En webinar realizado en el marco del diplomado en Seguridad de la Información, se dieron a conocer cuáles son algunas de las vulnerabilidades más explotadas, su proceso de mitigación y algunas herramientas para identificarlas.
“En el ambiente de ciberseguridad o seguridad de la información, las empresas no siempre evidencian cuando tienen algún problema o un fallo de seguridad, son víctimas de algún un incidente, o las golpea un ramsonware. Por lo general, tratan de esconder esto como si fuera malo. La ideología de trabajar con temas de ciberseguridad o seguridad de la información es que los problemas se compartan para que otras empresas, otras personas o el ecosistema de la seguridad de información estén atentos a este tipo de fallos”, señaló Andrés Peñailillo, Chief Information Security Officer de la Universidad de Chile, en el encuentro Vulnerabilidades informáticas y ataques web, organizado por la unidad de Educación Ejecutiva (UEjecutivos) del Departamento de Control de Gestión y Sistemas de Información.
¿Cómo se relacionan estos fallos con las vulnerabilidades o amenazas? Peñailillo explicó que una vulnerabilidad en términos de informática es “una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos agujeros pueden tener distintos orígenes, tales como fallos de diseño, errores de configuración o carencias de procedimientos”.
Por otro lado, indicó que una amenaza cibernética a veces se confunde con las vulnerabilidades. “La amenaza no es un problema de seguridad que existe en una organización. Es algo que puede violar la seguridad (…) Siempre existe, independientemente de cualquier contra medida”.
De igual manera, dio a conocer algunos ejemplos de vulnerabilidades, como son las Inyecciones SQL (SQLi); que es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación; Cross Site Scripting (XSS), que es cuando se modifica una web con cierta cantidad de comandos que se mandan a través de una URL, siendo el lado del navegador el que tiene la vulnerabilidad; y las configuraciones por defecto; mientras que corresponde a amenazas la ingeniería social, que son los engaños que utilizan para robar información, a través de acciones que hacen que la víctima entregue información de manera voluntaria; los ramsonware, que es un malware malicioso diseñado para secuestrar información; los desastres naturales y suplantación de identidad.
Vulnerabilidades
Peñailillo comentó que para identificar las vulnerabilidades y exposiciones comunes (denominadas en inglés Common Vulnerabilities and Exposures, CVE), en aplicaciones o en los sistemas operativos, existe una base de datos, denominada Mitre, en la que se definen y catalogan las vulnerabilidades de ciberseguridad divulgadas públicamente.
Este catálogo cuenta con registros para cada vulnerabilidad, las cuales son descubiertas, asignadas y publicadas por organizaciones de todo el mundo asociadas con el programa CVE. Estas publican los registros que tienen descripciones de vulnerabilidades, lo que asegura que los involucrados discuten el mismo problema y también para coordinar los esfuerzos en priorizar, abordar y corregir dichas vulnerabilidades.
Luego de identificarlas, Peñailillo indicó que se debe establecer la priorización y conocer qué es lo más crítico dentro de una organización ante un fallo informático. Por ello remarcó que es preciso realizar análisis y pruebas de vulnerabilidades, para clasificarlas, por medio de dos formas: el reconocimiento, que se da a través de la información que se tiene del sistema, y el scanning, método en el que se utilizan herramientas especializadas que cuentan con bases de datos de las vulnerabilidades.
La clasificación que se hace se basa en una puntuación asignada, existiendo diferentes criterios a considerar. Una de ellas es la clasificación Common Vulnerabilities Scoring System (CVSS), que utiliza los siguientes parámetros: los efectos de la vulnerabilidad en los atributos de la información, la facilidad de explotación o complejidad de acceso; si se requiere autenticación para explotar la vulnerabilidad, entre otros.
Un programa que permite el escaneo de vulnerabilidades en diversos sistemas operativos es Nessus, el cual usa un código de colores, para clasificar las vulnerabilidades en diferentes niveles, y así, posteriormente, poder mitigar su riesgo, aseveró Peñailillo.
Dicha mitigación puede realizarse por medio de un control correctivo, bajo el cual se corrige la vulnerabilidad en la configuración o con un parche del fabricante; o por un control compensatorio, que se usa para remediar la vulnerabilidad, a través de un Sistema de detección de intrusos en un Host (HIDS), sistema de prevención de intrusiones (IPS) o aislación.
“Toda mitigación tiene un costo, ya sea en esfuerzo o soluciones de software o hardware, o bien se contrata a un tercero, por lo que debe ser evaluado, en términos del riesgo asociado. Para determinarlo, debe saberse cómo se realizará”, puntualizó.
En caso que la mitigación implique una mayor inversión, respecto a lo que implica el mismo riesgo se acepta la vulnerabilidad y las consecuencias de la materialización de esa vulnerabilidad, por lo que cada caso se debe evaluar, acotó.
Equipo Prensa
Portal Innova
