Por Martín Montes, Gerente General de HP Chile
Santiago, marzo de 2025. — Hemos visto que las organizaciones están cada vez más conscientes de la importancia que tiene la seguridad de los dispositivos (proteger el hardware y el firmware de las PCs, impresoras u otros dispositivos), no obstante una nueva investigación de HP Wolf Security revela que esta seguridad se desatiende con frecuencia. Parte de lo anterior se debe a una falta de madurez: el 79% de los responsables de la toma de decisiones de TI y seguridad (ITDSM, por sus siglas en inglés) a nivel global afirma que su comprensión de la seguridad del hardware y el firmware no a la par de su conocimiento sobre la seguridad del software. De alguna manera, esto es atribuible a la reciente evolución en el panorama tecnológico de los dispositivos, donde no todos los proveedores priorizan esta área de la tecnología y muchos de ellos no proporcionan las herramientas y capacidades para simplificar la gestión continua de la seguridad del hardware y el firmware.
La seguridad del dispositivo debe tomarse en cuenta desde la etapa de su adquisición, pero generalmente se descarta para favorecer las ganancias de corto plazo. De hecho, el 68% de ITSDMs alrededor del mundo afirma que la seguridad del hardware y firmware suele pasarse por alto en la evaluación del costo total de la propiedad (TCO), y se opta por gestionar la seguridad de los dispositivos durante su ciclo de vida. Es importante recordar que la compra de un dispositivo es una decisión de seguridad empresarial, y que una elección incorrecta tiene consecuencias de gran alcance que pueden llegar a debilitar el estado de la seguridad o aumentar los costos de la gestión de seguridad de la infraestructura en los próximos años.
Las organizaciones deben establecer los requisitos de hardware y firmware de los dispositivos, así como los procesos de gestión del ciclo de vida necesarios para brindar seguridad, confianza y garantizar que los dispositivos funcionarán como se espera. Esto requiere un enfoque de extremo a extremo y buenas prácticas, que tenga presente la seguridad de la plataforma durante toda su vida útil, tales como:
- Establecer requisitos para los proveedores
Con frecuencia los equipos de compras trabajan solos en la adquisición de los dispositivos, sin recurrir a la experiencia de los equipos de la seguridad y TI para evaluar a los proveedores. Además, carecen de una guía sobre los requisitos que puedan tener implicaciones a largo plazo en la seguridad y la capacidad de gestión de toda la flota. De hecho, el 52% de los ITDSMs a escala global refiere que el departamento de adquisiciones rara vez colabora con los equipos de TI y seguridad para verificar las características de seguridad de hardware y firmware que ofrecen los proveedores.
La colaboración entre los equipos es clave para garantizar que los requisitos en las adquisiciones de los dispositivos sirvan adecuadamente a la postura de seguridad a largo plazo, así como a la estrategia digital de una organización.
- Mayor seguridad en la administración del BIOS
Cuando un dispositivo está en tránsito o sin supervisión, podría ser manipulado para insertar malware o componentes de hardware maliciosos. Esto se agrava cuando las prácticas de seguridad en la administración del BIOS (sistema básico de entrada / salida, por sus siglas en inglés) son deficientes. El 53% de los ITSDMs globalmente admite el uso de contraseñas de BIOS compartidas, que se utilizan de forma demasiado amplia o que no son lo suficientemente seguras. El 53% reconoce que rara vez cambian estas contraseñas durante la vida útil del dispositivo.
Sin contraseñas de BIOS seguras, los agentes de amenazas podrían obtener acceso no autorizado a las configuraciones de firmware, lo cual debilita significativamente los dispositivos al desactivar las funciones de seguridad.
- Supervisar y solucionar malas prácticas
El 78% señala que necesitan validar constantemente la integridad de los dispositivos a lo largo de su ciclo de vida. Esto se debe a que la seguridad de la infraestructura del dispositivo depende de la seguridad y las configuraciones de firmware de bajo nivel.
Sin embargo, las malas prácticas en la actualización del firmware se extienden por todos lados y hacen que el monitoreo continuo de la integridad se convierta en un reto importante. Más del 63% de los ITDSMs en el mundo no hacen actualizaciones al firmware tan pronto como están disponibles para computadoras portátiles o impresoras, y el 57% reconoce que duda en implementar las actualizaciones debido a los riesgos de interrupciones que esto conlleva para sus usuarios y aplicaciones. Este tipo de indecisión es preocupante ya que el 80% de los encuestados a nivel global teme que el auge de la IA pueda favorecer a los atacantes permitiéndoles desarrollar exploits de manera mucho más rápida.
- Esfuerzos para remediar los problemas
Los equipos de TI y seguridad deben tener la capacidad para supervisar y remediar de forma continua y rápida los problemas de seguridad. Sin embargo, las organizaciones admiten que no están bien equipadas para enfrentar las amenazas a la plataforma a nivel de hardware y firmware. El 60% de los ITSDMs alrededor del mundo afirma que la detección y mitigación de dichos ataques es imposible, y consideran que el único camino es aplicar el remedio después de la vulneración.
En el caso de los computadores portátiles, la supervisión y la reparación también deben extenderse a los dispositivos extraviados o robados, ya que uno de cada cinco trabajadores remotos ha perdido un dispositivo o le han sustraído uno. El estudio también reveló que, en promedio, hubo un retraso de 25 horas para notificar al departamento de TI cuando el dispositivo fue extraviado. Esta brecha les da a los Cyber delincuentes una peligrosa ventaja. Para atender estas brechas en el monitoreo y la solución, las organizaciones deben mirar más allá de la detección, centrándose en las capacidades integradas para prevenir, contener y recuperarse de los ataques al hardware y firmware.
- Prestar atención a la segunda vida
Muchas organizaciones suelen destruir los dispositivos por cuestiones de seguridad ya que les resulta demasiado difícil darles una segunda vida. Esta práctica aumenta el número de desechos electrónicos y va en contra de los objetivos de sostenibilidad de las organizaciones. Además, los empleados llegan a quedarse con sus portátiles y PCs viejas, lo que genera más visibilidad y brechas de seguridad, sobre todo cuando estas máquinas aún contienen datos corporativos confidenciales.
Si las organizaciones no tienen una forma segura de borrar datos confidenciales de hardware y firmware, así como la posibilidad de realizar un desmantelamiento seguro, están perdiendo beneficios rápidos y sencillos en materia ambiental y social.
¿Cómo abordar estos desafíos?
Para estos superar estos retos, las organizaciones deben, en primer lugar, reunir a los equipos de TI, seguridad y adquisiciones para garantizar que incorporen los requisitos de seguridad a las decisiones de compra, tomando en cuenta todo el ciclo de vida del dispositivo. Luego, deben investigar las soluciones que indiquen cuándo se han manipulado los dispositivos y permitan la incorporación sin intervención, así como alternativas más seguras a las contraseñas del BIOS. Posteriormente, priorizar los dispositivos y las herramientas que permitan gestionar el hardware, las configuraciones de firmware y las actualizaciones de seguridad de forma proactiva y remota en toda la flota.
Por último, deben buscar dispositivos que puedan borrar de forma segura y verificable datos confidenciales de hardware y firmware, incluso cuando los dispositivos estén apagados. Estas soluciones ya existen en el mercado. Lo anterior agilizará el desmantelamiento y ayudará a las organizaciones a cumplir con los objetivos de sostenibilidad. La protección de las computadoras de escritorio, portátiles e impresoras suele pasarse por alto o se da por hecho. Sin embargo, por tratarse de puntos de entrada críticos a la infraestructura de TI corporativa, deben adquirirse con criterio, de modo que los equipos de TI y seguridad cuenten con las herramientas y las capacidades de los dispositivos que les permitan gestionar, supervisar y desmantelar sus flotas de forma segura.
Equipo Prensa
Portal Innova
