Evaluación de seguridad de la red: Proteger los activos, prepararse para los ataques
Tabla de contenidos
Si hay algo más viral, hoy en día, que un ransomware es un reto de TikTok. A finales de noviembre, se puso de moda el ‘Invisible Challenge’, en el que las personas se grababan desnudas pero su cuerpo se ocultaba gracias a un filtro. Unos delincuentes crearon videos en la propia app ofreciendo filtros para poder superar el filtro previo y redirigiendo a los usuarios hacia Discord para descargárselos. Sin embargo, el software que los usuarios se descargaron no era un filtro, sino un malware capaz de robar información confidencial del usuario como las cuentas de Discord, las contraseñas y tarjetas de crédito del navegador o las wallets de criptomonedas. Si este malware se desencadena en un dispositivo de empresa, ¿qué sucedería? Si la compañía ha realizado una evaluación de seguridad de la red puede estar preparada para contener su impacto y solventar el incidente con éxito.
El ejemplo anterior evidencia la capacidad de innovación de los actores maliciosos y su búsqueda de nuevos canales sobre los que impactar en las empresas y los usuarios, con el objetivo de cometer acciones fraudulentas.
Los ataques de ransomware continúan creciendo, las técnicas de phishing son cada vez más sofisticadas, los ciberataques críticos también van en aumento… El contexto de las amenazas está plagado de desafíos. De ahí que las compañías y las administraciones públicas deban realizar una evaluación de seguridad de la red y, así, ser conscientes de sus vulnerabilidades y remediarlas para proteger a sus activos y su información de seguridad.
En este artículo, vamos a analizar cuáles son los beneficios, las tipologías y las fases de una evaluación de seguridad de la red de una compañía.
1. ¿Qué debemos proteger?
Toda red de una organización está conformada por diferentes componentes: puertos de la red, redes inalámbricas, dispositivos, aplicaciones, archivos, bases de datos…
Estos activos son cruciales para el funcionamiento de la compañía y claves en su modelo de negocio. Un ataque exitoso que logre exfiltrar la información personal de los clientes registrada en una base de datos puede suponer una crisis económica, reputacional y legal que impacte en los beneficios de la compañía e, incluso, en su propia viabilidad.
A pesar de que todos los componentes juegan un papel, no todos ellos tienen el mismo valor para la organización, ni el mismo peso en sus procesos o en su modelo de negocio.
Una empresa cuyo canal de comercialización es su marketplace puede sufrir una crisis mayúscula si los atacantes no solo logran paralizar su funcionamiento, sino también recabar la información económica de los clientes que compran en él.
Mientras que para una compañía que no realiza ventas por internet, sufrir una caída en su página web puede suponer un mal menor, en cambio, que los dispositivos de su red estén inutilizados durante 24 horas o que los agresores tengan acceso al correo corporativo puede desencadenar graves problemas.
Cada empresa o institución es un mundo. La evaluación de seguridad de la red debe partir de este mantra y ajustarse a las características, necesidades y recursos de la organización que se va a evaluar.
Es fundamental, también, tener en cuenta que a través de una evaluación de seguridad de la red no solo se protegen los componentes de la misma, sino a los clientes y usuarios de la compañía y, con ellos, a la empresa en su totalidad.
2. ¿De quién debemos protegernos?
La mayoría de las empresas y los usuarios, cuando piensan en los ciberataques, se imaginan a bandas de expertos informáticos escondidos detrás de potentes ordenadores en algún rincón del mundo.
Más allá del estereotipo de la sudadera y la penumbra, lo cierto es que los atacantes pueden tener múltiples procedencias, formas de operar y objetivos. Y que los incidentes se pueden producir por múltiples factores, tanto internos como externos.
Toda evaluación de seguridad de la red debe tener en cuenta este hecho.
Así, no debe servir, solo, para comprobar la fortaleza de una red frente a los atacantes externos y cómo responden las medidas de seguridad y remediación cuando se produce un ataque al perímetro de la red.
Sino que también debe contemplar las deficiencias internas de la red, así como los posibles descuidos que puedan cometer las personas que trabajan en ella. En ocasiones, las brechas de seguridad se producen porque un usuario ha actuado de manera negligente o poco segura. Retomemos el ejemplo con el que iniciamos el artículo: un trabajador que emplea TikTok desde su móvil de empresa, conectado a la red inalámbrica de la misma y se descarga un software ilegítimo, no ha sido lo suficientemente escrupuloso.
2.1. Poner el foco sobre los proveedores
Por otro lado, los expertos en ciberseguridad cada vez hacen más hincapié en la necesidad de incluir en la evaluación de seguridad de la red a aquellos proveedores o socios con acceso a ella. ¿Por qué?
Una compañía ha realizado una evaluación de seguridad de la red e implementado una serie de mejoras en sus controles de seguridad para fortificarla frente a los ataques externos e internos. Sin embargo, los sistemas de seguridad de uno de sus proveedores son deficientes y tiene acceso a su red. De tal manera que los agresores pueden atacar a la compañía a través de este proveedor. Podemos remontarnos al año 2017, en el contexto de la infección del ransomware Wannacry, para evidenciar esta situación.
3. Objetivos de una evaluación de seguridad de la red
De todo lo que hemos descrito hasta el momento, se pueden inferir los principales objetivos de una evaluación de seguridad de la red y los motivos que pueden empujar a las compañías a acometerla.
Aunque la lista podría ser más extensa y detallada, vamos a abordar los seis objetivos clave que justifican la necesidad de que las empresas presentes en, mayor o menor medida, en el mundo digital, pongan en marcha una evaluación de la red de seguridad.
3.1. Detectar debilidades en los componentes que conforman la red
En primer lugar, la evaluación de seguridad de la red sirve para analizar los componentes que forman parte de ella en busca de posibles vulnerabilidades que puedan ser explotadas por los atacantes.
Sin embargo, esta tarea no se limita solo a la mera detección, sino que, teniendo en cuenta las amenazas existentes, se pueden establecer los riesgos ligados a cada uno de los activos de la red.
Asimismo, se debe establecer una priorización de las debilidades identificadas. Por ejemplo, si un activo es crítico, será más importante remediar una posible vulnerabilidad que afecte a este activo, que acometer la subsanación de cinco vulnerabilidades de otro componente de la red que no tiene la misma importancia para la compañía en términos de modelo de negocio.
En este sentido es importante destacar que es necesario subsanar, en primer lugar, aquellas debilidades que puedan generar consecuencias de mayor nivel, como la exfiltración de información confidencial o la paralización de procesos críticos para el negocio.
3.2. Comprobar la eficacia de las medidas de seguridad
La evaluación de seguridad de la red no solo nos arroja información de gran valor sobre las vulnerabilidades, amenazas y riesgos contra los que se enfrenta una compañía o institución. Sino que también sirve para testear la eficacia de las medidas de seguridad que ya están implementadas.
Evitar que los ataques tengan éxito y logren causar daños en la red pasa, sin ninguna duda, por contar con controles, medidas, protocolos y políticas de seguridad integrales y completos.
Mediante la evaluación de seguridad de la red, se puede comprobar cómo responden todos ellos ante ataques reales y evaluar su comportamiento. El objetivo, claro está, es poder introducir las mejoras necesarias para que cuando tengan que combatir una agresión maliciosa puedan hacerlo con la máxima eficiencia, en el menor tiempo posible y limitando su impacto.
3.3. Medir el impacto de los ataques sobre los activos
Precisamente, esta última cuestión nos conduce hacia otro objetivo de la evaluación de seguridad de la red: medir el impacto de los ataques sobre los elementos de la red y, en especial, sobre los activos críticos.
Como veremos en el siguiente apartado, existen dos tipos de evaluación de seguridad de la red. El más avanzado y completo consiste en ejecutar servicios de pentesting. De esta manera, se puede cumplir el objetivo que venimos de enunciar. Ya que los profesionales simulan ataques reales de cara a actuar como los hipotéticos atacantes. Lo que se traduce en que los ataques simulados pueden tener un impacto similar al de los reales.
De esta manera, al recopilar toda la información generada durante el pentesting se puede evaluar el impacto de un posible ataque en un activo de gran valor. Ello nos permitirá, también, priorizar la subsanación de las vulnerabilidades y la implementación de nuevas medidas de seguridad. Una cuestión de vital importancia, puesto que las compañías no gozan de recursos económicos, humanos, tecnológicos y temporales infinitos para fortificar su red.
3.4. Estar al día de las nuevas amenazas y prepararse para lidiar con ellas
Quizás una compañía realizó una evaluación de seguridad de la red hace unos años e implementó las medidas necesarias para solventar las debilidades y mejorar sus sistemas de seguridad. Sin embargo, la aparición de un nuevo ransomware o el diseño de una técnica de ingeniería social más sofisticada es capaz de impactar en su red y causar un incidente de seguridad grave.
Este hipotético caso ilustra una cuestión que jamás debemos perder de vista. En un mundo tan cambiante como el de la ciberseguridad, lo que hoy es seguro, mañana puede no serlo. Los delincuentes no solo están complejizando y sofisticando sus ataques, sino que no cesan de buscar nuevas vías por las que crear brechas de seguridad, hibridando técnicas anteriores y desarrollando nuevas metodologías.
Realizar una evaluación de seguridad de la red continua o periódica, permite a las compañías adaptar sus sistemas de seguridad a las nuevas amenazas que irrumpen en el mundo y anticiparse a las mismas, para no descubrir su existencia sufriéndolas en carne propia.
3.5. Encontrar soluciones para optimizar la seguridad
Por supuesto, la evaluación de seguridad de la red no se limita a analizar las vulnerabilidades, los sistemas de seguridad y a estudiar el comportamiento de los agresores. Todas esas acciones se traducen en una enorme cantidad de información que, una vez sistematizada y procesada, es de vital importancia para proponer una serie de recomendaciones que ayuden a solventar las debilidades encontradas.
De esta forma, la evaluación de seguridad de la red no solo sirve para encontrar problemas o deficiencias, sino que también reporta a las compañías las medidas que se pueden poner en marcha para atajarlos. Por ello nos encontramos ante un estudio de gran valor añadido.
3.6. Cumplir con las normas en vigor
Proteger sus activos críticos ya es, per se, un contundente motivo para que una compañía decida poner en marcha una evaluación de seguridad de la red. Pero, además de los peligros a los que se puede enfrentar si no lo hace, existe otra motivación de vital importancia: cumplir con la normativa en vigor.
Ya no solo con el RGPD y demás normativa sobre protección de datos, sino también reglamentos y directivas europeos como la directiva NIS2, centrada en las compañías que operan en sectores estratégicos, o el reglamento DORA, que regula la capacidad de resiliencia de las organizaciones del sector financiero frente a los ataques.
Este marco normativo, establece exigencias a la hora de garantizar la seguridad de la información y la protección de las propias compañías y del conjunto de la sociedad.
Mediante una evaluación de seguridad de la red es posible detectar brechas y optimizar las medidas y políticas de seguridad para cumplir con las normativas vigentes. Y evitar, ya no solo las consecuencias a nivel de negocio de un posible compromiso, sino también las posibles sanciones a las que podría enfrentarse la organización en caso de no cumplir con las mismas.
4. Tipos de evaluación de seguridad de la red
Más allá del hecho de que toda evaluación de seguridad de la red debe adaptarse a las necesidades y características de cada organización, cuando se aborda este tipo de análisis, se suele diferenciar entre dos tipologías diferentes. Por un lado, tendríamos la evaluación de vulnerabilidades, cuyos objetivos son menos ambiciosos y el alcance de los trabajos realizados menos profundo. Por otro, nos encontraríamos con los servicios de pentesting, mediante los que se testean, desde una perspectiva más realista y en mayor profundidad y detalle, los posibles ataques a los que son susceptibles la red, sus componentes y los sistemas de seguridad existentes.
4.1. Evaluación de vulnerabilidades
Este primer tipo de evaluación de seguridad de la red está centrado en identificar vulnerabilidades y brechas en los activos que conforman la red de la organización.
Mediante este estudio, profesionales de la ciberseguridad analizan tanto la red interna como el perímetro de la organización, con el objetivo de encontrar debilidades que puedan ser explotadas por los atacantes y traducirse en incidentes de seguridad.
El fruto de los trabajos realizados es un informe en el que se recopilan las vulnerabilidades, se indican las áreas más expuestas a los ciberataques y se propone una serie de recomendaciones, así como un plan de acción para mitigar las debilidades.
Para compañías que no tienen un elevado nivel de digitalización y aún no dedican suficientes recursos a la ciberseguridad, esta modalidad de evaluación de seguridad de la red puede ser atractiva. Ya que les permite enfocar sus esfuerzos y recursos en proteger aquellos activos que presentan más debilidades o en los que se consideran críticos para el negocio y, por lo tanto, deben estar plenamente securizados.
4.2. Servicios de pentesting
Los servicios de pentesting van más allá de la mera búsqueda de vulnerabilidades. Los tests de intrusión avanzados son una prueba de seguridad ofensiva, en la que los profesionales simulan un ciberataque real, empleando las metodologías de los delincuentes, pero en un entorno controlado.
De esta manera, se pueden identificar las debilidades de la red, pero también ejecutar amenazas para estudiar cómo responden los controles y medidas de seguridad y cuál podría ser el impacto de un ataque exitoso.
Toda la información que se recopila durante la ejecución del pentesting sirve para mapear las vulnerabilidades de los activos, establecer el nivel de riesgo de que sean explotadas con éxito y evaluar la eficacia de los sistemas de seguridad.
Los datos se vuelcan en un informe de pentest en el que figuran las técnicas empleadas, el alcance de los trabajos, las vulnerabilidades detectadas y las recomendaciones para que sean subsanadas y los protocolos y controles de seguridad se optimicen.
Si volvemos la vista atrás hacia los objetivos de una evaluación de seguridad de la red, podemos constatar que los servicios de pentesting son los más adecuados para cumplirlos. Puesto que permiten a las compañías obtener una panorámica más completa y profunda de sus sistemas de seguridad y la securización de sus activos críticos.
5. Fases de una evaluación de seguridad de la red avanzada
La evaluación de seguridad de la red implica, como ya hemos apuntado, un análisis en profundidad de la ciberseguridad de una compañía o institución. Esto implica que dicha tarea tenga un valor estratégico para las empresas y que, por lo tanto, no se deba abordar de forma aislada. La ciberseguridad es una cuestión que debe formar parte de la estrategia de las compañías y, por lo tanto, al diseñar e implementar una evaluación de seguridad de la red se tienen que tener en cuenta los objetivos de negocio y los procesos internos.
Partiendo de este mantra, vamos a abordar las diferentes fases que conforman una evaluación de seguridad de la red.
5.1. Elaborar un inventario con los activos que conforman la infraestructura tecnológica
¿Cómo se arranca una evaluación de seguridad de la red? Realizando un inventario en el que figuren todos los activos que conforman la infraestructura tecnológica.
A partir de esta información, se puede pasar a diseñar una evaluación de seguridad de la red que se adapte a los elementos de la misma y a las características de la compañía.
5.2. Identificar los activos y procesos críticos en función del modelo de negocio
Lo ideal sería poder estudiar todos los elementos de la red, sin embargo, no todas las compañías cuentan con los mismos recursos o tienen las mismas prioridades.
De ahí que a la hora de realizar el inventario de los elementos que conforman la red, algunas organizaciones incluirán todos sus activos susceptibles de ser atacados, mientras que otras se limitarán a los más relevantes y cuya vulneración pueda traducirse en incidentes de seguridad de enorme gravedad. Así como aquellas áreas en las que las normativas exigen efectuar test y evaluaciones de seguridad.
Estos activos y procesos críticos serán analizados, gracias al trabajo de los pentesters, de cara a descubrir cualquier tipo de vulnerabilidad que pueda ser empleada por actores maliciosos para introducirse en la red corporativa.
5.3. Análisis de los activos y sus vulnerabilidades
Simular el comportamiento de los delincuentes reales, recurriendo a sus técnicas y tácticas, permite medir el nivel de protección y riesgo de cada activo de la organización.
De esta manera, se pueden alcanzar un conocimiento profundo de las diversas vulnerabilidades, lo cual ayudará a diseñar las mejores medidas para subsanarlas y servirá para priorizarlas.
A través de los servicios de pentesting se puede descubrir que un subdominio de la compañía presente múltiples vulnerabilidades, sin embargo, el nivel de riesgo de las mismas es bajo y, además, el potencial ataque a este subdominio no abriría la puerta al movimiento lateral de los atacantes por toda la red, ni repercutiría en la continuidad de negocio o la protección de la información.
En cambio, la base de datos de los clientes de la empresa, solo registra una vulnerabilidad. Pero en caso de ser explotada, podría permitir a los atacantes acceder a los datos financieros y personales de miles de clientes. El impacto económico, reputacional y legal podría ser devastador.
Debemos señalar que los servicios de pentesting no se limitan a analizar la red, sino que para efectuar las simulaciones de ataque tienen en cuenta, también, las múltiples amenazas existentes. De tal manera que se establece una relación entre activos, vulnerabilidades y amenazas.
El resultado de esta triangulación es el nivel de riesgo que existe de que una amenaza se traduzca en la explotación de una vulnerabilidad para atacar con éxito a un activo.
5.4. Testeo de los controles, medidas y protocolos de seguridad
Si se recurre al pentesting para realizar una evaluación de seguridad de la red, no solo se obtiene un estudio pormenorizado de las vulnerabilidades de los elementos de la red, sino que también se pueden testear sus medidas de protección.
La defensa de los activos implica subsanar las vulnerabilidades, pero, también, optimizar los protocolos, mecanismos, técnicas y políticas de seguridad que se encargan de detectar y combatir los ciberataques. Así como de paliar sus efectos y posibilitar la continuidad de negocio y la recuperación tras el incidente.
Al simular ataques reales, se puede comprobar fehacientemente cómo responden los sistemas de seguridad ante los incidentes, recopilar información al respecto y poder diseñar medidas que mejoren la capacidad de detección, respuesta, resiliencia y recuperación de la organización.
5.5. Listado de vulnerabilidades y recomendaciones para subsanarlas
La misión de toda evaluación de seguridad de la red de una compañía o administración pública es constatar todas las debilidades existentes y proponer medidas para remediarlas.
La ingente cantidad de información que se obtiene durante la ejecución de un pentesting es sistematizada y analizada por los profesionales y transformada en un informe de gran valor añadido para la organización.
En él se reflejan los problemas encontrados, las acciones que se deben poner en marcha y se establecen una serie de recomendaciones para solventar las debilidades. De esta manera, la organización dispone de todos los datos sobre las vulnerabilidades a subsanar, así como el nivel de eficacia de las medidas de seguridad actuales.
A partir de ahí, en función de las prioridades de la compañía y su estrategia empresarial, se puede proceder a implementar las recomendaciones y securizar la red frente a los ataques.
¿Acaba aquí la evaluación de seguridad de la red? No.
5.6. Monitoreo continuo de la red
Si una compañía contrata los servicios de pentesting de una empresa especializada en ciberseguridad como Tarlogic Security, obtendrá toda la información que hemos detallado a lo largo de este artículo sobre el nivel de protección de su red y de los activos que la conforman.
Pero tenemos que añadir una cosa a este párrafo: en el momento en que los trabajos se han realizado. Puesto que es de especial importancia tener en cuenta que la ejecución de un trabajo de pentesting muestra el estado de la infraestructura corporativa en un momento dado.
La ciberseguridad es un sector especialmente líquido y sometido a constantes cambios. De manera continua se desarrollan nuevas tecnologías. La infraestructura de una organización crece y se hace cada vez más amplia y lo mismo sucede con su superficie de exposición ante posibles ataques. Los delincuentes son conscientes de ello y siempre tratan de aprovecharse de esta situación, además de innovar en sus métodos y tácticas.
Por ello, es fundamental que las empresas apuesten por un monitoreo continuo de su red. De esta manera conseguirán dos cuestiones de vital importancia:
- Analizar la implementación de las recomendaciones. De nada sirve invertir en una evaluación de seguridad de la red si, posteriormente, las recomendaciones efectuadas por los especialistas no se implementan o se ponen en marcha de manera errónea o incompleta. Por ello, hacer un seguimiento de las medidas tomadas tras la evaluación de seguridad de la red es de gran relevancia.
- Adaptar los sistemas de seguridad a las nuevas amenazas. Al monitorizar la red de manera continua o recurrente, se puede detectar si una nueva amenaza es capaz de explotar una vulnerabilidad o una brecha de seguridad, poniendo en tela de juicio la integridad de la red y, por ende, de la propia compañía.
6. Evaluación de seguridad de la red: Una inversión estratégica
Los constantes casos de ciberataques que podemos encontrarnos en los medios, la aparición de técnicas y malwares cada vez más complejos y difíciles de detectar y combatir, la puesta en marcha de normativas más exigentes, como el reglamento DORA aprobado a finales de noviembre por la UE… Todas estas cuestiones nos indican lo mismo: las compañías, las administraciones públicas y la ciudadanía tienen que tomarse en serio la ciberseguridad.
Es más, en el caso de las empresas, la ciberseguridad debe ser abordada como un elemento central de la estrategia empresarial, al mismo nivel que la estrategia comercial, la planificación económica o la elaboración de los bienes o servicios que venden.
Poner en marcha una evaluación de seguridad de la red puede ser una inversión estratégica que no solo sirva para cumplir con la legalidad, sino que contribuya a securizar los activos y procesos de una compañía y protegerse ante los delincuentes, sus acciones fraudulentas y las perniciosas consecuencias que traen consigo los incidentes de seguridad.
Ser conscientes de las vulnerabilidades propias, los métodos de los enemigos y la eficiencia de las medidas de defensa es crucial para subsanar las primeras, combatir a los segundos y mejorar las terceras. En juego está la seguridad de los clientes y trabajadores… y el propio modelo de negocio.
Este artículo forma parte de una serie de articulos sobre Evaluación de seguridad
- Las 5 claves de una evaluación de riesgos de seguridad
- Evaluación global de seguridad: Conocer las debilidades para subsanarlas
- Evaluación de seguridad de la red: Proteger los activos, prepararse para los ataques
- 5 beneficios de una evaluación de las políticas de seguridad