hincapié en la prevención. Esta pasa no solo por contar con medidas de seguridad eficaces frente a las amenazas, sino también por una toma de conciencia generalizada en toda la organización, desde las personas encargadas de la seguridad y que pueden tomar decisiones, hasta los profesionales que trabajan en ella.

Acciones como solicitar la autenticación multifactor a la hora de ingresar en un correo corporativo, nacen de la intención de reducir el papel de los usuarios en lo que respecta a la ciberseguridad, puesto que se ha demostrado fehacientemente que los usuarios son el principal eslabón débil de la cadena.

Los resultados de una evaluación global de seguridad dan buena cuenta del nivel de prevención de una compañía y las cuestiones que se deben optimizar. Desde la subsanación de vulnerabilidades, hasta el perfeccionamiento de los controles, pasando, también, por la formación de todos los usuarios de los sistemas y redes de la organización.

El objetivo siempre es proteger la infraestructura, las aplicaciones, los procesos, la información y demás activos de la compañía o institución. Y ello incluye, también, a los trabajadores y, por supuesto, a los clientes.

8.2. Supervisión permanente

Como ya hemos señalado en otras ocasiones, de nada sirve realizar una evaluación global de seguridad si, posteriormente, no se actualizan los mecanismos de seguridad, ni se tienen en cuenta las técnicas y tácticas maliciosas más punteras.

Los atacantes no descansan, y los nuevos desarrollos también pueden introducir nuevas vulnerabilidades, por lo que las estrategias de seguridad deben tenerlo en cuenta. La vigilancia contante y la supervisión permanente deben garantizarse, de cara a encontrar vulnerabilidades y brechas. Así como para detectar de forma temprana la puesta en marcha de un ciberataque contra algún elemento de la organización.

Para ello, es necesario contar con tecnologías de análisis e identificación de amenazas y profesionales versados en el ámbito de la ciberseguridad y plenamente actualizados sobre las principales novedades en el sector.

Además, también cabe señalar que una evaluación global de seguridad y un sistema de vigilancia acorde a ella deben tener en cuenta no solo los sistemas, infraestructura y redes de la compañía, sino también los de aquellos proveedores que forman parte de su cadena de suministros.

La sofisticación de las estrategias empleadas por los delincuentes es tal que, en algunos casos, para vulnerar los activos de una organización, no se procede a atacar a sus sistemas, sino que se agrede a uno de sus proveedores, con un menor nivel de seguridad, de cara a cumplir sus objetivos por esta vía, menos protegida que el perímetro de seguridad de la compañía.

8.3. Resiliencia y capacidad de respuesta

A pesar de las labores de prevención y supervisión, hay ataques que no se pueden prever o parar antes de que impacten en la organización. Por ello, las compañías e instituciones deben contar con mecanismos, planes y protocolos bien definidos y eficaces para bregar con los incidentes de seguridad y articular una respuesta rápida e integral.

En este sentido, una evaluación global de seguridad sirve para contrastar la capacidad de resiliencia y respuesta de una organización, analizando el funcionamiento de los protocolos, sobre todo, cuando se logra elevar los privilegios en el transcurso de un pentesting.

La resiliencia de una organización se traduce en su capacidad para, en caso de que se produzca un incidente de seguridad:

• Parar el ataque en el menor tiempo posible, evitando su propagación y reduciendo su nivel de impacto.
• Garantizar la continuidad de negocio.
• Efectuar las operaciones de disaster recovery con celeridad y eficiencia.
• Gestionar la comunicación y las derivadas legales.

En definitiva, la evaluación global de seguridad es un análisis completo que atiende tanto a las vulnerabilidades existentes, como a las amenazas y riesgos potenciales y a los controles de seguridad de una compañía o institución. El objetivo de este estudio es ayudar a las organizaciones a fortificarse frente a las agresiones maliciosas, estar preparadas para gestionar los riesgos y los incidentes de seguridad y salir airosas de los mismos.