¿Qué es una superficie de ataque?

La superficie de ataque digital expone potencialmente la infraestructura local y en la nube de la organización a cualquier hacker con conexión a Internet. Los vectores de ataque comunes en la superficie de ataque digital de una organización incluyen:

1. Contraseñas débiles
2. Error de configuración
3. Vulnerabilidades de software, sistema operativo (SO) y firmware
4. Activos orientados a Internet
5. Bases de datos y directorios compartidos
6. Dispositivos, datos o aplicaciones anticuados u obsoletos
7. TI en la sombra

• Contraseñas débiles: las contraseñas que son fáciles de adivinar (o fáciles de descifrar mediante ataques de fuerza bruta) aumentan el riesgo de que los ciberdelincuentes puedan comprometer las cuentas de los usuarios para acceder a la red, robar información confidencial, propagar malware y dañar la infraestructura de otro modo. Según el Informe del costo de una filtración de datos 2021 de IBM, las credenciales comprometidas fueron el vector de ataque inicial más empleado en 2021.
   

• Configuración incorrecta: los puertos de red, canales, puntos de acceso inalámbricos, cortafuegos o protocolos configurados incorrectamente sirven como puntos de entrada para los hackers. Los ataques de intermediario, por ejemplo, aprovechan los protocolos de cifrado débiles en los canales de paso de mensajes para interceptar las comunicaciones entre sistemas.
   

• Vulnerabilidades de software, sistema operativo y firmware: los hackers y los ciberdelincuentes pueden aprovechar los errores de codificación o implementación de aplicaciones, sistemas operativos y otro software o firmware de terceros para infiltrar en las redes, obtener acceso a los directorios de usuarios o plantar malware. Por ejemplo, en 2021, los delincuentes cibernéticos aprovecharon una falla en la plataforma VSA (dispositivo de almacenamiento virtual) de Kaseya (enlace externo a ibm.com) para distribuir ransomware, disfrazado de actualización de software, a los clientes de Kaseya.
   

• Activos orientados a Internet: las aplicaciones web, los servidores web y otros recursos que enfrentan la Internet pública son inherentemente vulnerables a los ataques. Por ejemplo, los hackers pueden inyectar código malicioso en interfaces de programación de aplicaciones (API) no seguras, lo que hace que divulguen incorrectamente o incluso destruyan información confidencial en bases de datos asociadas.
   

• Bases de datos y directorios compartidos: los hackers pueden explotar las bases de datos y los directorios que se comparten entre sistemas y dispositivos para obtener acceso no autorizado a recursos confidenciales o lanzar ataques de ransomware. En 2016, el ransomware Virlock se propagó (enlace externo a ibm.com) al infectar carpetas de archivos colaborativas a las que acceden varios dispositivos.
   

• Dispositivos, datos o aplicaciones obsoletos u obsoletos: La falta de aplicación sistemática de actualizaciones y parches crea riesgos de seguridad. Un ejemplo notable es el ransomware WannaCry, que se propagó al explotar una vulnerabilidad del sistema operativo Microsoft Windows (enlace externo a ibm.com) para el que estaba disponible un parche. Del mismo modo, cuando los endpoints obsoletos, los conjuntos de datos, las cuentas de usuario y las aplicaciones no se desinstalan, eliminan o descartan, crean vulnerabilidades no monitoreadas que los ciberdelincuentes pueden explotar fácilmente.
   

• Shadow IT: "Shadow IT" es un software, hardware o dispositivos, ya sean aplicaciones gratis o populares, dispositivos de almacenamiento portátiles, un dispositivo móvil personal no seguro, que los empleados usan sin el conocimiento o la aprobación del departamento de TI. Al no estar monitorear por los equipos de TI o de seguridad, la TI en la sombra puede introducir graves vulnerabilidades que los hackers pueden explotar.

La superficie de ataque físico expone activos e información a los que normalmente solo pueden acceder los usuarios con acceso autorizado a la oficina física o a los dispositivos finales de la organización (servidores,  computadoras, computadoras portátiles, dispositivos móviles, dispositivos IoT o hardware operativo).

• Usuarios internos maliciosos: los empleados descontentos o sobornados o bien, otros usuarios con intenciones maliciosas pueden usar sus privilegios de acceso para robar datos confidenciales, deshabilitar dispositivos, plantar malware o algo peor.
   

• Robo de dispositivos: los delincuentes pueden robar dispositivos endpoint u obtener acceso a ellos irrumpiendo en las instalaciones de una organización. Una vez que están en posesión del hardware, los hackers pueden acceder a los datos y procesos que están almacenados en estos dispositivos. También pueden usar la identidad y las licencias del dispositivo para acceder a otros recursos de la red. Los endpoints empleados por los trabajadores remotos, los dispositivos personales de los empleados y los dispositivos desechados incorrectamente son objetivos típicos de robo. 
   

• Baiting: el "baiting" es un ataque en el que los hackers dejan unidades USB infectadas con malware en lugares públicos, con el objetivo de engañar a los usuarios para que conecten los dispositivos a sus computadoras y descarguen el malware involuntariamente.

La ingeniería social manipula a las personas  que cometan errores que comprometen sus activos personales u organizacionales o su seguridad a través de diversas formas, tales como:

• compartir información que no deberían compartir
• descargar software que no deberían descargar
• visitar sitios web que no deberían visitar
• enviar dinero a delincuentes 

Debido a que explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, la ingeniería social a veces se denomina "hackeo a los humanos".

Más información sobre ingeniería social

La superficie de ataque de ingeniería social de una organización equivale esencialmente a la cantidad de usuarios autorizados que no están preparados o son vulnerables a los ataques de ingeniería social.

El phishing es el vector de ataque de ingeniería social más conocido y frecuente. En un ataque de phishing, los estafadores envían correos electrónicos, mensajes de texto o mensajes de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software maligno, transfieran dinero o activos a las personas equivocadas o tomen otras medidas perjudiciales. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si provinieran de una organización o individuo confiable o creíble: un minorista popular, una organización gubernamental o, a veces, incluso un individuo que el destinatario conoce personalmente.

Según el informe Costo de una filtración de datos 2021 de IBM, la ingeniería social es la segunda causa de filtración de datos.

La gestión de la superficie de ataque (ASM) se refiere a los procesos y tecnologías que adoptan la visión y el enfoque de un hacker sobre la superficie de ataque de una organización, descubriendo y monitoreando continuamente los activos y vulnerabilidades que los hacker ven e intentan explotar cuando atacan a la organización. La ASM por lo general se compone de:

Descubrimiento, inventario y monitoreo continuos de activos potencialmente vulnerables. Cualquier iniciativa de ASM comienza con un inventario completo y continuamente actualizado de los activos de TI de una organización orientados a Internet, incluidos los activos on premises y en la nube. Adoptar el enfoque de un hacker garantiza el descubrimiento no solo de activos conocidos, sino también de aplicaciones o dispositivos de TI en la sombra. Es posible que estas aplicaciones o dispositivos se abandonaron pero no se eliminaron o desactivado (TI huérfana). O activos que son plantados por hackers o malware (TI no autorizada), y más, esencialmente cualquier activo que pueda ser explotado por un hacker o una amenaza cibernética.

Una vez descubiertos, los activos se monitorean continuamente, en tiempo real, en busca de cambios que aumenten su riesgo como vector de ataque potencial.

Análisis de la superficie de ataque, evaluación de riesgos y priorización. Las tecnologías ASM califican con puntajes los activos de acuerdo con las vulnerabilidades y los riesgos de seguridad que plantean, y los priorizan para la respuesta o corrección de amenazas.

Reducción y corrección de la superficie de ataque. Los equipos de seguridad pueden aplicar sus hallazgos del análisis de la superficie de ataque y el equipo rojo para tomar diversas acciones a corto plazo para reducir la superficie de ataque. Estos pueden incluir la aplicación de contraseñas más seguras, la desactivación de aplicaciones y dispositivos de endpoint que ya no están en uso, la aplicación de parches de aplicaciones y sistemas operativos, la capacitación de usuarios para reconocer estafas de phishing, la institución de controles de acceso biométrico para la entrada a la oficina o la revisión de controles y políticas de seguridad en torno a las descargas de software y los medios extraíbles.

Las organizaciones también pueden tomar medidas de seguridad más estructurales o a largo plazo para reducir su superficie de ataque, ya sea como parte de una iniciativa de gestión de la superficie de ataque o de forma independiente. Por ejemplo, implementar la autenticación de dos factores (2fa) o la autenticación multifactor puede reducir o eliminar posibles vulnerabilidades asociadas con contraseñas débiles o una mala higiene de contraseñas.

En una escala más amplia, un enfoque de seguridad de confianza cero puede reducir significativamente la superficie de ataque de una organización. Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos. Los principios y tecnologías de confianza cero (validación continua, acceso con privilegios mínimos, monitoreo continuo, microsegmentación de red) pueden reducir o eliminar muchos vectores de ataque y proporcionar datos valiosos para el análisis continuo de la superficie de ataque.

Más información sobre la gestión de la superficie de ataque