El Impacto de las Vulnerabilidades en la Información y Sistemas

By /

Comprensión de las Vulnerabilidades de la Información

La búsqueda y explotación de vulnerabilidades es una estrategia destinada a comprometer la información y la seguridad de los sistemas afectados. Suelen usarse en la comisión de delitos económicos, robos de información o credenciales, así como en ataques a infraestructuras estratégicas de varios países.

¿Qué es una vulnerabilidad?

Una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

¿Qué no es una vulnerabilidad?

No debe confundirse el alcance de la definición de una vulnerabilidad con el de un incidente, como un evento que se ha evaluado como un efecto real, o potencialmente adverso, en la seguridad o en el rendimiento de un sistema.

En INCIBE-CERT se dispone de una taxonomía para la clasificación de los incidentes de seguridad, y en la misma se recogen diferentes tipos de incidentes relacionados con vulnerabilidades identificadas o conocidas. Algunos de estos casos de incidentes provocados por vulnerabilidades son:

  • Intento de intrusión:
    • Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (buffer overflow, XSS, backdoor…).
    • Múltiples intentos de acceso con vulneración de credenciales (brute force, password cracking…).
    • Ataque desconocido empleando exploit.
  • Intrusión:
    • Compromiso de aplicaciones: se realiza mediante la explotación de vulnerabilidades de software.
  • Disponibilidad:
    • DoS/DDoS mediante envíos de peticiones masivas (flooding) a una aplicación web o servicio para ralentizar su funcionamiento o, directamente, interrumpir su servicio.
  • Vulnerable:
    • Servicios accesibles públicamente que pueden presentar criptografía débil (servidores web susceptibles de ataques POODLE/FREAK, Heartbleed, FREAK…).
    • Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS, por ejemplo, aprovechando la funcionalidad de los solucionadores de DNS abiertos para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico.
    • Sistema vulnerable por diversas causas (mala configuración de proxy en un cliente en Web Proxy Autodiscovery Protocol, sistema desactualizado, falta de antivirus y/o firewall…).
Esquema de tipos de vulnerabilidades y ejemplos de ataques cibernéticos asociados

Detección y Gestión de Vulnerabilidades

Es crucial articular vías para la notificación y parcheado de vulnerabilidades. INCIBE-CERT cuenta con una política de CVD (Coordinated Vulnerability Disclosure) establecida que da soporte a aquellos que quieran proporcionar información sobre vulnerabilidades detectadas, tanto en sistemas propios de INCIBE-CERT como en sistemas de terceros, ciudadanos y entidades de derecho privado en España.

Por ello, INCIBE-CERT proporciona soporte a aquellas personas que deseen aportar información sobre vulnerabilidades que hayan detectado, y actúa anonimizando los datos del informador, salvo que este indique expresamente lo contrario (durante cualquier momento de la gestión de la vulnerabilidad) o un/a juez/a así lo exija.

INCIBE-CERT actúa como autoridad CNA (CVE Numbering Authority) española para las prácticas de gestión y descubrimiento de vulnerabilidades, bajo el programa CVE. Además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito. Es importante resaltar que no es objeto de esta política CNA la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe dirigirse a la sección de reporte de incidentes de INCIBE-CERT.

INCIBE-CERT e INCIBE coordinan la documentación, divulgación y descubrimiento de nuevas vulnerabilidades. Concretamente, INCIBE posee un alcance sobre organizaciones españolas debido a su rol de Root, y como actor CNA tiene la potestad para asignar vulnerabilidades relacionadas con su función de coordinación de vulnerabilidades en asuntos relacionados con Sistemas de Control Industrial (SCI), Tecnologías de la Información (TI) e Internet de las Cosas (IoT) a nivel nacional, y vulnerabilidades reportadas a INCIBE por organizaciones e investigadores españoles que no estén en el ámbito de otro CNA, todo ello bajo el estándar CVE.

Tratamiento de vulnerabilidades

Cuando INCIBE-CERT recibe una notificación de vulnerabilidad, el primer paso es comprobar si se trata de una nueva vulnerabilidad en algún producto, o de un incidente de usuario final.

En el primer supuesto, cuando se trata de una nueva vulnerabilidad en algún producto, el equipo CNA (CVE Numbering Authority) de INCIBE-CERT gestiona esos 0days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE. El CNA de INCIBE-CERT coordina la comunicación entre el investigador y el dueño del producto afectado, realiza la divulgación pública de la nueva vulnerabilidad y la documenta como un nuevo CVE.

Para la segunda opción, en el caso de un incidente de usuario final, el equipo de gestión de incidentes de INCIBE-CERT sería el encargado de realizar el triage y clasificación del incidente, notificar a los usuarios interesados/afectados y compartir los detalles técnicos y soluciones, todo ello respetando el anonimato del investigador.

Diagrama de flujo del proceso de gestión y divulgación de vulnerabilidades CVE por INCIBE-CERT

Importancia de la Identificación y Solución

Si bien una vulnerabilidad es un riesgo potencial para una organización, no representa una amenaza para una organización en sí misma. Una vulnerabilidad solo se convierte en un problema cuando se explota. Este exploit puede ser realizado intencionalmente por un atacante o involuntariamente por un usuario legítimo.

Independientemente de cómo se explote, una vulnerabilidad explotada puede suponer una amenaza significativa. Una vulnerabilidad es una amenaza futura a la seguridad de una organización. Si un atacante identifica y explota la vulnerabilidad, los costos para la organización y sus clientes pueden ser significativos. Identificar las vulnerabilidades antes de que sean explotadas por un atacante es un enfoque mucho más rentable para la gestión de las vulnerabilidades. Cuanto antes se identifiquen y solucionen las vulnerabilidades en el ciclo de vida de desarrollo de software (SDLC), menor será el costo para la organización.

Algunos tipos de vulnerabilidades y ataques comunes incluyen:

  • Una vulnerabilidad de día cero es aquella que fue descubierta por los ciberdelincuentes y explotada antes de que estuviera disponible un parche.
  • Una vulnerabilidad RCE (Remote Code Execution) permite a un atacante ejecutar código malicioso en el sistema vulnerable.
  • Muchos ataques, como la inyección de SQL y los desbordamientos de búfer, implican que un atacante envíe datos no válidos a una aplicación.
  • Las vulnerabilidades del software son comunes y se corrigen aplicando parches o actualizaciones que solucionan el problema.
  • Es común que las empresas asignen a los empleados y contratistas más acceso y privilegios de los que necesitan.
  • El software comúnmente tiene varios ajustes de configuración que habilitan o deshabilitan diferentes características, incluida la funcionalidad de seguridad.
  • Los ciberdelincuentes tienen diferentes medios para robar las credenciales de los usuarios, incluidos ataques de phishing, malware y relleno de credenciales.
  • A menudo, las estrategias de seguridad web se centran en las aplicaciones web, que son los componentes más visibles de una superficie de ataque digital corporativa.

Prácticas Seguras y Notificación

Acciones no permitidas en la búsqueda de vulnerabilidades

Es muy importante tener en cuenta el respeto a la ley, ya que notificar una vulnerabilidad no implica estar exento de su cumplimiento. Igualmente, buscar vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Varias acciones no están permitidas, por ejemplo:

  • Usar ingeniería social.
  • Comprometer el sistema y mantener el acceso a este de manera persistente.
  • Alterar los datos a los que se acceda explotando la vulnerabilidad.
  • Utilizar malware.
  • Utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia. Para demostrar que la vulnerabilidad existe, se pueden usar métodos no agresivos, por ejemplo, listando un directorio del sistema.
  • Usar fuerza bruta para ganar acceso a los sistemas.
  • Compartir la vulnerabilidad con terceros.
  • Realizar ataques DoS o DDoS.

En cualquier caso, debe notificarse la vulnerabilidad en cuanto sea detectada y no sacar provecho de ella de forma alguna.

Cómo reportar una vulnerabilidad

Nueva vulnerabilidad

Para informar de un candidato a posible CVE al equipo CNA de INCIBE-CERT, se debe enviar un correo electrónico al buzón correspondiente, donde se guiará durante todo el proceso de asignación y publicación del CVE. Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón.

Para conocer más en detalle cómo contactar con el equipo CNA de INCIBE-CERT y el proceso de asignación y publicación de CVE, se puede consultar la página de INCIBE-CERT al respecto.

Incidente de seguridad

En el caso de querer informar de un incidente, se debe enviar un correo electrónico al buzón correspondiente. Es recomendable transmitir la información cifrada con la clave PGP pública del buzón correspondiente de INCIBE-CERT.

La siguiente información es necesaria para notificar una vulnerabilidad:

  • Descripción clara y detallada de la vulnerabilidad.
  • Información clara y detallada de cómo se ha llegado a descubrir la vulnerabilidad. El objetivo es poder reproducirla.

Otra información que puede ser de utilidad a la hora de notificar la vulnerabilidad incluye:

  • Pruebas de la existencia de la vulnerabilidad (captura de pantalla, enlace, etc.).
  • Timeline o información temporal sobre el momento en el que se descubrió la vulnerabilidad.
  • Cualquier tipo de información que considere necesaria para localizar y resolver la vulnerabilidad de la forma más rápida y eficaz posible.

Una vez recibida la notificación, INCIBE-CERT confirmará su recepción y comenzará la comunicación con el interesado. Para realizar la gestión, INCIBE-CERT cuenta con un equipo que opera de manera continuada en formato 24x7 y dispone de procedimientos suficientes para comunicar las vulnerabilidades a través de correo electrónico o por vía telefónica.

Si la vulnerabilidad involucra a un operador de infraestructuras críticas, INCIBE-CERT también dispone de distintos puntos de contacto -en virtud de sus acuerdos firmados con los operadores- para facilitar la comunicación y asegurarse de que la notificación ha sido correctamente recibida.

Estrategias de Mitigación y Prevención

Para gestionar y mitigar las vulnerabilidades, existen diversas estrategias:

  • Escaneo de vulnerabilidades: Un escáner de vulnerabilidades puede identificar automáticamente muchas de las vulnerabilidades en los sistemas de una organización.
  • Control de acceso: Muchas vulnerabilidades surgen de una autenticación y un control de acceso débiles.
  • Validar la entrada del usuario: Muchos exploits aprovechan la mala validación de entrada.
  • Implementar soluciones de seguridad: Muchos tipos comunes de ataques pueden identificarse y bloquearse mediante soluciones de ciberseguridad, como firewall o herramientas de seguridad de terminales.
  • External Risk Management: Monitorea la superficie de ataque externa, incluyendo riesgos en la cadena de suministro. Detecta y remedia rápidamente amenazas como credenciales expuestas e impersonaciones de marca.

Aprende a DETECTAR y Explotar VULNERABILIDADES en Menos de 10 Minutos | CIBERSEGURIDAD 🥷

tags: #efecto #par #por #vulnerabilidad

Publicaciones populares:

  • Consejos para cuidadores de padres mayores
  • Precauciones al caminar para personas mayores
  • autores prominentes y la representación de la discapacidad
  • Hábitos televisivos y aprendizaje de inglés
  • Formulario de Ingreso para Personas Sordas