Análisis de Vulnerabilidades Comunales y de Sistemas de Información

El análisis de vulnerabilidades es una práctica esencial tanto para la gestión social y territorial como para la ciberseguridad, permitiendo a las organizaciones y comunidades identificar y mitigar debilidades que podrían ser explotadas. Este proceso es fundamental para comprender las condiciones y procesos que influyen en la construcción del riesgo de desastres en un territorio y para proteger los activos de TI de amenazas externas e internas.

Análisis de Vulnerabilidades en el Ámbito Social y Territorial

En el contexto social, la evaluación de vulnerabilidades permite a las comunidades revisar sus sistemas para detectar posibles debilidades que afectan el bienestar de sus habitantes y la gestión de riesgos. El Ministerio de Desarrollo Social y Familia, a través de la Subsecretaría de Evaluación Social, ha introducido una nueva herramienta que busca fortalecer el diseño, asignación, monitoreo y evaluación de programas sociales.

Cambio de Paradigma en la Evaluación Social

La ministra de Desarrollo Social y Familia, Javiera Toro, destacó que esta nueva herramienta representa un cambio de paradigma, transitando de un enfoque centrado exclusivamente en el hogar como unidad de análisis a uno que contemple una perspectiva multidimensional y territorial. Este sistema, denominado Sistema de Apoyo a la Selección de Usuarios de Prestaciones Sociales (SIVUST), complementa la Calificación Socioeconómica (CSE) del Registro Social de Hogares.

Por su parte, la subsecretaria de Evaluación Social, Paula Poblete, subrayó que uno de los compromisos del gobierno es contribuir a la cohesión social, la cual a menudo se rompe cuando se individualiza a los hogares o se hacen distinciones entre vecinos. El SIVUST permite identificar desigualdades, barreras estructurales y oportunidades de desarrollo para promover la movilidad y la integración social. Clasifica a los territorios según siete dimensiones clave:

• Ingresos, Trabajo y Pensiones
• Salud y Dependencia
• Educación
• Vivienda
• Accesibilidad
• Seguridad

Análisis Socioespacial y Cuarentenas Urbanas

Un estudio de caso relevante se presentó en el contexto de la pandemia de COVID-19 en Santiago, Chile. El martes 7 de abril, el ministro de Salud, Jaime Mañalich, anunció una cuarentena parcial en Santiago para enfrentar el Covid-19, afectando a comunas como Puente Alto, Santiago y Ñuñoa. Sin embargo, este análisis cuestiona la cuarentena parcial en la capital debido a la integración de población en riesgo, servicios sanitarios y centros de abastecimiento.

La falta de claridad sobre los datos utilizados para estas medidas generó un intenso debate académico. El análisis de dimensiones como la segregación y desigualdad socioespacial, campamentos y hacinamiento, y densidad urbana, muestra patrones preocupantes:

• En Puente Alto y San Bernardo, la zona poniente (en cuarentena) presenta una alta cantidad de hogares vulnerables y adultos mayores, pero poca disponibilidad de abastecimiento.
• En Santiago y Ñuñoa, la zona sin confinamiento tiene una proporción considerable de hogares vulnerables y población de riesgo (mayores de 61 años), pero poca accesibilidad a supermercados, farmacias, ferias libres y centros de salud.

Este estudio encontró dos patrones principales: una relación entre mayor vulnerabilidad sociourbana y menor accesibilidad para sobrellevar la cuarentena (sanitaria y abastecimiento), y una dependencia entre ambos sectores a nivel comunal. Las zonas en cuarentena en Puente Alto y San Bernardo, aunque concentran una alta proporción de adultos mayores, son altamente vulnerables por su baja disponibilidad de abastecimiento. En contraste, en Ñuñoa y Santiago, las zonas en cuarentena tienen más actividades de comercio.

La capacidad sanitaria de Santiago se concentra en la zona norte, aumentando el riesgo para los adultos mayores de esa zona debido a la previsible circulación de personas en busca de atención médica. Estas observaciones revelan desafíos distintos, pero con una similitud: la considerable dependencia entre ambos sectores a escala comunal para pasar la cuarentena. Dada la interdependencia urbana, las cuarentenas parciales podrían no ser la dirección correcta, ya que la fácil transmisión del virus puede generar nuevos brotes en otros territorios con similar vulnerabilidad y falta de accesibilidad.

Evaluación de Vulnerabilidades para la Gestión del Riesgo de Desastres

La evaluación de los Factores Subyacentes del Riesgo, implementada a nivel nacional entre 2017 y 2019, permite levantar un diagnóstico inicial a nivel comunal. Esta herramienta es fundamental para comprender las condiciones y procesos que influyen en la construcción del riesgo de desastres en un territorio. Permite generar un diagnóstico comunal, establecer una línea base para evaluar y comparar en el tiempo los avances o retrocesos en la gestión del riesgo, y orientar recomendaciones para mejorar la gestión a nivel local.

Los desastres no son meramente eventos "anormales", sino "extremas de las condiciones normales de vida". La vulnerabilidad no es solo un producto de fenómenos naturales, sino una característica de la estructura social y un producto de procesos sociales históricos. La matriz humana vulnerable es la clave para entender la mayoría de los desastres que suceden.

Análisis de Vulnerabilidades en Ciberseguridad

En el mundo de la ciberseguridad, las vulnerabilidades son una de las principales amenazas para las organizaciones. Son debilidades o fallos de seguridad en sistemas, aplicaciones, redes, personas o procesos que pueden ser explotadas por atacantes para obtener acceso no autorizado o causar daños. Estas debilidades pueden surgir por errores en el diseño, configuración incorrecta o la falta de actualizaciones de seguridad.

Conceptos Fundamentales y Proceso

El análisis de vulnerabilidades, también llamado “evaluación de vulnerabilidades”, es el proceso de evaluar redes o activos de TI en busca de vulnerabilidades, fallas o debilidades de seguridad que pueden ser explotadas por actores de amenazas externos o internos. La explotación de vulnerabilidades es uno de los vectores de ciberataques más comunes. El análisis de vulnerabilidades ayuda a las organizaciones a detectar y cerrar las deficiencias de seguridad antes de que los ciberdelincuentes puedan convertirlas en armas.

Una vulnerabilidad de seguridad es cualquier debilidad en la estructura, función o implementación de un activo o red de TI que los hackers pueden explotar para obtener acceso no autorizado y causar daño. Cada mes se descubren miles de nuevas vulnerabilidades, y agencias como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. mantienen catálogos de búsqueda de vulnerabilidades conocidas.

Para adoptar una postura de seguridad más proactiva, los equipos de TI implementan programas de gestión de vulnerabilidades que siguen un proceso continuo para identificar y resolver los riesgos de seguridad antes de que los hackers puedan explotarlos.

Un análisis de vulnerabilidades efectivo sigue una serie de pasos ordenados y estructurados:

1. Recopilación de Información: Se obtiene información sobre los activos tecnológicos a evaluar, incluyendo infraestructura de red, sistemas operativos, aplicaciones y dispositivos conectados.
2. Escaneo y Detección: Se utilizan herramientas automáticas y pruebas manuales para identificar posibles debilidades, detectando vulnerabilidades conocidas y fallos de configuración. Es recomendable usar una combinación de herramientas comerciales y de código abierto, verificando manualmente los resultados.
3. Análisis y Priorización: Se evalúa la fuente y causa inicial de las vulnerabilidades. Las vulnerabilidades críticas, que pueden ser explotadas fácilmente y tener un alto impacto, deben ser abordadas de inmediato. Las herramientas de análisis pueden usar inteligencia de amenazas de código abierto, como los puntajes del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), para determinar la importancia de una falla.
4. Remediación y Mitigación: El paso final es cerrar cualquier brecha de seguridad. Esto suele ser un esfuerzo conjunto entre el equipo de DevSecOps, que establece la forma más efectiva de mitigar o corregir cada vulnerabilidad descubierta.
5. Informes y Documentación: Se generan informes detallados que describen las vulnerabilidades identificadas, sus implicaciones, pruebas de concepto y recomendaciones para mitigarlas. El informe debe incluir el nombre de las vulnerabilidades, la fecha en que se descubrieron y la puntuación atribuida en función de la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE).
6. Validación y Cumplimiento: Después de implementar nuevos controles, se realiza otro análisis para confirmar si las vulnerabilidades identificadas se solucionaron. El cumplimiento normativo exige explícitamente los análisis de vulnerabilidades.

Tipos de Escaneos de Vulnerabilidades

Los equipos de seguridad pueden ejecutar diferentes tipos de análisis según sus necesidades:

• Escaneo Basado en Host: Identifica posibles vulnerabilidades en hosts que se conectan a la red, como servidores y estaciones de trabajo críticas.
• Análisis de Vulnerabilidades Externas: Escanean la red desde el exterior, enfocándose en defectos en activos orientados a Internet (aplicaciones web) y controles perimetrales (cortafuegos).
• Análisis de Vulnerabilidades Internas: Examinan las vulnerabilidades desde el interior de la red.
• Análisis Autenticados (Acreditados): Requieren privilegios de acceso de un usuario autorizado, permitiendo al escáner ver lo que vería un usuario que haya iniciado sesión.
• Análisis No Autenticados (Sin Credenciales): No tienen permisos ni privilegios de acceso, viendo los activos desde la perspectiva de un usuario externo.

Aunque cada tipo de análisis tiene su propio caso de uso, pueden combinarse para cumplir diferentes propósitos. Por ejemplo, un análisis autenticado interno mostraría la perspectiva de una amenaza de un usuario interno.

Herramientas y Automatización

Las redes empresariales modernas incluyen demasiados activos (aplicaciones en la nube y locales, dispositivos móviles e IoT, computadoras portátiles y otros endpoints tradicionales) para realizar análisis manuales de vulnerabilidades. Para encontrar posibles vulnerabilidades, los escáneres recopilan información sobre los activos de TI y los comparan con una base de datos de CVE. El mercado ofrece una amplia variedad de herramientas para realizar un análisis de vulnerabilidades, que pueden ser instaladas localmente o proporcionadas como aplicaciones SaaS, y existen tanto soluciones de código abierto como de pago.

La automatización es clave para mantener un análisis de vulnerabilidades continuo y eficiente. Esto incluye la integración en CI/CD para escanear el código y las dependencias en busca de comportamientos sospechosos, y la automatización con DevSecOps para integrar la seguridad desde el diseño, desarrollo, pruebas y despliegue hasta la operación. Identificar vulnerabilidades tempranamente reduce los riesgos en producción, acorta los ciclos de remediación y mejora la postura general de seguridad. La clave es la implementación de escaneos automáticos a lo largo de todo el ciclo de vida de los sistemas y aplicaciones.

Análisis de Vulnerabilidades vs. Pruebas de Penetración

El análisis de vulnerabilidades y las pruebas de penetración son formas distintas, pero relacionadas, de probar la seguridad de la red. Los análisis de vulnerabilidades son escaneos de activos automatizados y de alto nivel que encuentran fallas y las reportan al equipo de seguridad. Las pruebas de penetración, o pruebas de pen, son un proceso manual en el que los evaluadores de penetración utilizan habilidades éticas de hacking para encontrar vulnerabilidades y aprovecharlas en ataques simulados.

Los análisis de vulnerabilidades son más baratos y fáciles de ejecutar, por lo que se utilizan para monitorear un sistema de forma continua. Si se usan en conjunto, pueden hacer que la gestión de vulnerabilidades sea más eficaz, ofreciendo a los analistas un punto de partida útil para las pruebas de penetración.

tags: #analisis #de #vulnerabilidades #comunales