La creciente complejidad de los entornos de tecnología de la información (TI) plantea un desafío constante para las organizaciones en cuanto a la seguridad. El auge del trabajo híbrido y la proliferación de aplicaciones en la nube y locales han ampliado las superficies de ataque y modificado las existentes, lo que puede debilitar los controles de seguridad y la protección de datos de las organizaciones.
Cualquier adición a este ambiente, por más pequeño que sea, puede neutralizar los controles de seguridad y las iniciativas de protección de datos de las organizaciones. Un solo punto débil puede ser la puerta de entrada para un ataque de gran envergadura, lo que resultaría costoso y complicado para cualquier organización.
En este contexto, los profesionales de la seguridad se enfrentan a la tarea de reducir la superficie de ataque y evaluar la efectividad de sus mecanismos de protección. Una de las soluciones clave es la realización de pruebas de seguridad estructuradas en un entorno real, en colaboración con expertos externos capaces de identificar vulnerabilidades y fortalezas en el entorno de TI empresarial.
Pero, sobre todo, llevar estos tests un nivel más allá del simple cumplimiento regulatorio para poder aprovechar más las capacidades que tienen las organizaciones para aplicarlos. Ante la expansión de la superficie de ataque, adoptar un enfoque tradicional, en el que se realiza una prueba de hackeo ético desde el exterior, no es suficiente.
Un enfoque integral
La reducción de la superficie de ataque» (attack surface reduction), un concepto acuñado por Gartner, busca proporcionar a las organizaciones una visión completa de sus vulnerabilidades y amenazas. Este enfoque implica exponer a la organización a situaciones más realistas, donde un atacante malicioso realiza intrusiones.
El punto de partida para esta estrategia es reconocer que, a pesar de los avances tecnológicos, el factor humano sigue siendo vulnerable a ataques de ingeniería social y phishing.
Un ejemplo concreto para evaluar el comportamiento de los empleados implica proporcionarles dispositivos como USB o baterías externas y observar quiénes los conectan a sus computadoras corporativas. Otra táctica es enviar correos electrónicos con promociones atractivas o notificaciones relacionadas con recursos humanos para acceder a sitios web falsos.
En el momento que los usuarios conectan los dispositivos externos a sus computadoras de trabajo o visitan el sitio falso, se inicia la prueba para comprometer a los equipos de cómputo empresariales para de ahí saltar de un equipo a otro conectado a la red de la compañía, abriéndose paso hasta llegar a sus “joyas de la corona”, que pueden incluir sistemas CRM o ERP, los de nómina y financieros, o cualquier otro de alta criticidad.
Con la prueba en cuestión se busca tomar el control del entorno de TI para lograr la persistencia. Eso quiere decir que el supuesto atacante permanece dentro de la red sin ser descubierto para exfiltrar información sensible.
Si bien no se extrae información crítica de la empresa, sí se registra la evidencia de cómo se tuvo acceso, incluso si se trató de eliminar las evidencias y evitar que un análisis forense revele que se llevó a cabo exfiltración de datos.
Determinar la capacidad de respuesta
Las pruebas de reducción de la superficie de amenazas ofrecen resultados en tres ámbitos clave:
- Brindar una visión real de las capacidades de detección y respuesta ante eventos de ciberseguridad.
- Revelar las capacidades de monitoreo y respuesta de la empresa.
- Evaluar tanto los controles tecnológicos como los equipos de seguridad, incluyendo el Centro de Operaciones de Seguridad (SOC), equipos de detección y respuesta a incidentes, y vectores de ataque específicos.
Lo anterior se complementa con un análisis continuo, necesario ante el surgimiento constante de nuevas vulnerabilidades. En este sentido, se sugiere realizar este ejercicio con cierta periodicidad con el propósito de determinar la evolución de la empresa en cuanto a su capacidad de respuesta a incidentes y monitoreo.
La diferencia fundamental entre la reducción de la superficie de ataque y las pruebas tradicionales de penetración o hackeo ético radica en ir más allá del cumplimiento regulatorio. Las organizaciones deben adoptar una mentalidad proactiva en relación con la seguridad y las pruebas de reducción de la superficie de ataque.
Recomendaciones para empresas
Para las empresas que planean realizar estas pruebas, es esencial analizar cuidadosamente las capacidades y la experiencia del tercero que las llevará a cabo. Este equipo debe ser multidisciplinario y contar con personal certificado para evitar poner en riesgo la operación de la organización.
La reducción de la superficie de ataque es esencial en un entorno de TI en constante cambio. Proporciona a las organizaciones una visión clara de sus vulnerabilidades y fortalezas, permitiéndoles tomar medidas proactivas para fortalecer su postura de seguridad.
En lugar de limitarse al cumplimiento normativo, las organizaciones deben aspirar a estar a la vanguardia en la evaluación de sus controles de seguridad y adaptarse constantemente a las nuevas amenazas. Al adoptar este enfoque, las organizaciones pueden mejorar significativamente su capacidad de respuesta y reducir el riesgo de ataques cibernéticos costosos y perjudiciales.