Investigación

Las debilidades de seguridad que pasamos por alto

Como analista de seguridad, a menudo me preguntan “¿Qué amenazas y vulnerabilidades prevé para el futuro?” Esta es una pregunta muy interesante, pero también es un indicador de que la forma en que pensamos y enfocamos la seguridad informática está fundamentalmente equivocada. ¿Realmente necesitamos invertir tiempo y recursos en concentrarnos en futuras amenazas cuando seguimos siendo vulnerables a ataques que hemos conocido por más de 20 años?

Si echamos un vistazo a algunos de los más notables ataques que hemos visto, veremos que los atacantes no recurrieron a las vulnerabilidades día-cero. Asimismo, si miramos los paquetes de exploits, en realidad muy pocos están equipados con exploits que ataquen las vulnerabilidades día-cero. Para hacer un análisis profundo de esto, aunamos esfuerzos con Martin Jartelius, jefe científico de Outpost24, y accedimos a estadísticas únicas sobre exposiciones de riesgo técnico de los vendedores de sistemas de gestión de vulnerabilidades y realizamos varias auditorías de seguridad que incluyeron pruebas de ingeniería social y de penetración. Sin embargo, esto se realizó sin explotar ninguna vulnerabilidad.
Empezamos analizando las estadísticas que obtuvimos y no tardamos mucho en comprobar que nuestra teoría era correcta. Observamos la frecuencia de antiguas vulnerabilidades, concentrándonos en aquellas ante las cuales seguimos vulnerables. Decidimos incluir en este informe las estadísticas de Suecia y Benelux.

Incluso las estadísticas muestran que nos va bien con la protección contra nuevas vulnerabilidades, pero que extrañamente tenemos la tendencia a olvidarnos de las vulnerabilidades antiguas. Algunos sistemas siguen siendo vulnerables a vulnerabilidades de hace más de 10 años.



Otra pregunta interesante es “¿Qué sistemas realmente tratamos de proteger?” El tema de la infraestructura crítica es muy delicado, pero ¿qué otro tipo de “recursos públicos” pueden ser críticos? Por ejemplo, ¿los hoteles, hospitales o estaciones de radio?

En una investigación es crucial trabajar con hechos verificables, y una de las formas de hacerlo es con los pies en la realidad. Durante nuestro análisis también quisimos llevar a cabo un desafío práctico para algunas compañías de distintas áreas. La idea era salir y visitar estas compañías y realizar una auditoría de seguridad con una lista de verificación predefinida en base a los resultados de la investigación. Nuestro objetivo era ver y comprobar si tenían sistemas vulnerables a antiguas amenazas, revisar sus rutinas de seguridad, y realizar varias pruebas adicionales. Sin embargo, sólo unas cuantas aceptaron participar en este desafío. Creemos que este es sin duda uno de los principales problemas hoy en día: le dedicamos más tiempo a nuevas y emocionantes vulnerabilidades y amenazas que a enfrentar los problemas reales. De todas maneras, llevamos a cabo el desafío y los resultados son bastante interesantes.

Aquí puedes acceder al estudio completo aquí.

Las debilidades de seguridad que pasamos por alto

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada