Una empresa puede seguir varias malas prácticas que aumentarán las probabilidades de que sufra un ataque informático. A continuación enlisto diez de las principales fórmulas que, de manera individual o en conjunto, pueden derivar en el compromiso de la infraestructura de TI y de sus datos.
Permite usuarios con privilegios. Todos los empleados pueden instalar cualquier aplicación bajada de Internet o traída en un USB; también les es posible cambiar configuraciones del sistema o crear cuentas en sus equipos. No existe un control para impedir que esto suceda y por lo tanto se vuelve una excelente forma de instalar (con privilegios del sistema) todo tipo de malware o bien habilitar configuraciones inseguras. Existen aún corporaciones donde no usan las políticas del directorio activo para restringir las capacidades de los usuarios y, de hecho, los empleados siguen accediendo a sus equipos con privilegios de administración.
Mantiene configuraciones por defecto (default) tanto en sistemas operativos, ruteadores, dispositivos móviles o aplicaciones. Una nueva instalación de un sistema operativo viene con una configuración “estándar”. Lo mismo pasa con una aplicación o un switch de red. Es la configuración que el fabricante piensa debe de tener idealmente para que funcione su producto, mas no forzosamente, para que opere de manera segura. Dejar una nueva instalación con sus parámetros de fábrica es confiar en que alguien más se preocupó de la seguridad. Por poner un ejemplo, el trabajo de un hacker se facilitará si encuentra una contraseña por default en algún sistema o aplicación.
No lleva cabo análisis periódicos para encontrar vulnerabilidades de software. Parte de una gestión de vulnerabilidades implica verificar el nivel de parchado que tiene la infraestructura. Hoy día se pueden encontrar cientos o miles de aplicaciones que corren sobre equipos cliente y servidores. Dejar este software a su suerte es ideal para que un hacker pueda encontrarle un hueco de seguridad por donde pueda entrar. Y la constante es no parchar frecuentemente aplicaciones, por lo que aunque existan versiones actualizadas y seguras, se siguen usando las antiguas inseguras.
Cuenta con controles tradicionales de malware. Por años, el control tradicional para controlar el código malicioso ha sido el antivirus. Noticias: no es suficiente. Sentirnos protegidos porque contamos con este legendario control puede resultar en un error. Los antivirus protegen adecuadamente de ataques conocidos. Basta con que se hagan variantes en un código malicioso o bien que se genere un virus totalmente nuevo y los antivirus estarán ciegos, dejando que el malware se instale alegremente. Hoy día quien no cuente con listas blancas, protege su infraestructura como solía hacerse en los noventas.
Desconoce o ignora procesos para el desarrollo seguro de software. Muchos corporativos tienen un departamento de desarrolladores quienes programan aplicaciones para la empresa. Como es común, este grupo de personas tiene como objetivo que su software sea funcional y que haga lo que el cliente dijo que debía hacer. ¿Y la seguridad? Bueno, eso es algo que de plano se ignora olímpicamente o se ve de manera muy superficial durante el proceso de desarrollo de software.
Habilita redes inalámbricas con seguridad estándar. La red inalámbrica es finalmente una extensión de la red alámbrica, pero ésta última es inaccesible físicamente ya que se encuentra dentro de las instalaciones de la organización. Una red inalámbrica “sale” de los confines físicos de la empresa y es posible accederla desde los alrededores del corporativo. Lo más común es proveer de seguridad “estándar” a las redes inalámbricas y ponerle cifrado con protocolos históricamente inseguros como el WEP (Wired Equivalent Privacy) el cual es todo menos equivalente a la red alámbrica desde el punto de vista de seguridad. Inclusive protocolos más robustos como WPA (WiFi Protected Access) tienen sus detalles.
Sigue el principio de redes planas. Todas las computadoras tipo cliente pueden verse entre sí, y lo mismo sucede con los servidores: no hay segmentación real de las redes. De hecho, cualquier computadora cliente puede contactar a cualquier servidor dentro de la organización. Ustedes me dirán que hay protección: “¡Los servidores piden contraseñas y sólo los administradores pueden entrar!” Los hackers adoran las redes planas y, más aún, a los administradores que asumen que una contraseña los detendrá. En una red plana todos los equipos son amigos de todos los demás, y basta que un hacker comprometa un solo equipo (probablemente sin importancia) para de ahí “brincar” hasta encontrar el objetivo deseado.
Evita el principio del armadillo. El “hardening” de sistemas operativos, aplicaciones y dispositivos de red es una tarea ardua que implica tiempo y esfuerzo. Seguir guías para quitar lo que no nos va a servir (pero que sí nos puede perjudicar) es una actividad que se deja de lado. Se prefiere funcionalidad sobre seguridad. Y es importante mencionar que es posible alcanzar un nivel satisfactorio de endurecimiento sin que esto afecte la operación del día a día de los sistemas.
Almacena datos en bitácoras, pero no monitorea. Big data. ¿Cuántos datos genera una infraestructura de TI típica al día? La respuesta, en el mejor de los casos, se mide en Terabytes. Los atacantes aman que ignoremos todas estas bitácoras que registran firewalls, servidores y ruteadores porque saben que en más de un log de un dispositivo o servidor quedó grabada su intrusión.
Desprecia el valor de un pentest. Hay empresas que jamás han llevado un ejercicio de pentest. Otras lo hacen ocasionalmente y con empresas francamente del montón (hasta eso, hay que saber seleccionarlas). Un pentest trata de emular un ataque real para identificar huecos de seguridad y que se puedan solucionar a tiempo. Si nos quedamos sin este simulacro controlado, es probable que nos ataquen exitosamente y esta vez para nada será un ensayo, sino algo real y con consecuencias.
Conclusión.
Si lo que deseamos es elevar las posibilidades de que nuestra gestión de seguridad corporativa sufra un fracaso, entonces deberemos seguir varias de las prácticas aquí expuestas. Recordemos que el atacante sólo requiere encontrar un eslabón débil en la larga cadena de seguridad para lograr romperla. Podemos reducir estos eslabones débiles, mantenerlos e inclusive aumentarlos. Depende de nosotros.
Fausto Cepeda es Maestro en Ciencias en Seguridad de la Información y cuenta con las certificaciones CISSP, CISA, CISM y CEH. Puede contactarle en fausto.cepeda@gmail.com
Publicado en: