Vulnerabilidades, el talón de Aquiles de las compañías. Estrategias proactivas de mitigación

En la mitología griega, Aquiles fue un héroe de la guerra de Troya, el más grande de todos los guerreros griegos. Aquiles era invulnerable en todo su cuerpo excepto en un punto: su talón. Paris, que no era considerado un guerrero valiente, tendió una emboscada a Aquiles cuando entraba en Troya y disparó a su enemigo con una flecha en el talón. Aquiles murió en el acto.

Hoy en día, la aceleración en la digitalización de las empresas ha ampliado la superficie de ataque, aumentando las vulnerabilidades a las que se enfrentan las organizaciones. Al igual que en la mitología griega, los actores de amenazas o también llamados hackers explotan estas vulnerabilidades para entrar en los sistemas y redes de las compañías de forma que puedan interrumpirlos y obtener así beneficios económicos.

La mayoría de estas vulnerabilidades se encuentran en los activos o sistemas que están expuestos a Internet, por lo que, con sólo escanear estos activos, los actores de amenazas pueden descubrir aquellos que son vulnerables y, por tanto, susceptibles de ser atacados.

¿A qué nos referimos cuando hablamos de vulnerabilidades en el entorno de los sistemas?

Una vulnerabilidad es un defecto o una debilidad en un sistema informático, un procedimiento de seguridad, un diseño, una implementación o un control interno que podría ejercerse (activarse accidentalmente o explotarse intencionadamente) y que daría lugar a un evento de seguridad.

Mantener los sistemas y aplicaciones al día con los parches de seguridad es una de las tareas más críticas a las que se enfrenta un departamento de TI.

Hay dos tipos de vulnerabilidades que suponen un riesgo para las organizaciones:

• Una vulnerabilidad de día cero en un sistema o dispositivo es una vulnerabilidad que se explota antes que el proveedor o fabricante del sistema descubra cómo solucionarla. Por lo general, los actores de amenazas que están financiados por gobiernos tienen como objetivo estas vulnerabilidades.
• Las vulnerabilidades que sí tienen un parche disponible pero no fueron parcheadas supusieron los vectores de ataque más prominentes explotados por los grupos de ransomware y los actores de amenazas por igual durante 2021. Hubo un aumento del 33% en los ataques causados por la explotación de vulnerabilidades de software no parcheadas en 2021, lo que representa la causa del 44% de los ataques de ransomware.

Estas vulnerabilidades sin parchear suponen una amenaza mayor para las organizaciones que las vulnerabilidades de día cero, ya que son explotadas en masa tanto por los actores de los estados nacionales como por los ciberdelincuentes comunes.

Pero ¿representan estas vulnerabilidades un problema grave para las organizaciones? ¿A qué número de vulnerabilidades se enfrentan?
• La base de datos de vulnerabilidades del US-CERT registró 18.376 vulnerabilidades en 2021, un aumento del 11% respecto a 2018.
• Los atacantes con pocos conocimientos técnicos pueden explotar el 90 por ciento de todas las vulnerabilidades que se descubrieron en 2021. Las vulnerabilidades que no requieren de la interacción con el usuario representaron el 61 por ciento del volumen total.
• 703 vulnerabilidades son explotadas de forma rutinaria por los atacantes.

A continuación, algunos ejemplos que muestran las consecuencias de explotar una vulnerabilidad:
• Durante 2019, una vulnerabilidad en la que se disponía de un parche o una solución alternativa pero no se aplicó causó el 60 por ciento de las brechas de datos.
• En las pequeñas y medianas empresas, el 53% de las vulnerabilidades que provocaron ataques de ransomware tenían un nivel de criticidad medio o bajo, según el Common Vulnerability Scoring System, lo que sugiere que los equipos técnicos generalmente no dieron prioridad a la aplicación de parches.
Como demostró la mitología griega con Aquiles, basta con una sola vulnerabilidad para que las organizaciones se vean comprometidas resultando en un enorme impacto financiero.

A continuación, algunos ejemplos de ciberataques que implicaron la explotación de una vulnerabilidad:
• Los actores lanzaron un ataque de ransomware a 233 gasolineras alemanas en enero de 2022[8]. Se cree que los atacantes aprovecharon las vulnerabilidades de dos aplicaciones de software, Microsoft Exchange y Zoho AdShelf Service Plus1, causando una interrupción que obligó a la compañía petrolera Shell a redirigir los suministros a diferentes depósitos.
• El ataque de ransomware SolarWinds en 2021 fue masivo y el ciberataque más sofisticado de la historia, según el presidente de Microsoft[9] . Aunque principalmente fue un ataque a la cadena de suministro de software que afectó a más de 18.000 empresas en todo el mundo, los expertos forenses revelaron que los actores explotaron una vulnerabilidad (CVE-2019-8917) en una segunda fase del ataque.
• El ataque del ransomware WannaCry en 2017 fue el primer ciberataque mundial que demostró lo devastador que puede llegar a ser el ransomware. Los atacantes explotaron una vulnerabilidad de Windows (CVE-2017-0144), afectando a unos 230.000 ordenadores en todo el mundo. Se estima que el ataque causó 4.000 millones de dólares en pérdidas en todo el mundo.

¿Pero por qué hay tantas vulnerabilidades sin parchear, aumentando el riesgo al que se enfrenta la organización?

Según los equipos operativos de TI:
• El alto volumen de vulnerabilidades al que se enfrentan y la falta de recursos dificultan la actualización en la aplicación de parches.
• La falta de visibilidad de todos los activos afectados y la relevancia de esos activos para el negocio crea dificultades para priorizar lo que debe ser parcheado.
• La coordinación con otras áreas para implementar una solución suele llevar una media de 12 días adicionales lo que aumenta los riesgos y los costes.

Según las unidades de negocio:
• Un proceso de parcheo de vulnerabilidades eficiente y eficaz requiere invertir tiempo y recursos que no generan valor ya que puede hacer que el negocio tenga una interrupción del servicio durante el proceso de remediación.
• La falta de estrategias en el proceso de gestión de vulnerabilidades provoca un incremento de costes anual del 21% en las grandes organizaciones
Por lo tanto, las estrategias para el proceso de gestión de la vulnerabilidad deben evolucionar de un enfoque reactivo a uno proactivo. Enumeramos una serie de factores a considerar para su organización:
• Priorizar la aplicación de parches en función de la calificación de criticidad de la vulnerabilidad o parchear proactivamente las vulnerabilidades que los actores de amenazas están explotando activamente, según las

Vulnerabilidades Explotadas Conocidas de CISA (US Cybersecurity & Infraestructure Security Agency). Las vulnerabilidades citadas en la lista anterior, y que se encuentran en los activos orientados a Internet, deberían parchearse idealmente en un plazo de 24 horas.
• Utilice la automatización de procesos para aumentar la eficacia. Herramientas como SOAR (Security Orchestration, Automation, and Response) pueden ayudar.
• Realice un inventario de todos los activos de hardware y software para ayudar a mejorar la visualización de los activos y las vulnerabilidades asociadas.
• Aumentar la frecuencia del escaneo proactivo de activos.
• Concienciar a las unidades de negocio de la importancia de este proceso para prevenir los ciberataques.

Vanessa Alvarez Colina-Cyber risk advisor en AIG.