Cabecera blog ciberseguridad

Top 10 de errores de configuración de ciberseguridad

- Ciber 4 All Team

El Top 10 de errores de configuración de ciberseguridad incluye la elusión de los controles de acceso al sistema

La NSA y la CISA han creado un Top 10 de errores de configuración de ciberseguridad para ayudar a las empresas a mitigar las vulnerabilidades

Si en el s. XX muchas películas, series y libros estadounidenses nos hablaban de la CIA, la agencia de inteligencia más famosa del mundo, en el nuevo milenio los focos de nuestra atención se han girado hacia la NSA, la agenda de seguridad nacional que recopila información crítica en materia de seguridad y que tiene como misión clave combatir las ciberamenazas y prevenir los ataques que puedan afectar a los sistemas de seguridad estadounidenses.

Por ello, la NSA actúa en coordinación con otra agencia gubernamental, la CISA (Cybersecurity & Infraestructure Security Agency), a la hora de fortalecer la ciberdefensa y la resiliencia frente a los actores hostiles. Fruto de esta colaboración es la reciente publicación de un Top 10 de errores de configuración de ciberseguridad, que alerta a las empresas y a los desarrolladores de software sobre los errores que pueden ser explotados por los actores hostiles para atacar con éxito a las compañías.

¿Cómo han elaborado la NSA y la CISA este Top 10 de errores de configuración de ciberseguridad? A partir de la experiencia y las evaluaciones de los equipos de Red Team, Blue Team, Threat Hunting y respuesta ante incidentes de ambas organizaciones.

¿Cuáles son las principales tendencias que evidencia este Top 10 de errores de configuración de ciberseguridad y que deben tener en cuenta todas las compañías a nivel global?

  1. Existen «debilidades sistémicas en muchas grandes organizaciones, incluidas aquellas con posturas de ciberseguridad más maduras».
  2. La seguridad desde el diseño es fundamental para reducir los riesgos y ayudar a los equipos de defensa a gestionarlos con éxito.

A continuación, vamos a detallar los principales errores de configuración de ciberseguridad detectados por la NSA y la CISA y desgranar sus recomendaciones para mitigarlos y evitar que los incidentes de seguridad dañen a las empresas.

1. ¿A quién va dirigido el Top 10 de errores de configuración de ciberseguridad?

La NSA y la CISA fijan dos principales grupos de actores que deben tener en cuenta los principales errores de configuración de ciberseguridad que han detectado:

  1. Los equipos de defensa de los sistemas empresariales.
  2. Los productores de software.

En lo relativo a los equipos de defensa, el Top 10 de errores de configuración de ciberseguridad pone el acento en que estos equipos deben estar bien formados y disponer de los recursos humanos, tecnológicos y económicos suficientes para detectar las debilidades, proceder a mitigarlas y estar preparados para prevenir, detectar y responder ante un incidente de seguridad. Además, los equipos defensivos deben:

  • Eliminar las credenciales predeterminadas.
  • Desactivar los servicios no empleados y desplegar controles de acceso.
  • Actualizar el software con el que trabaja la empresa de forma continua.
  • Automatizar la aplicación de parches y priorizar los parches que solventan vulnerabilidades que ya han sido explotadas con éxito por actores hostiles.
  • Supervisar permanentemente las cuentas de administrador y los privilegios de seguridad.
  • Aplicar las recomendaciones específicas para cada uno de los errores de configuración de ciberseguridad que se recogen en el top.

Por otra parte, la NSA y la CISA le ponen una serie de deberes a los fabricantes de software para fortalecer la seguridad del software desde el diseño y ayudar a las empresas que los adquieren a proteger sus activos:

  • Implementar controles de seguridad en la arquitectura del software desde el diseño y a lo largo de todo su ciclo de vida.
  • Eliminar las contraseñas predeterminadas.
  • Facilitar a los clientes registros de auditoría sin aumentar el coste del software.
  • Establecer que los usuarios con privilegios tengan que emplear un sistema de autenticación multifactor especialmente preparado para prevenir el phishing.
  • Tener en cuenta las recomendaciones específicas para mitigar los 10 principales errores de configuración de ciberseguridad.

2. Los principales errores de configuración de ciberseguridad

2.1. Configuraciones por defecto de software y aplicaciones

El primer puesto del Top 10 de errores de configuración de ciberseguridad lo ocupan las configuraciones por defecto de software y aplicaciones. ¿Por qué? Según el documento de la NSA y la CISA, estas configuraciones pueden permitir acceso no autorizados y la puesta en marcha de actividades maliciosas. En esta categoría se incluyen dos tipos de errores que se han de tener en cuenta:

  • Credenciales por defecto. Algunos fabricantes de software lanzan al mercado dispositivos de red listos para ser usados y que contienen credenciales predefinidas para las cuentas administrativas. Lo que abre la puerta a que los actores hostiles abusen de las credenciales
    • Detectando credenciales a través de una búsqueda web y empleándolas para acceder a un dispositivo.
    • Restableciendo cuentas administrativas gracias a preguntas previsibles que se realizan al olvidarse de las contraseñas.
    • Empleando las credenciales predeterminadas de la VPN para acceder a la red interna de la empresa atacada.
    • Sacando partido de la información sobre la configuración disponible públicamente con el objetivo de obtener credenciales administrativas de aplicaciones web y acceder a ellas y a sus bases de datos.
    • Aprovechando las credenciales predeterminadas en herramientas de despliegue de software de cara a ejecutar código malicioso o realizar movimientos laterales.
  • Permisos de servicios y ajustes de configuración predeterminados. El Top 10 de errores de configuración de ciberseguridad alerta de que algunos controles de acceso por defecto son permisivos. Además, los actores hostiles pueden usar los servicios por defecto para atacar a una organización, aunque el proveedor de software no los haya habilitado. Puesto que basta con que los usuarios o los administradores lo hagan. Durante sus evaluaciones de seguridad, la NSA y la CISA han detectado:
    • Servicios de certificados de Active Directory inseguros.
    • Protocolos heredados inseguros.
    • Servicios de bloque de mensajes de servidor inseguros.

2.2. Separación inadecuada entre los privilegios de usuario y administrador

El segundo error de configuración que destacan las agencias estadounidenses gira en torno a la separación de cuentas y privilegios. Los equipos de la NSA y la CISA han detectado que en muchas ocasiones los administradores asignan múltiples funciones a las cuentas de usuarios. De tal manera que estas cuentas pueden acceder a diversos dispositivos y servicios. Lo que implica que, si son vulneradas, los actores hostiles pueden moverse por la red corporativa sin necesidad de recurrir a tácticas de movimiento lateral y escalada de privilegios.

¿Cuáles son los tres grandes errores detectados en esta materia?

  1. Privilegios de cuenta excesivos. Establecer privilegios de cuentas sirve para limitar el acceso a información sensible y a los recursos del sistema. Si los privilegios son excesivos, el margen de maniobra de los usuarios es mayor y el nivel de riesgo y la superficie de ataque aumentan.
  2. Permisos elevados de cuentas de servicio, que de ser comprometidas pueden permitir a los actores hostiles acceder de forma no autorizada e, incluso, a tomar el control de sistemas críticos.
  3. Uso de cuentas privilegiadas sin que ello sea esencial para el funcionamiento de la compañía. En algunos casos, se emplean cuentas privilegiadas para realizar acciones básicas del día a día de una compañía de forma innecesaria, incrementando, así, la ciberexposición de la empresa.

El Top 10 de errores de configuración de ciberseguridad busca ayudar a las empresas a protegerse

2.3. Supervisión insuficiente de la red interna

Configurar sensores de host y red para poder recopilar el tráfico y el registro final del host es esencial para proteger las redes internas de las empresas. Si las configuraciones son insuficientes o deficientes se verá limitada la capacidad de supervisión del tráfico y, por ende, la posibilidad de detectar en el menor tiempo posible actividades anómalas y ataques que busquen comprometer la red.

La consecuencia directa de una supervisión de red insuficiente o, incluso, inexistente, es que los actores hostiles pueden acceder a la red e implementar tácticas como movimientos laterales, persistencia o comando y control (c&c) para cumplir con sus objetivos delictivos, por ejemplo, robar información confidencial o paralizar procesos empresariales críticos.

2.4. Falta de segmentación de la red

Segmentar la red estableciendo límites de seguridad es esencial para separar las redes de usuario, de producción y de los sistemas críticos. Si no se ha segmentado la red o la segmentación ha sido deficiente, los actores hostiles que logran comprometer un recurso de la red pueden moverse lateralmente por la misma y acceder a múltiples sistemas empresariales.

Esto aumenta la vulnerabilidad de las compañías frente a los ataques de ransomware y a las técnicas maliciosas que se despliegan tras la explotación.

A este respecto, el Top 10 de errores de configuración de ciberseguridad hace hincapié en la segmentación que debe implementarse entre los entornos de tecnología de la información (IT, por sus siglas en inglés) y los entornos de tecnología operativa (OT). ¿Por qué? Si la segmentación es deficiente, se puede acceder a las redes OT, teóricamente aisladas y fundamentales para el funcionamiento de la empresa, a través del entorno IT.

2.5. Gestión de los parches deficiente

Una de las tareas básicas de los fabricantes de software es publicar parches y actualizaciones de sus aplicaciones para solventar las vulnerabilidades de seguridad detectadas y, así, impedir que sean explotadas con éxito. Las empresas deben realizar una gestión de los parches eficaz y continua para evitar que los actores hostiles exploten vulnerabilidades críticas.

El Top 10 de errores de configuración de ciberseguridad pone el foco sobre dos aspectos clave de la gestión de parches:

  • No se implementan los parches de forma periódica. De tal forma que no se aplican los parches más recientes y, por lo tanto, la compañía queda expuesta a vulnerabilidades ya conocidas y prioritarias para los ciberdelincuentes.
  • Se emplean sistemas operativos no compatibles y un firmware obsoleto. Esto supone un riesgo mayúsculo para las organizaciones. ¿Por qué? Las vulnerabilidades presentes en el software y el hardware obsoleto ya no son parcheadas por los proveedores, de tal manera que pueden ser explotadas por los actores hostiles para acceder de forma no autorizada a la red corporativa, comprometer información confidencial o sensible, por ejemplo, los datos de los clientes y causar la interrupción de servicios y procesos de negocio esenciales.

2.6. Elusión de los controles de acceso al sistema

Los equipos de la NSA y la CISA detectaron durante sus investigaciones y evaluaciones que los actores hostiles pueden eludir los controles de acceso a un sistema comprometiendo los métodos de autenticación alternativos.

Así, en el Top 10 de errores de configuración de ciberseguridad se alerta de que un agente malicioso puede recopilar hashes en una red para autenticarse sin emplear los canales estándares. Además, puede mantener o desplegar persistencias sin que los sistemas de detección de la empresa se den cuenta y, posteriormente, elevar privilegios, moverse lateralmente por la red y persistir en ella.

2.7. Métodos de autenticación multifactor débiles o mal configurados

En lo que respecta al séptimo ítem del Top 10 de errores de configuración de ciberseguridad, la guía apunta a dos deficiencias clave:

  • Tarjetas inteligentes o tokens configurados de forma deficiente. En los últimos años, diversas redes, sobre todo gubernamentales, establecen que las cuentas deben utilizar tarjetas inteligentes o tokens para poder acceder a ellas. Si los requisitos multifactor están mal configurados, y permiten que los hashes de las contraseñas de las cuentas no cambien, estos pueden ser empleados de forma maliciosa como credencial alternativa para lograr autenticarse.
  • Sistemas de autenticación multifactor que no son resistentes al phishing. Los ataques de phishing son una amenaza clave de esta era para la seguridad de las empresas y las personas. De ahí que sea fundamental que el método de autenticación multifactor empleado no sea vulnerable a técnicas como el phishing, el push bombing o el SIM swapping.

2.8. Listas de control de acceso insuficientes en recursos compartidos y servicios de red

Los repositorios y los datos compartidos son un objetivo prioritario para los actores hostiles. Por eso, si los administradores de red no configuran de forma adecuada las listas de control de acceso pueden posibilitar que usuarios no autorizados accedan a información confidencial y datos administrativos en carpetas compartidas.

Los delincuentes pueden emplear herramientas o malware para buscar carpetas y unidades compartidas y, posteriormente, recopilar y exfiltrar datos almacenados en ellas. Con esta información pueden extorsionar a la empresa o usarla para lanzar ataques futuros contra la compañía.

2.9. Higiene de credenciales deficiente

Para proteger las credenciales de los usuarios de una red es un fundamental contar con una buena higiene de credenciales. Ya que, de lo contrario, los actores hostiles pueden obtener acceso a la red, realizar movimientos laterales y persistir en ella sin ser detectados. El Top 10 de errores de configuración de ciberseguridad incluye en este apartado:

  • Las contraseñas fáciles de descifrar, que los delincuentes pueden descifrar con facilidad y sin tener que emplear cuantiosos recursos.
  • La revelación de contraseñas en texto claro. Almacenar las contraseñas en texto claro es muy peligroso, puesto que, si un atacante accede a archivos que contienen las contraseñas (como hojas de cálculo u otros documentos), podrían emplearlas para acceder a aplicaciones y software como si se tratase de un usuario legítimo. Existen herramientas para localizar contraseñas en archivos de texto como Snaffler.

2.10. Ejecución de código sin restricciones

Permitir la ejecución de programas no verificados en hosts puede posibilitar que un actor hostil ejecute aplicaciones maliciosas dentro de una red.

Por ejemplo, gracias a una campaña de phishing, un grupo delictivo puede conseguir que algún trabajador de una empresa ejecute un programa malicioso en su ordenador, facilitándole así el acceso a los ciberdelincuentes.

Los equipos de la NSA y la CISA han detectado que en muchos casos es posible aprovechar la ejecución de código sin restricciones. ¿Cómo? En forma de ejecutables, bibliotecas de vínculos dinámicos o aplicaciones HTML. Gracias a ellos pueden acceder a la red, persistir en ella y moverse de forma lateral para cumplir sus objetivos. Además, los ciberdelincuentes pueden realizar otras acciones para pasar desapercibidos como utilizar lenguajes de scripting para ocultar sus acciones, eludir las listas de usuarios permitidos o ejecutar código en el kernel para llegar a comprometer totalmente el dispositivo vulnerado.

La supervisión insuficiente de la red interna es un uno de los errores de configuración de ciberseguridad

3. Recomendaciones para mitigar los errores de configuración de ciberseguridad

Como apuntábamos al inicio del artículo, la NSA y la CISA no solo han listado los principales errores de configuración de ciberseguridad que deben tener en cuenta tanto los fabricantes de software como las empresas que los adquieren y emplean; sino que también propone una serie de recomendaciones para mitigarlos.

Las recomendaciones se articulan en torno a cada ítem del Top 10 de errores de configuración de ciberseguridad, diferenciando las recomendaciones para los equipos de defensa de las sugerencias que deben tener en cuenta los desarrolladores de software.

3.1. Configuraciones por defecto de software y aplicaciones

El primer error del listado confeccionado por la NSA y la CISA concentra el mayor número de recomendaciones para los profesionales a cargo de la defensa y protección de las redes corporativas:

  • Modificar la configuración predefinida de las aplicaciones y los dispositivos empleados por la empresa antes de que se desplieguen en un entorno de producción.
  • Cambiar las contraseñas y los nombres de los usuarios predefinidos de los servicios, el software y los equipos que suministra el proveedor.
  • Actualizar la infraestructura de control, usar mecanismos de supervisión y auditoría, así como disponer de controles de acceso eficientes para proteger la infraestructura tecnológica.
  • Garantizar la configuración segura de las implantaciones ADCS y revisar los permisos de las plantillas en los servidores aplicables.
  • Exigir la firma SMB tanto para el cliente como para el servidor, de cara a evitar técnicas de adversary-in-the-middle.

En lo que respecta a los fabricantes de software, el Top 10 de errores de configuración de ciberseguridad propone:

  • Integrar controles de seguridad en la arquitectura del software, por ejemplo, siguiendo las buenas prácticas del marco de desarrollo seguro de software del NIST.
  • Proveer a los clientes software con funciones de seguridad habilitadas y acompañadas de guías para rebajar los controles de seguridad, explicando de forma clara los riesgos de negocio asociados a la rebaja de estas funciones.
  • No proporcionar a los clientes software con contraseñas predeterminadas compartidas universalmente y exigir a los administradores que establezcan contraseñas seguras durante la instalación del software y su configuración.
  • Tener en cuenta las consecuencias de las medidas de seguridad para la experiencia de las personas que emplean el software.

3.2. Separación inadecuada entre los privilegios de usuario y administrador

En lo que respecta a esta tipología de error, la guía elaborada por la NSA y la CISA recomienda:

  • Desplegar sistemas de autenticación, autorización y auditoría para limitar las acciones que pueden llevar a cabo los usuarios, auditar los registros y detectar accesos o actuaciones no autorizadas.
  • Auditar de forma continua las cuentas para eliminar aquellas que están inactivas o que son innecesarias.
  • Impedir que se usen cuentas privilegiadas para realizar acciones cotidianas y que aumentan la ciberexposición como consultar el correo electrónico.
  • Limitar de forma rotunda el número de usuarios de la empresa que tienen privilegios de administrador.
  • Desplegar un acceso basado en el tiempo para acceder a las cuentas con privilegios elevados.
  • Restringir la posibilidad de que los usuarios del dominio formen parte del grupo de administradores locales en varios sistemas.
  • Establecer que las cuentas de servicio solo tengan los permisos que son necesarios para el funcionamiento de los servicios que controlan.

¿Qué medidas deben tener en cuenta los desarrolladores de software para identificar y mitigar errores relacionados con los privilegios?

  • Diseñar las aplicaciones de tal forma que a través de un control de seguridad comprometido no se pueda lograr comprometer todo el sistema.
  • Automatizar la generación de informes sobre administradores de cuentas inactivas y administradores de cuentas con privilegios para suspender las primeras y reducir la proliferación de privilegios en lo relativo a las segundas.
  • Notificar automáticamente a los administradores de servicios poco usados y proponerles medidas para desactivarlos o implementar una lista de control de acceso.

3.3. Supervisión insuficiente de la red interna

Para mitigar los errores a la hora de supervisar la red interna de una organización, el Top 10 de errores de configuración de ciberseguridad propone que los equipos de defensa:

  • Establezcan una línea de base de las aplicaciones y los servicios que emplean, auditando el acceso a ellos y la actividad administrativa.
  • Dispongan de una línea de base que representa la actividad de tráfico normal de la compañía, el rendimiento de la red, la actividad de las aplicaciones y el comportamiento de los usuarios. De tal forma que se puedan detectar comportamientos anómalos e investigar cualquier desviación.
  • Empleen herramientas de auditoría que sirvan para detectar oportunidades que pueden ser explotadas para realizar abusos de privilegios y servicios en los sistemas corporativos, de cara a corregir los problemas antes de que se produzca un incidente.
  • Desplegar un sistema de gestión de eventos e información de seguridad.

Mientras que a los desarrolladores de software se les recomienda que proporcionen registros de auditoría a las empresas que contratan el software sin coste adicional, puesto que estos registros ayudan a detectar y escalar incidentes de seguridad.

3.4. Falta de segmentación de la red

El Top 10 de errores de configuración de seguridad lista tres recomendaciones que los equipos defensivos deben implementar para mitigar la falta de segmentación de una red corporativa:

  • Desplegar un cortafuegos para realizar un filtrado profundo de paquetes y analizarlos.
  • Diseñar e implementar segmentos de red para aislar sistemas, funciones y recursos críticos.
  • Implementar instancias separadas VPC para aislar los sistemas Cloud esenciales.

Desde el lado de los productores de software se recomienda que garanticen a las empresas que los productos y aplicaciones son compatibles con entornos de red segmentados y se prueben en esta clase de entornos.

3.5. Gestión de los parches deficiente

La gestión de los parches y las actualizaciones de software es una función básica de los profesionales que se encargan de proteger las redes y sistemas corporativos. Por eso, el Top 10 de errores de configuración de ciberseguridad recomienda a los equipos defensivos:

  • Asegurarse de que el proceso de gestión de parches es eficiente y de que se dispone de las versiones actualizadas de los sistemas operativos, navegadores y productos de software.
  • Priorizar la aplicación de parches para mitigar vulnerabilidades conocidas que ya han sido explotadas por actores maliciosos.
  • Automatizar la actualización del software siempre que sea posible.
  • Si no es posible instalar parches, los profesionales deben segmentar las redes para limitar la exposición del sistema vulnerable.
  • Dejar de usar software y hardware obsoletos lo antes posible.
  • Parchear el sistema básico de entrada/salida (BIOS) y otro firmware de cara a evitar que un actor hostil pueda explotar una vulnerabilidad conocida.

En lo relativo a la gestión de los parches, la NSA y la CISA proponen a los desarrolladores de software que:

  • Implementen controles de seguridad en la arquitectura y a lo largo del ciclo de vida del software, siguiendo las buenas prácticas del marco de desarrollo seguro de software del NIST y:
    • Sigan prácticas de codificación seguras
    • Revisen el código
    • Lleven a cabo auditorías de código para identificar vulnerabilidades y asegurarse de que se cumplen los requisitos de seguridad.
  • Se aseguren de que los CVE publicados incluyan la causa raíz de la vulnerabilidad para facilitar el análisis de los fallos de diseño de seguridad del software.
  • Informen de manera clara y sencilla a sus clientes sobre los riesgos empresariales asociados a emplear sistemas operativos y firmwares obsoletos.

3.6. Elusión de los controles de acceso al sistema

¿Cómo pueden los equipos defensivos de una empresa evitar la elusión de los controles de acceso? La NSA y la CISA les recomiendan:

  • Evitar la reutilización de credenciales entre sistemas, lo que reduce la posibilidad de que un actor malicioso de mueva lateralmente.
  • Disponer de un método para supervisar los eventos de inicio de sesión no estándar.
  • Desplegar un proceso de gestión de parches eficaz y continuo.
  • Aplicar restricciones de control de cuentas de usuario a las cuentas locales cuando inician sesión en la red corporativa.
  • Impedir que los usuarios de dominio puedan formar parte del grupo de administradores locales en varios sistemas.
  • Limitar las comunicaciones entre estaciones de trabajo y conseguir que todas ellas se realicen a través de un servidor.
  • Emplear cuentas con privilegios solo en aquellos sistemas que lo requieren.

Para facilitar la subsanación de esta clase de error de configuración, la guía recomienda a los productores de software que proporcionen detalles suficientes en los registros de auditoría, facilitando la detección de actividades de elusión de los controles del sistema y rastrear todas las acciones sospechosas.

Las empresas deben proteger sus activos para evitar ciberataques

3.7. Métodos de autenticación multifactor débiles o mal configurados

En lo que respecta al uso de métodos de autenticación multifactor, el documento elaborado por la NSA y la CISA establece una serie de recomendaciones especificas para los entornos Windows que se pueden implementar en el corto plazo. Además, a largo plazo, propone disponer de una solución de autenticación primaria Cloud. En lo relativo a la lucha contra el phishing, el Top 10 de errores de configuración de ciberseguridad recomienda disponer de un método de autenticación multifactor resistente a la suplantación de identidad para habilitar el acceso a datos confidenciales de las empresas, así como a recursos y servicios sensibles. De hecho, la guía recomienda extender la autenticación multifactor resiliente frente al phishing a todos los servicios que sea posible.

¿Cómo pueden contribuir los fabricantes de software en esta área?

  • Estableciendo que la autenticación multifactor sea la función por defecto.
  • Obligar a que los usuarios con privilegios tengan que emplear un método de autenticación multifactor resistente al phishing.

3.8. Listas de control de acceso insuficientes en recursos compartidos y servicios de red

El Top 10 de errores de configuración de ciberseguridad de la NSA y la CISA recomienda:

  • Implementar configuraciones seguras para todos los dispositivos de almacenamiento y recursos compartidos de red, permitiendo acceder solo a los usuarios autorizados.
  • Asumir el principio del mínimo privilegio, sobre todo, en lo relativo a los recursos sensibles para reducir el acceso indebido a los datos y su manipulación.
  • Establecer permisos restrictivos a archivos y directorios, de cara a que los actores hostiles no puedan alterar las listas de control de acceso.
  • Establecer permisos restrictivos, también, en archivos y carpetas que contengan contraseñas privadas.
  • Limitar el número de usuarios que pueden enumerar los recursos compartidos de red.

En lo relativo a este error de configuración, los fabricantes de software pueden imponer el uso de listas de control de acceso predeterminadas que solo permitan el acceso mínimo necesario. Además, pueden establecer herramientas sencillas para que sea fácil auditar periódicamente los accesos y tomar decisiones para limitar los accesos a lo mínimo necesario.

3.9. Higiene de credenciales deficiente

La higiene de credenciales es fundamental para evitar el acceso de actores hostiles. Por eso, el Top 10 de errores de configuración de ciberseguridad recomienda a los equipos defensivos de las empresas:

  • Crear políticas de contraseñas para que estas sean seguras y no puedan ser descifradas.
  • Impedir que se reutilicen contraseñas de cuentas de administrador local en varios sistemas.
  • Exigir el uso de contraseñas fuertes para las claves privadas, obligando a que los actores hostiles que deseen crackearlas tengan que emplear numerosos recursos. Además, también se debería prohibir el almacenamiento de contraseñas en archivos.
  • Establecer una longitud de contraseña adecuada. La guía recomienda que esté conformada por 25 o más caracteres. Así como implementar la caducidad periódica de las contraseñas.
  • Disponer de un proceso de revisión de archivos y sistemas para buscar credenciales en texto claro y eliminarlas, cambiarlas o encriptarlas.
  • Implementar aplicaciones de almacenamiento seguro de contraseñas.

Los fabricantes de software también pueden contribuir a mejorar la higiene de credenciales aplicando estas tres recomendaciones:

  • Permitir a los administradores configurar una política de contraseñas acorde a las directrices del NIST, evitando exigir restricciones que resulten contraproducentes.
  • Facilitar que los usuarios puedan emplear gestores de contraseñas para generarlas de forma sencilla y segura dentro de los propios productos de software.
  • Usar un algoritmo de hashing seguro que permita agregar un «salt» a las contraseñas, dificultando el craqckeo por fuerza bruta.

3.10. Ejecución de código sin restricciones

¿Cómo pueden los equipos defensivos mitigar la ejecución de código sin restricciones?

  • Activar configuraciones del sistema para impedir la ejecución de aplicaciones descargadas de fuentes no fiables.
  • Emplear herramientas de control que sirvan para restringir la ejecución de programas por defecto.
  • Bloquear la ejecución de controladores vulnerables que puedan permitir que los actores hostiles ejecuten código en el modo kernel.
  • Restringir los lenguajes de scripting, de cara a evitar acciones maliciosas y auditar los registros de estas secuencias.
  • Usar contenedores de sólo lectura e imágenes mínimas dentro de lo posible, dificultando la ejecución de comandos.
  • Analizar de forma continua los mecanismos de seguridad a nivel de frontera y de host. Por ejemplo, los procedimientos de filtrado de spam. Con el objetivo de bloquear la entrega y ejecución de malware.

El último error del Top 10 de errores de configuración puede acometerse, desde el lado de los productores de software, ofreciendo controles de ejecución dentro de los sistemas operativos y las aplicaciones «fuera de la caja» por defecto y sin repercutir un coste adicional en los clientes. Estos controles contribuyen a dificultar que los actores hostiles puedan abusar de una funcionalidad del software o lanzar aplicaciones inusuales (y potencialmente maliciosas) sin la aprobación de un administrador o de un usuario informado.

4. Validar el programa de seguridad de una empresa

Más allá de la puesta en marcha de las acciones recomendadas que venimos de glosar, el Top 10 de errores de configuración de ciberseguridad aboga por que las empresas evalúen y auditen de forma continua su programa de seguridad, de cara a mejorar su resiliencia frente a los ataques y asegurarse de que están preparadas para afrontar los incidentes de seguridad con éxito.

En este sentido, es fundamental que las compañías cuenten con servicios de ciberseguridad integrales, diseñados e implementados por profesionales altamente cualificados y con una amplia experiencia a sus espaldas.

Por eso, los equipos de Tarlogic Security ayudan a las compañías a validar su programa de seguridad realizando pruebas de seguridad de aplicaciones (SAST, SCA, SCS, DAST…), prestando servicios de pentesting y ofreciendo una gestión de vulnerabilidades integral, así como un servicio de vulnerabilidades emergentes para detectar los riesgos de forma inmediata y proceder a su remediación.

4.1. Red Team y Threat Hunting para desnudar las tácticas maliciosas

Asimismo, cabe destacar que este Top 10 de errores de configuración de ciberseguridad pone en valor, también, servicios avanzados como el Red Team que permite explorar en profundidad cómo responde un programa de seguridad ante una amenaza real, o los servicios de Threat Hunting que permiten anticiparse a los actores hostiles y desentrañar sus tácticas, técnicas y procedimientos.

En definitiva, la ciberseguridad es un ámbito en constante evolución en el que surgen amenazas nuevas todos los días y los actores hostiles perfeccionan sus estrategias. Por eso, para las empresas toda ayuda es poca. El Top 10 de errores de configuración de ciberseguridad de la NSA y la CISA sirve para:

  • Alertar a los equipos defensivos y a los desarrolladores de software frente a los riesgos empresariales asociados a configuraciones deficientes.
  • Listar una serie de recomendaciones útiles a la hora de limitar los riesgos y la ciberexposición.
  • Poner en valor la evaluación y optimización continua de la estrategia de ciberseguridad para proteger los activos empresariales, así como la valiosa información que se obtiene gracias a los servicios de Red Team y Threat Hunting.