La superficie de ataque de una organización es la suma de vulnerabilidades, vías o métodos —a veces llamados vectores de ataque— que los hackers pueden utilizar para obtener acceso no autorizado a la red o a datos confidenciales, o bien para perpetuar un ciberataque.
A medida que las organizaciones adoptan cada vez más los modelos de trabajo híbrido (en local/teletrabajo) y servicios en cloud, sus redes y las superficies de ataque asociadas se expanden y ganan complejidad prácticamente a diario. De acuerdo con el informe The State of Attack Surface Management 2022 de Randori (enlace externo a ibm.com) (Randori es una filial de IBM Corp.), el 67 por ciento de las organizaciones ha visto crecer sus superficies de ataque en los últimos dos años. El analista del sector Gartner estableció la expansión de la superficie de ataque como tendencia n.° 1 en seguridad y gestión de riesgos para 2022 (enlace externo a ibm.com).
Los expertos en seguridad dividen la superficie de ataque en tres subsuperficies: la superficie de ataque digital, la superficie de ataque física y la superficie de ataque de ingeniería social.
La superficie de ataque digital expone potencialmente la infraestructura local y cloud de la organización a cualquier hacker con conexión a Internet. Los vectores de ataque más comunes en la superficie de ataque digital de una organización incluyen:
Contraseñas débiles: las contraseñas que son fáciles de adivinar —o fáciles de descifrar mediante ataques de fuerza bruta— incrementan el riesgo de que los ciberdelincuentes puedan comprometer las cuentas de usuario para acceder a la red, robar información confidencial, dispersar programas maliciosos y dañar la infraestructura de cualquier otro modo. Según el informe de IBM sobre el coste de una infracción de datos de 2021, las credenciales comprometidas fueron el vector de ataque inicial más explotado en 2021.
Configuración incorrecta: puertos de red, canales, puntos de acceso inalámbricos, cortafuegos o protocolos mal configurados sirven como puntos de entrada para los hackers. Los ataques de intermediario (man-in-the-middle), por ejemplo, se aprovechan de protocolos de cifrado débiles en los canales de intercambio de mensajes para interceptar comunicaciones entre sistemas.
Vulnerabilidades de software, sistema operativo (OS) y firmware: los hackers y los ciberdelincuentes pueden aprovechar errores de codificación o implementación en aplicaciones, sistemas operativos y otro software o firmware de terceros para infiltrarse en las redes, obtener acceso a directorios de usuario o plantar programas maliciosos. Por ejemplo, en 2021, los ciberdelincuentes se aprovecharon de un fallo en la plataforma de VSA (dispositivo de almacenamiento virtual) de Kaseya (enlace externo a ibm.com) para distribuir ransomware, disfrazado como una actualización de software, a los clientes de Kaseya.
Activos con acceso a Internet: las aplicaciones web, los servidores web y otros recursos que acceden a Internet público son inherentemente vulnerables a un ataque. Por ejemplo, los hackers pueden inyectar código malicioso en las interfaces de programación de aplicaciones (API) no seguras, lo que provoca la divulgación indebida o incluso la destrucción de información confidencial en bases de datos asociadas.
Bases de datos y directorios compartidos: los hackers pueden explotar bases de datos y directorios compartidos entre sistemas y dispositivos para obtener acceso no autorizado a recursos sensibles o lanzar ataques de ransomware. En 2016, se dispersó el ransomware Virlock (enlace externo a ibm.com) infectando carpetas de archivos colaborativas a las que accedían múltiples dispositivos.
Dispositivos, datos o aplicaciones desactualizados u obsoletos: la falta de una aplicación constante de actualizaciones y parques genera riesgos de seguridad. Un ejemplo notable es el ransomware WannaCry, que se dispersó explotando una vulnerabilidad del sistema operativo de Microsoft Windows (enlace externo a ibm.com) para la cual había un parche disponible. Del mismo modo, cuando los puntos finales, los conjuntos de datos, las cuentas de usuario y las aplicaciones obsoletas no se desinstalan, eliminan o descartan adecuadamente, crean vulnerabilidades no supervisadas que los ciberdelincuentes pueden explotar fácilmente.
TI invisible: la TI invisible, o "shadow IT", es software, hardware o dispositivos (aplicaciones gratuitas o populares, dispositivos de almacenamiento portátiles, un dispositivo móvil personal no protegido) que los empleados utilizan sin el conocimiento o aprobación del departamento de TI. Como los equipos de TI o de seguridad no la supervisan, la TI invisible puede introducir vulnerabilidades graves que los hackers pueden explotar.
La superficie de ataque física expone activos e información generalmente accesible solo a usuarios con acceso autorizado a dispositivos de punto final o de oficina físicos de la organización (servidores, ordenadores, portátiles, dispositivos móviles, dispositivos de IoT, hardware operativo).
Actores internos maliciosos: empleados descontentos o sobornados u otros usuarios con intenciones maliciosas pueden utilizar sus privilegios de acceso para robar datos confidenciales, inhabilitar dispositivos, plantar programas maliciosos o algo peor.
Robo de dispositivos: los delincuentes pueden robar dispositivos de punto final u obtener acceso a ellos colándose en las instalaciones de una organización. Una vez en posesión del hardware, los hackers pueden acceder a los datos y procesos almacenados en estos dispositivos. También pueden utilizar la identidad y los permisos del dispositivo para acceder a otros recursos de red. Los puntos finales utilizados por trabajadores remotos, los dispositivos personales de los empleados y los dispositivos desechados incorrectamente son blancos típicos de robo.
Baiting: baiting es un ataque en el que los hackers dejan unidades USB infectadas con un programa malicioso en lugares públicos, con la intención de engañar a los usuarios para que conecten estos dispositivos a sus ordenadores y descarguen involuntariamente el programa malicioso.
La ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o bien cometan otros errores que comprometan sus activos o seguridad personal o empresarial.
Como explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, la ingeniería social a veces se denomina también "ataque informático humano".
Más información sobre la ingeniería social
La superficie de ataque de la ingeniería social de una organización equivale básicamente al número de usuarios autorizados que no están preparados o son vulnerables a los ataques de ingeniería social.
Phishing o suplantación de identidad es el vector de ataque de ingeniería social más conocido y extendido. En un ataque de phishing, los estafadores envían correos electrónicos, mensajes de texto o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción dañina. Los estafadores diseñan los mensajes de phishing para que parezcan o suenen como si los enviase una organización o persona fiable o creíble: un minorista reconocido, una organización gubernamental o, a veces, incluso una persona que el destinatario conoce personalmente.
Según el informe de IBM sobre el coste de una infracción de datos de 2021, la ingeniería social es la segunda causa de las infracciones de datos.
La gestión de la superficie de ataque (ASM) se refiere a los procesos y tecnologías que aplican la perspectiva y el enfoque de un hacker a la superficie de ataque de una organización para descubrir y supervisar de forma continua los activos y las vulnerabilidades que los hackers ven e intentan explotar cuando se proponen atacar la organización. La ASM generalmente implica:
Actividades continuas de descubrimiento, inventario y supervisión de activos potencialmente vulnerables. Cualquier iniciativa de ASM comienza con un inventario completo y continuamente actualizado de los activos de TI con acceso a Internet de una organización, incluidos los activos en local y en cloud. Adoptar el enfoque de un hacker garantiza el descubrimiento no solo de activos conocidos, sino también de TI invisible (descrita arriba), aplicaciones o dispositivos que han sido abandonados pero no eliminados o desactivados (TI huérfana), o activos plantados por hackers o programas maliciosos (TI fraudulenta), entre otros elementos; básicamente, cualquier activo que pueda ser explotado por un hacker o ciberamenaza.
Una vez descubiertos, los activos se supervisan de forma continua, en tiempo real, en busca de cambios que eleven su riesgo como potencial vector de ataque.
Análisis, evaluación de riesgos y priorización de la superficie de ataque. Las tecnologías de ASM puntúan los activos de acuerdo con sus vulnerabilidades y los riesgos de seguridad que presentan, y los priorizan para la respuesta a la amenaza o su corrección.
Reducción y corrección de la superficie de ataque. Los equipos de seguridad pueden aplicar sus conclusiones del análisis de superficie de ataque y "red teaming" para tomar una serie de medidas a corto plazo destinadas a reducir la superficie de ataque. Estas pueden incluir la aplicación de contraseñas más seguras, la desactivación de aplicaciones y dispositivos de punto final que ya no se pueden utilizar, la aplicación de parches para aplicaciones y sistemas operativos, la formación de los usuarios para reconocer estafas de phishing, el establecimiento de controles de acceso biométricos para la entrada de la oficina o la revisión de los controles de seguridad y las políticas en torno a las descargas de software y soportes extraíbles.
Las organizaciones también pueden tomar medidas de seguridad más estructurales o más a largo plazo para reducir su superficie de ataque, ya sea como parte integral o independiente de una iniciativa de gestión de superficie de ataque. Por ejemplo, implementar autenticación de dos factores (2fa) o autenticación de múltiples factores puede reducir o eliminar vulnerabilidades potenciales asociadas a contraseñas débiles o una mala higiene de contraseña.
En una escala más amplia, un enfoque de seguridad de confianza cero puede reducir significativamente la superficie de ataque de una organización. Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, se autentiquen, autoricen y validen continuamente para obtener y mantener el acceso a aplicaciones y datos. Los principios y tecnologías de confianza cero (validación continua, acceso con privilegios mínimos, supervisión continua, microsegmentación de red) pueden reducir o eliminar muchos vectores de ataque y proporcionar datos valiosos para el análisis continuo de la superficie de ataque.
Gestione la expansión de su ocupación digital y cumpla los objetivos con menos falsos positivos para mejorar la ciberresiliencia de su organización rápidamente.
Conecte sus herramientas, automatice su centro de operaciones de seguridad (SOC) y disponga de más tiempo para las tareas más importantes.
Adopte un programa gestión de vulnerabilidades que identifique, priorice y gestione la corrección de defectos que podrían exponer sus activos más importantes
La ingeniería social compromete la seguridad empresarial o personal mediante la manipulación psicológica en lugar del ataque informático técnico.
Un programa malicioso o malware es código de software escrito para dañar o destruir ordenadores o redes, o para proporcionar acceso no autorizado a ordenadores, redes o datos.
Un enfoque de confianza cero requiere que todo los usuarios, ya sea fuera o dentro de la red, se autentiquen, autoricen y validen continuamente para obtener y mantener el acceso a aplicaciones y datos.
Las amenazas internas ocurren cuando los usuarios con acceso autorizado a los activos de una empresa comprometen dichos activos de forma deliberada o accidental.
Una guía para proteger sus cargas de trabajo y entorno de cloud computing.
La seguridad de datos es la práctica de proteger la información digital ante posibles robos, corrupción o accesos no autorizados a lo largo de su ciclo de vida.