Las debilidades de seguridad que pasamos por alto

Como analista de seguridad, a menudo me preguntan “¿Qué amenazas y vulnerabilidades prevé para el futuro?” Esta es una pregunta muy interesante, pero también es un indicador de que la forma en que pensamos y enfocamos la seguridad informática está fundamentalmente equivocada. ¿Realmente necesitamos invertir tiempo y recursos en concentrarnos en futuras amenazas cuando seguimos siendo vulnerables a ataques que hemos conocido por más de 20 años?

Si echamos un vistazo a algunos de los más notables ataques que hemos visto, veremos que los atacantes no recurrieron a las vulnerabilidades día-cero. Asimismo, si miramos los paquetes de exploits, en realidad muy pocos están equipados con exploits que ataquen las vulnerabilidades día-cero. Para hacer un análisis profundo de esto, aunamos esfuerzos con Martin Jartelius, jefe científico de Outpost24, y accedimos a estadísticas únicas sobre exposiciones de riesgo técnico de los vendedores de sistemas de gestión de vulnerabilidades y realizamos varias auditorías de seguridad que incluyeron pruebas de ingeniería social y de penetración. Sin embargo, esto se realizó sin explotar ninguna vulnerabilidad.
Empezamos analizando las estadísticas que obtuvimos y no tardamos mucho en comprobar que nuestra teoría era correcta. Observamos la frecuencia de antiguas vulnerabilidades, concentrándonos en aquellas ante las cuales seguimos vulnerables. Decidimos incluir en este informe las estadísticas de Suecia y Benelux.

Incluso las estadísticas muestran que nos va bien con la protección contra nuevas vulnerabilidades, pero que extrañamente tenemos la tendencia a olvidarnos de las vulnerabilidades antiguas. Algunos sistemas siguen siendo vulnerables a vulnerabilidades de hace más de 10 años.

Otra pregunta interesante es “¿Qué sistemas realmente tratamos de proteger?” El tema de la infraestructura crítica es muy delicado, pero ¿qué otro tipo de “recursos públicos” pueden ser críticos? Por ejemplo, ¿los hoteles, hospitales o estaciones de radio?

En una investigación es crucial trabajar con hechos verificables, y una de las formas de hacerlo es con los pies en la realidad. Durante nuestro análisis también quisimos llevar a cabo un desafío práctico para algunas compañías de distintas áreas. La idea era salir y visitar estas compañías y realizar una auditoría de seguridad con una lista de verificación predefinida en base a los resultados de la investigación. Nuestro objetivo era ver y comprobar si tenían sistemas vulnerables a antiguas amenazas, revisar sus rutinas de seguridad, y realizar varias pruebas adicionales. Sin embargo, sólo unas cuantas aceptaron participar en este desafío. Creemos que este es sin duda uno de los principales problemas hoy en día: le dedicamos más tiempo a nuevas y emocionantes vulnerabilidades y amenazas que a enfrentar los problemas reales. De todas maneras, llevamos a cabo el desafío y los resultados son bastante interesantes.

Aquí puedes acceder al estudio completo aquí.