¿Qué es el escaneo de vulnerabilidades?

En la mayoría de las organizaciones actuales, los escaneos de vulnerabilidades están totalmente automatizados. Las herramientas especializadas de escaneo de vulnerabilidades encuentran y señalan fallas para que el equipo de seguridad las revise.

La explotación de vulnerabilidades es uno de los vectores de ciberataque más comunes, según el X-Force Threat Intelligence Index de IBM. El escaneo de vulnerabilidades ayuda a las organizaciones a detectar y atajar las debilidades de seguridad antes de que los ciberdelincuentes puedan convertirlas en armas. Por esta razón, el Centro para la Seguridad de Internet (CIS) considera la gestión continua de vulnerabilidades, incluido el escaneo automatizado de vulnerabilidades, una práctica crítica de ciberseguridad.

Una vulnerabilidad de seguridad es cualquier debilidad en la estructura, función o implementación de un activo o red de TI. Los hackers u otros actores de amenazas pueden explotar esta debilidad para obtener acceso no autorizado y causar daños a la red, a los usuarios o a la empresa. Las vulnerabilidades más comunes incluyen:

• Defectos de codificación, como aplicaciones web que son susceptibles a scripting entre sitios, inyección SQL y otros ataques de inyección debido a la forma en que manejan las entradas del usuario.
  
  
• Puertos abiertos desprotegidos en servidores, ordenadores portátiles y otros endpoints, que los hackers podrían utilizar para propagar malware.
  
  
• Configuraciones erróneas, como un depósito de almacenamiento en la nube con permisos de acceso inadecuados que exponen datos confidenciales a la Internet pública.
  
  
• Falta de parches, contraseñas débiles u otras deficiencias en la higiene de la ciberseguridad.
  

Cada mes se descubren miles de nuevas vulnerabilidades. Dos agencias gubernamentales de Estados Unidos mantienen catálogos de búsqueda de vulnerabilidades de seguridad conocidas, el Instituto Nacional de Estándares y Tecnología (NIST) y la Agencia de Ciberseguridad e Infraestructura (CISA).

Lamentablemente, aunque las vulnerabilidades se documentan a fondo una vez que se descubren, los hackers y otros actores de amenazas suelen encontrarlas primero, lo que les permite coger a las organizaciones por sorpresa.

Para adoptar una postura de seguridad más proactiva frente a estas ciberamenazas, los equipos de TI implementan programas de gestión de vulnerabilidades. Estos programas siguen un proceso continuo para identificar y resolver los riesgos de seguridad antes de que los hackers puedan aprovecharlos. Los escaneos de vulnerabilidades suelen ser el primer paso del proceso de gestión de vulnerabilidades, ya que revelan las debilidades de seguridad que los equipos de TI y seguridad deben abordar.

Muchos equipos de seguridad también utilizan escaneo de vulnerabilidades para

• Valide las medidas y los controles de seguridad: después de implementar nuevos controles, los equipos a menudo realizan otro análisis. Este análisis confirma si las vulnerabilidades identificadas se han solucionado. También confirma que las medidas correctoras no han planteado nuevos problemas.
   

• Mantener el cumplimiento normativo: algunas regulaciones exigen explícitamente escaneos de vulnerabilidades. Por ejemplo, el Standard de seguridad de datos de la Industria de Tarjetas de Pago (PCI-DSS) exige que las Organizaciones que manejan datos de titulares de tarjetas se sometan a escaneos trimestrales.

Entre aplicaciones en la nube y locales, dispositivos móviles y de IoT, portátiles y otros endpoints tradicionales, las redes empresariales modernas contienen demasiados activos para realizar escaneos de vulnerabilidades manuales. En su lugar, los equipos de seguridad utilizan escáneres de vulnerabilidades para realizar escaneos automatizados de forma recurrente.

Para encontrar posibles vulnerabilidades, los escáneres primero recopilan información sobre los activos de TI. Algunos escáneres utilizan agentes instalados en los endpoints para recopilar datos sobre los dispositivos y el software que se ejecuta en ellos. Otros escáneres examinan los sistemas desde el exterior, sondeando los puertos abiertos para descubrir detalles sobre las configuraciones de los dispositivos y los servicios activos. Algunos escáneres realizan pruebas más dinámicas, como intentar iniciar sesión en un dispositivo que utiliza credenciales predeterminadas.

Tras escanear los activos, el escáner los compara con una base de datos de vulnerabilidades. Esta base de datos registra las vulnerabilidades y exposiciones (CVE) comunes de varias versiones de hardware y software. Algunos escáneres se basan en fuentes públicas como las bases de datos NIST y CISA, mientras que otros utilizan bases de datos propietarias.

El escáner comprueba si cada activo muestra algún signo de los defectos asociados con él. Por ejemplo, busca problemas como un error en el protocolo de escritorio remoto en un sistema operativo. Este error podría permitir a los hackers tomar el control del dispositivo. Los escáneres también pueden comprobar las configuraciones de un activo con una lista de mejores prácticas de seguridad, como asegurarse de que se aplican criterios de autenticación suficientemente estrictos para una base de datos confidencial.

A continuación, el escáner compila un informe sobre las vulnerabilidades identificadas para que el equipo de seguridad lo revise. Los informes más básicos simplemente enumeran todos los problemas de seguridad que deben abordarse. Algunos escáneres pueden ofrecer explicaciones detalladas y comparar los resultados del escaneo con escaneos anteriores para realizar un seguimiento de la gestión de vulnerabilidades a lo largo del tiempo.

Los escáneres más avanzados también priorizan las vulnerabilidades en función de su criticidad. Los escáneres pueden utilizar información sobre amenazas de código abierto, como las puntuaciones del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), para evaluar la gravedad de un defecto. Como alternativa, pueden utilizar algoritmos más complejos que tengan en cuenta el defecto en el contexto único de la organización. Estos escáneres también pueden recomendar métodos de corrección y mitigación para cada defecto.

Los riesgos de seguridad de una red cambian a medida que se añaden nuevos activos y se descubren nuevas vulnerabilidades en la naturaleza. Sin embargo, cada escaneo de vulnerabilidades puede identificar exclusivamente un momento en el tiempo. Para mantenerse al día de la evolución del panorama de las ciberamenazas, las organizaciones realizan escaneos con regularidad.

La mayoría de los escaneos de vulnerabilidades no examinan todos los activos de la red de una sola vez, ya que exigiría muchos recursos y tiempo. Por el contrario, los equipos de seguridad suelen agrupar los activos en función de su criticidad y escanearlos por lotes. Los activos más críticos pueden escanearse semanal o mensualmente, mientras que los activos menos críticos pueden escanearse trimestral o anualmente.

Los equipos de seguridad también pueden ejecutar escaneos cada vez que se producen cambios importantes en la red, como añadir nuevos servidores web o crear una nueva base de datos confidencial.

Algunos escáneres de vulnerabilidades avanzados ofrecen un escaneo continuo. Estas herramientas monitorizan los activos en tiempo real y señalan nuevas vulnerabilidades cuando surgen. Sin embargo, el escaneo continuo no es siempre factible o deseable. Los escaneos de vulnerabilidades más intensivos pueden interferir con el rendimiento de la red, por lo que algunos equipos de TI prefieren realizar escaneos periódicos.

Hay muchos tipos diferentes de escáneres, y los equipos de seguridad suelen utilizar una combinación de herramientas para obtener una imagen completa de las vulnerabilidades de la red.

Algunos escáneres se centran en determinados tipos de activos. Por ejemplo, los escáneres en la nube se centran en los servicios en la nube, mientras que las herramientas de escaneo de aplicaciones web buscan fallos en las aplicaciones web.

Los escáneres se pueden instalar localmente o entregar como aplicaciones de software como servicio (SaaS). Son comunes tanto los escáneres de vulnerabilidades como las herramientas de pago de código abierto. Algunas organizaciones subcontratan el escaneo de vulnerabilidades por completo a proveedores de servicios externos.

Aunque los escáneres de vulnerabilidades están disponibles como soluciones independientes, los proveedores los ofrecen cada vez más como parte de suites holísticas de gestión de vulnerabilidades. Estas herramientas combinan múltiples tipos de escáneres con gestión de superficies de ataque, gestión de activos, gestión de parches y otras funciones clave en una sola solución.

Muchos escáneres admiten integraciones con otras herramientas de ciberseguridad, como los sistemas de gestión de eventos e información de seguridad (SIEM) y las herramientas de detección y respuesta de endpoints (EDR).

Los equipos de seguridad pueden realizar diferentes tipos de escaneos según sus necesidades. Algunos de los tipos más comunes de escaneos de vulnerabilidades son:

• Los escaneos de vulnerabilidades externas examinan la red desde el exterior. Se centran en defectos en activos orientados a Internet, como aplicaciones web y controles perimetrales de prueba, como firewalls. Estos escaneos muestran cómo un hacker externo podría entrar en una red.
   

• Los escaneos de vulnerabilidades internas examinan las vulnerabilidades desde dentro de la red. Arrojan luz sobre lo que podría hacer un hacker si entrara, incluida la forma en que podría moverse lateralmente y la información confidencial que podría robar en caso de una vulneración de datos.
   

• Los escaneos autenticados, también llamados "escaneos con credenciales", requieren los privilegios de acceso de un usuario autorizado. En lugar de simplemente mirar una aplicación desde el exterior, el escáner puede ver lo que vería un usuario registrado. Estos escaneos ilustran lo que un hacker podría hacer con una cuenta secuestrada o cómo una amenaza interna podría causar daños.
   

• Los escaneos no autenticados, también llamados "escaneos sin credenciales", no tienen permisos ni privilegios de acceso. Solo ven los activos desde la perspectiva de un extraño. Los equipos de seguridad pueden realizar escaneos no autenticados tanto internos como externos.

Si bien cada tipo de escaneo tiene sus propios casos de uso, hay cierta superposición y se pueden combinar para diferentes propósitos. Por ejemplo, un escaneo interno autenticado mostraría la perspectiva de una amenaza interna. Por el contrario, un escaneo interno no autenticado mostraría lo que vería un hacker deshonesto si superara el perímetro de la red.

El escaneo de vulnerabilidades y las pruebas de penetración son formas distintas pero relacionadas de pruebas de seguridad de red. Si bien tienen funciones diferentes, muchos equipos de seguridad los utilizan para complementarse entre sí.

Los escaneos de vulnerabilidades son escaneos automatizados y de alto nivel de activos. Encuentran fallas y las reportan al equipo de seguridad. Las pruebas de penetración son un proceso manual. Los especialistas en pruebas de penetración utilizan habilidades de hacking ético no sólo para encontrar vulnerabilidades de la red, sino también para explotarlas en ataques simulados.

Los escaneos de vulnerabilidades son más baratos y fáciles de ejecutar, por lo que los equipos de seguridad los utilizan para controlar un sistema. Las pruebas de penetración requieren más recursos, pero pueden ayudar a los equipos de seguridad a comprender mejor sus fallas de red.

Utilizados juntos, los escaneos de vulnerabilidades y las pruebas de penetración pueden hacer que la gestión de vulnerabilidades sea más eficaz. Por ejemplo, los escaneos de vulnerabilidades proporcionan a los pen testers un punto de partida útil. Mientras tanto, las pruebas de penetración pueden añadir más contexto a los resultados de escaneo al descubrir falsos positivos, identificar causas raíz y explorar cómo los cibercriminales pueden encadenar vulnerabilidades en ataques más complejos.