Creada con IA
Una imagen de Kaspersky en X (antes Twitter) ha expuesto un grupo de aspectos que se considera necesario explicar y compartir por la incidencia que tienen en el comportamiento de las personas que utilizan las TIC.
En la imagen se mostraban cinco cuestiones cuya atención es vital para mantener a salvo la información y la salud de cualquier sistema informático, algunas aplican a las computadoras personales, otras son aplicables a mayor escala.
Sin embargo, lo esencial radica en que la atención a estas cuestiones forma parte de las buenas prácticas a seguir en el manejo de las TIC para corregir vulnerabilidades y prevenir incidentes.
Es importante recordar que la práctica de realizar acciones que prevengan un incidente al cerrar las vulnerabilidades que posibiliten un impacto, es la garantía de la seguridad de la información. Recordar que nunca, con la recuperación, se garantiza que toda la información retorne al nivel que tenía antes del incidente. Esto sin contar el tiempo y el trabajo para realizar el proceso.
Partiendo del presupuesto de que muchos incidentes son el resultado de errores humanos, este gigante ruso que se dedica a la ciberseguridad ha planteado que los errores más comunes, según los estudios que han realizado son:
1. Contraseñas débiles o que se reutilizan.
2. Falta de concientización y capacitación del personal.
3. Parcheo lento o inexistente.
4. Carencia de monitoreo y detección de amenazas.
5. Existencia de una red segmentada.
Es necesario reconocer que los errores 4 y 5, se corresponden con el trabajo de la administración de la red de las organizaciones, pero vale la pena explicarlos por la importancia que tienen en el problema.
Partiendo del presupuesto expuesto por Kaspersky de que la ciberseguridad se inicia con hábitos y controles básicos bien implementados, es importante ver como esto aplica en los cinco aspectos señalados.
Como se ha expuesto en muchas oportunidades en este Blog, las contraseñas débiles o reutilizadas son susceptibles de ser quebradas por los ciberdelincuentes. Las filtraciones de las credenciales por diversas vías, en especial por los ataques de fuerza bruta y el uso de aplicaciones de diccionario, han propiciado que alrededor del 80 % de las brechas relacionadas con el hacking tengan su origen en los problemas con las contraseñas.
Se ha mencionado muchas veces en este blog que las credenciales son el primer escudo de los sistemas informático porque son la condición para entrar al mismo, de lo que se desprende que es una necesidad la tenencia de contraseñas sólidas y diversas en dependencia de los servicios y cuya longitud convierta la decodificación de ellas en un acto cuya viabilidad sea tan difícil que haga que el ciberdelincuente desista.
Se recomienda para evitar los “olvidos” el uso de gestores de contraseñas junto a la utilización del factor múltiple de autenticación para agregar otra capa de seguridad en el acceso a las credenciales.
En torno al problema de la concientización y la capacitación del capital humano, llama la atención el hecho de que Verizón en el informe DBIR en 2024 refiere que el 74 % de las brechas de seguridad que se observan y son explotadas en los sistemas informáticos tienen su origen en errores humanos.
Son problemas de primer orden los efectos del phishing y la ingeniería social, vectores, que a pesar de los esfuerzos en educar sobre estos temas, aún son capaces de engañar usuarios cada día, facilitando la entrada lícita de los ciberdelincuentes a sistemas informáticos, que usan como plataforma en nuevos ataques o simplemente para crear redes zombies, entre otras muchas acciones delictivas.
La solución sigue siendo la capacitación continua y el desarrollo de simulacros de phishing que llamen la atención de los usuarios.
Pero incluso cuando muchos piensen que la capacitación no es una solución ante la indiferencia y la ignorancia ante los esfuerzos educativos, esta sigue siendo la principal elección para poder explicar la evolución a formas cada vez más sofisticadas de ataques en esta esfera.
El llamado parcheo, que se prefiere llamar actualización posibilita enfrentar el empleo por el software malicioso de las brechas que tienen los sistemas operativos y de aplicación, en especial los exploit, que permiten automatizar ataques a los sistemas que se tornan endebles por la falta de actualización.
Un estudio del Instituto Ponemon ha revelado que casi el 60 % de las brechas de los sistemas informáticos se sustentan en vulnerabilidades que no han sido solucionadas con los parches emitidos por las firmas productoras de software.
Por ello, es vital para la solución la aplicación de los parches a vulnerabilidades críticas en plazos inferiores a los 30 días, pero es conveniente que este proceso se automatice de manera que el sistema se mantenga lo más seguro posible ante esta posibilidad.
Se debe acotar que en la UO para reducir los volúmenes de tráfico por esta causa se posee un sitio que permite la automatización de este proceso de forma segura. Así las PC de la red no tienen necesidad de consumir ancho de banda hacia el exterior de la red para cerrar las brechas provocadas por las limitaciones del software. En el sitio redes.uo.edu.cu se puede encontrar la explicación para configurar el proceso
Los dos aspectos restantes en la UO están atendidos de manera muy eficiente, no obstante se explica su incidencia y cómo se procede en estos casos.
Los ataques a sistemas informáticos son frecuentes y suceden a cada instante, el sistema de la UO recibe a diario intrusiones de diversa índole y por el conocimiento que se tiene de que se está siendo atacado, se pueden perfeccionar las estrategias de defensa de la institución, que parten de una respuesta que enfrente a los ciberdelincuentes.
A nivel internacional, la firma IBM planteó en su informe Cost of a Data Breach Report de 2023 que la mayor parte de las organizaciones analizadas tardaban 204 en detectar sus brechas, lo que es sinónimo de debilidad en su SIEM (security information and event mannagement)
Los SIEM, que se ocupan de la gestión de eventos de seguridad, constituyen una solución que permite recolectar datos y analizarlos en tiempo real junto a la detección de amenazas, protegiendo así al sistema informático de la organización. En esta misión son esenciales los logs (registros) del sistema, que son colectados en los cortafuegos, routers, aplicaciones, servidores, etc.
Estos sistemas son capaces además, de detectar anomalías como la presencia de códigos malignos, filtración de datos, e incluso comportamientos diferentes en el uso de las TIC por parte de un usuarios. A esto se añade la posibilidad de realizar la forensia para comprender el alcance de un ataque.
Estos sistemas son muy importantes porque generan alertas y monitorean todo el tiempo sin necesidad de la intervención humana.
Además de la tenencia de un gestor de eventos de seguridad la UO cuenta con una red con segmentos muy bien delimitados que permiten que desde un área no sea posible el acceso a otra para la que el usuario no posee permisos de acceso y eso permite que si un atacante logra vulnerar una segmento de la red aprovechando una debilidad generada por el capital humano le sea imposible acceder a otro segmento o intentar escalar privilegios sin ser detectado.
La práctica de la segmentación de red es esencial para minimizar el área de exposición en caso de un compromiso, dado el aislamiento de las subredes, como se explicara antes.
Es una solución, como se aprecia, para evitar el compromiso de varias PC a consecuencia del aislamiento que impone.
Como se aprecia, estos cinco errores que pueden incidir en la seguridad de las redes y en la eficacia del ataque de un ciberdelincuente pueden ser evitados a partir de la tenencia de conocimiento en la manejo seguro de las TIC, sustentado en las buenas prácticas y la tenencia de un modo de actuación seguro.