Inicio topics ¿Qué es una superficie de ataque? ¿Qué es una superficie de ataque?
Una superficie de ataque es la suma de las vulnerabilidades de una organización frente a un ciberataque.
Persona sentada en un escritorio de una oficina que usa una computadora portátil
¿Qué es una superficie de ataque?

La superficie de ataque de una organización es la suma de vulnerabilidades, rutas o métodos, a veces llamados vectores de ataque, que los hackers pueden usar para obtener acceso no autorizado a la red o datos confidenciales, o para llevar a cabo un ciberataque.

A medida que las organizaciones adoptan cada vez más los servicios en la nube y los modelos de trabajo híbridos (en las instalaciones/trabajo desde casa), sus redes y las superficies de ataque asociadas son cada vez más grandes y complejas. Según El estado de la gestión de la superficie de ataque 2022 de Randori (enlace externo a ibm.com) (Randori es una subsidiaria de IBM Corp.), el 67 por ciento de las organizaciones han visto crecer sus superficies de ataque en los últimos dos años. El analista de la industria Gartner nombró la expansión de la superficie de ataque como la tendencia número 1 en seguridad y gestión de riesgos para 2022 (enlace externo a ibm.com).

Los expertos en seguridad dividen la superficie de ataque en tres subsuperficies: la superficie de ataque digital, la superficie de ataque física y la superficie de ataque de ingeniería social.

Superficie de ataque digital

La superficie de ataque digital expone potencialmente la nube de la organización y la infraestructura local a cualquier hacker con una conexión a Internet. Los vectores de ataque comunes en la superficie de ataque digital de una organización incluyen:

  • Contraseñas débiles: las contraseñas que son fáciles de adivinar, o fáciles de descifrar mediante ataques de fuerza bruta, aumentan el riesgo de que los ciberdelincuentes puedan comprometer las cuentas de los usuarios para acceder a la red, robar información confidencial, propagar malware y dañar la infraestructura. Según el informe Costo de una brecha de seguridad de datos 2021 de IBM, las credenciales comprometidas fueron el vector de ataque inicial más comúnmente explotado en 2021.
     

  • Configuración incorrecta: los puertos de red, canales, puntos de acceso inalámbricos, firewalls o protocolos configurados incorrectamente sirven como puntos de entrada para los hackers. Los ataques de intermediario (MitM), por ejemplo, aprovechan los protocolos de cifrado débiles en los canales de mensajes para interceptar las comunicaciones entre los sistemas.
     

  • Vulnerabilidades de software, sistema operativo (SO) y firmware: los hackers y los ciberdelincuentes pueden aprovechar los errores de codificación o implementación en aplicaciones, sistemas operativos y otro software o firmware de terceros para infiltrarse en redes, obtener acceso a directorios de usuarios o plantar malware. Por ejemplo, en 2021, los ciberdelincuentes aprovecharon una falla en la plataforma VSA (dispositivo de almacenamiento virtual) de Kaseya (enlace externo a ibm.com) para distribuir ransomware, disfrazado como una actualización de software, a los clientes de Kaseya.
     

  • Activos orientados a Internet: las aplicaciones web, los servidores web y otros recursos que se enfrentan a la Internet pública son intrínsecamente vulnerables a los ataques. Por ejemplo, los hackers pueden inyectar código malicioso en interfaces de programación de aplicaciones (API) no seguras, lo que hace que divulguen de manera incorrecta o incluso destruyan información confidencial en las bases de datos asociadas.
     

  • Bases de datos y directorios compartidos: los hackers pueden explotar las bases de datos y los directorios compartidos entre sistemas y dispositivos para obtener acceso no autorizado a recursos confidenciales o lanzar ataques de ransomware. En 2016, el ransomware Virlock se propagó (enlace externo a ibm.com) al infectar carpetas de archivos colaborativos a las que se accede desde varios dispositivos.
     

  • Dispositivos, datos o aplicaciones desactualizados u obsoletos: la falta de aplicación constante de actualizaciones y parches genera riesgos de seguridad. Un ejemplo notable es el ransomware WannaCry, que se propagó aprovechando una vulnerabilidad del sistema operativo Microsoft Windows (enlace externo a ibm.com) para el cual había un parche disponible. Del mismo modo, cuando los puntos finales, los conjuntos de datos, las cuentas de usuario y las aplicaciones obsoletas no se desinstalan, eliminan o descartan adecuadamente, crean vulnerabilidades no supervisadas que los ciberdelincuentes pueden explotar fácilmente.
     

  • TI en la sombra: la "TI en la sombra" es software, hardware o dispositivos (aplicaciones gratuitas o populares, dispositivos de almacenamiento portátiles, un dispositivo móvil personal no seguro) que los empleados usan sin el conocimiento o la aprobación del departamento de TI. Como los equipos de TI o de seguridad no la supervisan, la TI en la sombra puede introducir vulnerabilidades graves que los hackers pueden explotar.

Superficie de ataque físico

La superficie de ataque física expone los activos y la información a los que generalmente solo pueden acceder los usuarios con acceso autorizado a la oficina física de la organización o a los dispositivos finales (servidores, computadoras, laptops, dispositivos móviles, dispositivos IoT, hardware operativo).

  • Empleados internos maliciosos: los empleados descontentos o sobornados u otros usuarios con intenciones maliciosas pueden usar sus privilegios de acceso para robar datos confidenciales, desactivar dispositivos, plantar malware o algo peor.
     

  • Robo de dispositivos: los delincuentes pueden robar dispositivos de punto final u obtener acceso a ellos irrumpiendo en las instalaciones de una organización. Una vez en posesión del hardware, los hackers pueden acceder a los datos y procesos almacenados en estos dispositivos. También pueden usar la identidad y los permisos del dispositivo para acceder a otros recursos de la red. Los puntos finales utilizados por los trabajadores remotos, los dispositivos personales de los empleados y los dispositivos desechados incorrectamente son objetivos típicos de robo. 
     

  • Baiting: baiting es un ataque en el que los hackers dejan unidades USB infectadas con malware en lugares públicos, con la esperanza de engañar a los usuarios para que conecten los dispositivos a sus computadoras y descarguen el malware sin querer.

Superficie de ataque de ingeniería social

La ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad o sus activos personales u organizacionales.

Debido a que explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, la ingeniería social a veces se denomina "hackeo humano".

Descubra más acerca de la ingeniería social

La superficie de ataque de ingeniería social de una organización equivale esencialmente a la cantidad de usuarios autorizados que no están preparados o son vulnerables a los ataques de ingeniería social.

Phishing es el vector de ataque de ingeniería social más conocido y predominante. En un ataque de phishing, los estafadores envían e-mails, mensajes de texto o mensajes de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción dañina. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si vinieran de una organización o persona confiable o creíble: un minorista popular, una organización gubernamental o, a veces, incluso una persona que el destinatario conoce personalmente.

Según el informe Costo de una brecha de seguridad de datos 2021 de IBM, la ingeniería social es la segunda causa principal de brechas de seguridad de datos.

Gestión de la superficie de ataque

La gestión de la superficie de ataque (ASM) se refiere a los procesos y tecnologías que adoptan la perspectiva y el enfoque de un hacker en la superficie de ataque de una organización, descubriendo y supervisando continuamente los activos y las vulnerabilidades que los hackers ven e intentan explotar cuando se dirigen a la organización. La ASM generalmente implica:

Descubrimiento continuo, inventario y supervisión de activos potencialmente vulnerables. Cualquier iniciativa de ASM comienza con un inventario completo y continuamente actualizado de los activos de TI con acceso a Internet de una organización, incluidos los activos locales y en la nube. Adoptar el enfoque de un hacker garantiza el descubrimiento no solo de los activos conocidos, sino también de la TI en la sombra (vea arriba), aplicaciones o dispositivos que han sido abandonados pero no eliminados o desactivados (TI huérfana), activos plantados por hackers o malware (TI no autorizada) y más, esencialmente cualquier activo que pueda ser explotado por un hacker o ciberamenaza.

Una vez descubiertos, los activos se supervisan continuamente, en tiempo real, en busca de cambios que aumenten su riesgo como vector de ataque potencial.

Análisis de superficie de ataque, evaluación de riesgos y priorización. Las tecnologías de ASM califican los activos de acuerdo con las vulnerabilidades y los riesgos de seguridad que presentan, y los priorizan para la respuesta o reparación de amenazas.

Reducción y remediación de la superficie de ataque. Los equipos de seguridad pueden aplicar sus hallazgos del análisis de la superficie de ataque y la creación de equipos rojos para tomar una variedad de acciones a corto plazo para reducir la superficie de ataque. Estos pueden incluir la aplicación de contraseñas más seguras, la desactivación de aplicaciones y dispositivos de punto final que ya no se usan, la aplicación de parches de aplicaciones y sistemas operativos, la capacitación de usuarios para reconocer estafas de phishing, el establecimiento de controles de acceso biométricos para ingresar a la oficina o la revisión de políticas y controles de seguridad relacionados con descargas de software y medios extraíbles.

Las organizaciones también pueden tomar medidas de seguridad más estructurales o de más largo plazo para reducir su superficie de ataque, ya sea como parte de una iniciativa de gestión de la superficie de ataque o de forma independiente. Por ejemplo, implementar la autenticación de dos factores (2fa) o la autenticación multifactor puede reducir o eliminar posibles vulnerabilidades asociadas con contraseñas débiles o mala higiene de contraseñas.

En una escala más amplia, un enfoque de seguridad de confianza cero puede reducir significativamente la superficie de ataque de una organización. Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos. Los principios y tecnologías de confianza cero (validación continua, acceso con privilegios mínimos, supervisión continua, microsegmentación de red) pueden reducir o eliminar muchos vectores de ataque y proporcionar datos valiosos para el análisis continuo de la superficie de ataque.

Descubra más acerca de la gestión de la superficie de ataque

Soluciones relacionadas
IBM Security Randori Recon

Gestione la expansión de su huella digital y alcance el objetivo con menos falsos positivos para mejorar rápidamente la resiliencia cibernética de su organización.

Explore Randori Recon
IBM® Security QRadar XDR Connect

Conecte sus herramientas, automatice su centro de operaciones de seguridad (SOC) y libere tiempo para lo que más importa.

Explore QRadar XDR Connect
Servicios de gestión de vulnerabilidades

Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la reparación de fallas que podrían exponer sus activos más importantes

Explore los servicios de gestión de vulnerabilidades
Recursos ¿Qué es la ingeniería social?

La ingeniería social compromete la seguridad personal o empresarial mediante la manipulación psicológica en lugar del hackeo técnico.

¿Qué es el malware?

El malware es un código de software escrito para dañar o destruir computadoras o redes, o para proporcionar acceso no autorizado a computadoras, redes o datos.

¿Qué es la confianza cero?

Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos

¿Qué son las amenazas internas?

Las amenazas internas ocurren cuando los usuarios con acceso autorizado a los activos de una empresa comprometen esos activos de forma deliberada o accidental.

¿Qué es la seguridad en la nube?

Una guía para proteger su entorno informático en la nube y sus cargas de trabajo.

¿Qué es la seguridad de datos?

La seguridad de datos es la práctica de proteger la información digital ante posibles robos, corrupción o accesos no autorizados a lo largo de su ciclo de vida.

Dé el siguiente paso

Las organizaciones han hecho un buen trabajo al encontrar y corregir vulnerabilidades conocidas en los activos organizacionales gestionados. Pero la rápida adopción de modelos de nube híbrida y el soporte permanente de una fuerza laboral remota han hecho que sea mucho más difícil para los equipos de seguridad gestionar la expansión de la superficie de ataque empresarial.IBM Security Randori Recon utiliza un proceso de descubrimiento continuo y preciso para descubrir la TI en la sombra, y le permite cumplir sus objetivos con conclusiones factuales correlacionadas que se basan en tentar al adversario. Los flujos de trabajo optimizados mejoran su resiliencia general a través de integraciones con su ecosistema de seguridad existente.

Explore Randori Recon