Muchas veces, para los usuarios de las tecnologías de la información y las comunicaciones (TIC), las vulnerabilidades pasan inadvertidas o sencillamente se desconoce su existencia.
Sin embargo, es esencial el conocimiento del tema, por la incidencia que tiene el factor humano en ellas y por ende, en la seguridad de la información de los sistemas informáticos.
Para comprender la afirmación anterior, se hace necesario conocer la definición del término vulnerbilidad.
El concepto vulnerabilidad que se toma como punto de partida es el que brinda el Decreto 360/2019 de la República de Cuba en su artículo 9 que dice:
“La vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de su sistema”.
Como se aprecia el concepto está vinculado de manera indisoluble al de riesgo, pero para una mejor comprensión. Se considera más importante, exponer las principales causas de vulnerabilidades, para posteriormente brindar las mejores prácticas que pueden contribuir a mejorar la salud de los sistemas informáticos desde la mitigación de este tipo de lastre.
1. Errores de diseño en la arquitectura del software que hace posible la existencia de brechas de seguridad en los sistemas.
2. Errores de configuración que son resultado de las limitaciones en la aplicación de procedimientos para la gestión de seguridad.
3. Procedimientos mal elaborados que son una causa directa de brechas en la seguridad de la información.
4. Contraseñas débiles utilizadas por los usuarios que facilitan su detección y que muchas veces no cumplen el requisito del cambio, bajo el nivel de frecuencia determinado en el Plan de Seguridad Informática.
5. Software desactualizado como consecuencia de que no se aplican las actualizaciones para corregir brechas y aplicar parches de seguridad.
6. Problemas en el cifrado de datos que ponen en peligro la información.
7. Ingeniería social, que con sus trampas permite la manipulación de las personas e inducirlas a acciones que pongan en peligro la confidencialidad del sistema.
8. Problemas de autenticación y autorización que son el resultado de limitaciones en la implementación de controles de accesos estrictos para acceder a la información. De esto esto es un ejemplo muy común la información compartida sin que medie la protección por contraseñas.
9. Programas antivirus desactualizados o con la protección permanente desactivada, que permiten el ingreso de códigos malignos que ponen en peligro la información o facilitan al atacante el control del sistema informático.
Como se puede apreciar, la mayor parte de estas causales de las vulnerabilidades están ligadas a la actividad humana.
En los tres primeros casos, puede que un usuario no vea su relación, sin embargo el intercambio con el medio técnico le puede dar indicios de que algo anda mal y entonces la forma de enfrentar la vulnerabilidad es reportar la incidencia por las vías establecidas para que sea suprimida.
De nada vale, que se gasten innumerables recursos de red en detectar vulnerabilidades a través del escaneo, la actualización del software para esta actividad, medios técnicos dedicados a la búsqueda de “huecos de seguridad” en la red y como es de suponer, recursos humanos para desarrollar el trabajo e interpretar los resultados que mejoren el sistema; si las personas que interactúan con las tecnologías cometen errores que generan vulnerabilidades que exponen al sistema informático.
Por ello es esencial para todos, mantener un espíritu de superación continuo en torno al uso seguro de las TIC y en ese ámbito, es recomendable para suprimir brechas, atender un conjunto de buenas prácticas, que aportan fiabilidad al sistema desde el modo de actuación.
1. Asegurar la creación y uso de contraseñas sólidas, que eviten el uso de datos previsibles y posean al menos ocho caracteres que conjuguen letras mayúsculas y minúsculas, números y también símbolos. Además es necesario cambiarlas al menos cada 90 días.
2. No compartir información sin que medie la identificación en el proceso de uso, a través de la autentificación por medio de contraseñas.
3. Nunca enviar datos personales de ningún tipo, en especial credenciales de usuario o datos bancarios, a nadie que los solicite esgrimiendo cualquier motivo. Estas solicitudes son falsas. Debe recordarse que los datos de acceso de los usuarios se guardan encriptados en los servidores y por ello nadie, ni siquiera los administradores de red, tienen acceso a ellos.
4. Contribuir con la exigencia al personal técnico, de que el software y los programas antivirus estén actualizados a versiones recientes.
Para que se comprenda mejor, se puede tomar el ejemplo del código maligno conocido como Kido Killer, que infecta las PC a partir de una vulnerabilidad del sistema operativo que no ha sido actualizado. Si se corre el parche correspondiente cesa esta amenaza.
5. Facilitar, prestar o no mantener reglas adecuada para custodiar las credenciales de usuario es una falta punible, pero además es causa de numerosos problemas en la red ya que permite que otra persona, el acceso a la información para la que no se le asignaron permisos.
Los permisos de acceso a la información se asignan según las necesidades de la persona para el desarrollo de sus funciones en la institución, por ende, este tipo de actos ponen en peligro la confidencialidad, la integridad y la disponibilidad de la información y del sistema.
6. Los ataques de phishing, tan comunes en los correos electrónicos que arriban a los buzones de la institución están sustentados en la ingeniería social. Esta se caracteriza por inducir mediante múltiples técnicas de engaño, persuasión y otros subterfugios, para que las personas faciliten datos confidenciales en respuesta a los mensajes recibidos.
Es conveniente agregar que se ha detectado que algunas personas para lograr “mayor celeridad” en el procesamiento de la PC desconectan la protección permanente de los programas antivirus, sin comprender que abren las puertas a códigos malignos que pueden llegar a través de las redes o de dispositivos extraíbles infectados.
Es recomendable que ante cualquier mensaje extraña o duda y sobre todo, antes de enviar cualquier dato se consulte al personal especializado de su área o de la Dirección de Informatización.
En caso de que se enviaran datos la primera medida para corregir el problema es cambiar la contraseña de acceso de inmediato, garantizando desde luego su fortaleza.