Publicado: 15 de diciembre de 2023
Colaboradores: Matt Kosinski, Amber Forrest
El escaneo de vulnerabilidades, también denominado «evaluación de vulnerabilidades», es el proceso de evaluar las redes o los activos de TI para detectar vulnerabilidades de seguridad, es decir, fallas o debilidades que los actores de amenazas externas o internas pueden aprovechar. El escaneo de vulnerabilidades es la primera etapa del ciclo de vida de la gestión de vulnerabilidades más amplio.
En la mayoría de las organizaciones actuales, los escaneos de vulnerabilidades están totalmente automatizados. Se llevan a cabo mediante herramientas especializadas de escaneo de vulnerabilidades que encuentran y señalan los fallos para que los revise el equipo de seguridad.
La explotación de vulnerabilidades es el segundo vector de ciberataque más común por detrás del phishing, según el X-Force Threat Intelligence Indexde IBM. El escaneo de vulnerabilidades ayuda a las organizaciones a detectar y atajar las debilidades de seguridad antes de que los ciberdelincuentes puedan convertirlas en armas. Por este motivo, el Centro de Seguridad de Internet (CIS) (enlace externo a ibm.com) considera la gestión continua de vulnerabilidades, incluido el escaneo automatizado de vulnerabilidades, una práctica crítica de ciberseguridad.
Una vulnerabilidad de seguridad es cualquier debilidad en la estructura, función o implementación de un activo o red de TI que los hackers u otros actores de amenazas pueden aprovechar para obtener acceso no autorizado y causar daños a la red, los usuarios o la empresa. Las vulnerabilidades más comunes incluyen:
- Defectos de codificación, como aplicaciones web que son susceptibles a scripting entre sitios, inyección SQL y otros ataques de inyección debido a la forma en que manejan las entradas del usuario.
- Puertos abiertos no protegidos en servidores, portátiles y otros endpoints, que los hackers podrían utilizar para difundir malware.
- Configuraciones incorrectas, como un depósito de almacenamiento en la nube que expone datos confidenciales a la red pública de Internet porque tiene permisos de accesoinadecuados.
- Falta de parches, contraseñas débiles u otras deficiencias en la higiene de la ciberseguridad.
Cada mes se descubren miles de nuevas vulnerabilidades. Dos agencias gubernamentales de Estados Unidos mantienen catálogos consultables de vulnerabilidades de seguridad conocidas: el Instituto Nacional de Estándares y Tecnología (NIST) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) (enlaces externos a ibm.com).
Lamentablemente, aunque las vulnerabilidades se documentan a fondo una vez que se descubren, los hackers y otros actores de amenazas suelen encontrarlas primero, lo que les permite coger a las organizaciones por sorpresa.
Para adoptar una postura de seguridad más proactiva frente a estas ciberamenazas, los equipos de TI implementan programas de gestión de vulnerabilidades. Estos programas siguen un proceso continuo para identificar y resolver los riesgos de seguridad antes de que los hackers puedan aprovecharlos. Los escaneos de vulnerabilidades suelen ser el primer paso del proceso de gestión de vulnerabilidades, ya que revelan las debilidades de seguridad que los equipos de TI y seguridad deben abordar.
Muchos equipos de seguridad también utilizan escaneo de vulnerabilidades para
Validar las medidas y controles de seguridad: después de implementar nuevos controles, los equipos suelen ejecutar otro análisis para confirmar que las vulnerabilidades identificadas se han atajado y que los esfuerzos de corrección no introdujeron ningún problema nuevo.
Mantener el cumplimiento normativo: algunas regulaciones exigen explícitamente escaneos de vulnerabilidades. Por ejemplo, el estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS) exige que las organizaciones que gestionan los datos de los titulares de tarjetas se sometan a escaneos trimestrales (enlace externo a ibm.com).
Entre aplicaciones en la nube y locales, dispositivos móviles y de IoT, portátiles y otros endpoints tradicionales, las redes empresariales modernas contienen demasiados activos para realizar escaneos de vulnerabilidades manuales. En su lugar, los equipos de seguridad utilizan escáneres de vulnerabilidades para realizar escaneos automatizados de forma recurrente.
Para encontrar posibles vulnerabilidades, los escáneres primero recopilan información sobre los activos de TI. Algunos escáneres utilizan agentes instalados en los endpoints para recopilar datos sobre los dispositivos y el software que se ejecuta en ellos. Otros escáneres examinan los sistemas desde el exterior, sondeando los puertos abiertos para descubrir detalles sobre las configuraciones de los dispositivos y los servicios activos. Algunos escáneres realizan pruebas más dinámicas, como intentar iniciar sesión en un dispositivo con las credenciales predeterminadas.
Una vez que el escáner ha hecho balance de los activos, los compara con una base de datos de vulnerabilidades que registra las vulnerabilidades y exposiciones comunes (CVE) para diversas versiones de hardware y software. Algunos escáneres se basan en fuentes públicas como las bases de datos NIST y CISA; otros utilizan bases de datos propietarias.
El escáner comprueba si cada activo muestra algún signo de los fallos asociados a él, como un sistema operativo del que se sepa que tiene un fallo en el protocolo de escritorio remoto que permite a los hackers tomar el control del dispositivo. Los escáneres también pueden comprobar las configuraciones de un activo con una lista de mejores prácticas de seguridad, como asegurarse de que se aplican criterios de autenticación suficientemente estrictos para una base de datos confidencial.
A continuación, el escáner compila un informe sobre las vulnerabilidades identificadas para que el equipo de seguridad lo revise. Los informes más básicos simplemente enumeran todos los problemas de seguridad que deben abordarse. Algunos escáneres pueden ofrecer explicaciones detalladas y comparar los resultados del escaneo con escaneos anteriores para realizar un seguimiento de la gestión de vulnerabilidades a lo largo del tiempo.
Los escáneres más avanzados también priorizan las vulnerabilidades en función de su criticidad. Los escáneres pueden utilizar inteligencia de amenazas de código abierto, como las puntuaciones del sistema de puntuación de vulnerabilidades comunes (CVSS), para juzgar lo crítico que es un defecto, o pueden utilizar algoritmos más complejos que consideren el defecto en el contexto único de la organización. Estos escáneres también pueden recomendar métodos de corrección y mitigación para cada defecto.
Los riesgos de seguridad de una red cambian a medida que se añaden nuevos activos y se descubren nuevas vulnerabilidades en la naturaleza. Sin embargo, cada escaneo de vulnerabilidad solo puede capturar un momento en el tiempo. Para mantenerse al día de la evolución del panorama de las ciberamenazas, las organizaciones realizan escaneos con regularidad.
La mayoría de los escaneos de vulnerabilidades no examinan todos los activos de la red de una sola vez, ya que esto exigiría muchos recursos y tiempo. Por el contrario, los equipos de seguridad suelen agrupar los activos en función de su criticidad y escanearlos por lotes. Los activos más críticos se pueden analizar semanalmente o mensualmente, mientras que los activos menos críticos se pueden analizar trimestralmente o anualmente.
Los equipos de seguridad también pueden ejecutar escaneos cada vez que se producen cambios importantes en la red, como añadir nuevos servidores web o crear una nueva base de datos confidencial.
Algunos escáneres de vulnerabilidades avanzados ofrecen un escaneo continuo. Estas herramientas monitorizan los activos en tiempo real y señalan nuevas vulnerabilidades tan pronto como surgen. Sin embargo, el escaneo continuo no siempre es factible ni deseable. Los escaneos de vulnerabilidades más intensivos pueden interferir con el rendimiento de la red, por lo que algunos equipos de TI prefieren realizar escaneos periódicos.
Hay muchos tipos diferentes de escáneres, y los equipos de seguridad suelen utilizar una combinación de herramientas para obtener una imagen completa de las vulnerabilidades de la red.
Algunos escáneres se centran en determinados tipos de activos. Por ejemplo, los escáneres en la nube se centran en los servicios en la nube, mientras que las herramientas de escaneo de aplicaciones web buscan fallas en las aplicaciones web.
Los escáneres se pueden instalar localmente o entregar como aplicaciones de software como servicio (SaaS). Son comunes tanto los escáneres de vulnerabilidades como las herramientas de pago de código abierto. Algunas organizaciones subcontratan el escaneo de vulnerabilidades por completo a proveedores de servicios externos.
Si bien los escáneres de vulnerabilidades están disponibles como soluciones independientes, los proveedores los ofrecen cada vez más como parte de suites holísticas de gestión de vulnerabilidades. Estas herramientas combinan múltiples tipos de escáneres con gestión de superficies de ataque, gestión de activos, gestión de parches y otras funciones clave en una sola solución.
Muchos escáneres admiten integraciones con otras herramientas de ciberseguridad, como los sistemas de gestión de eventos e información de seguridad (SIEM) y las herramientas de detección y respuesta de endpoints (EDR).
Los equipos de seguridad pueden realizar diferentes tipos de escaneos según sus necesidades. Algunos de los tipos más comunes de escaneos de vulnerabilidades son:
Los escaneos de vulnerabilidades externas examinan la red desde el exterior. Se centran en defectos en activos orientados a Internet, como aplicaciones web y controles perimetrales de prueba, como firewalls. Estos escaneos muestran cómo un hacker externo podría entrar en una red.
Los escaneos de vulnerabilidades internas examinan las vulnerabilidades desde dentro de la red. Arrojan luz sobre lo que podría hacer un hacker si entrara, incluida la forma en que podría moverse lateralmente y la información confidencial que podría robar en caso de una vulneración de datos.
Los escaneos autenticados, también llamados "escaneos con credenciales", requieren los privilegios de acceso de un usuario autorizado. En lugar de simplemente mirar una aplicación desde el exterior, el escáner puede ver lo que vería un usuario registrado. Estos escaneos ilustran lo que un hacker podría hacer con una cuenta secuestrada o cómo una amenaza interna podría causar daños.
Los escaneos no autenticados, también llamados "escaneos sin credenciales", no tienen permisos ni privilegios de acceso. Solo ven los activos desde la perspectiva de un extraño. Los equipos de seguridad pueden realizar escaneos no autenticados tanto internos como externos.
Si bien cada tipo de escaneo tiene sus propios casos de uso, hay cierta superposición y se pueden combinar para diferentes propósitos. Por ejemplo, un escaneo interno autenticado mostraría la perspectiva de una amenaza interna. Por el contrario, un escaneo interno no autenticado mostraría lo que vería un hacker deshonesto si superara el perímetro de la red.
El escaneo de vulnerabilidades y las pruebas de penetración son formas distintas pero relacionadas de pruebas de seguridad de red. Si bien tienen funciones diferentes, muchos equipos de seguridad los utilizan para complementarse entre sí.
Los escaneos de vulnerabilidades son escaneos automatizados y de alto nivel de activos. Encuentran fallas y las reportan al equipo de seguridad. Las pruebas de penetración, o pen testing, son un proceso manual. Los especialistas en pruebas de penetración utilizan habilidades de hacking ético no sólo para encontrar vulnerabilidades de la red, sino también para explotarlas en ataques simulados.
Los escaneos de vulnerabilidades son más baratos y fáciles de ejecutar, por lo que los equipos de seguridad los utilizan para controlar un sistema. Las pruebas de penetración requieren más recursos, pero pueden ayudar a los equipos de seguridad a comprender mejor sus fallas de red.
Utilizados juntos, los escaneos de vulnerabilidades y las pruebas de penetración pueden hacer que la gestión de vulnerabilidades sea más eficaz. Por ejemplo, los escaneos de vulnerabilidades proporcionan a los pen testers un punto de partida útil. Mientras tanto, las pruebas de penetración pueden añadir más contexto a los resultados de escaneo al descubrir falsos positivos, identificar causas raíz y explorar cómo los cibercriminales pueden encadenar vulnerabilidades en ataques más complejos.
Mejorar significativamente las tasas de detección y acelerar el tiempo para detectar e investigar amenazas
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de los fallos que podrían exponer sus activos más críticos.
Identifique las amenazas en minutos. Logre una mayor eficiencia y operaciones sencillas con flujos de trabajo integrados.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
La búsqueda de amenazas es un enfoque proactivo para identificar amenazas desconocidas dentro de la red de una organización.
Conozca las amenazas para acabar con ellas: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.