Los riesgos de una seguridad informática deficiente

En 2021, 60.000 empresas en todo el mundo se vieron afectadas negativamente por los casi tres meses que tardó Microsoft en darse cuenta de que partes de sus servidores Exchange estaban comprometidos por vulnerabilidades de día cero. Los servidores, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019 fueron blanco de ciberataques aprovechando sus vulnerabilidades. 

Debido a errores de codificación en los servidores, los piratas informáticos solo necesitaban conexión a Internet y acceso a sistemas administrados localmente para solicitar datos, implementar malware y tomar el control de los servidores de la empresa. La mayoría de las solicitudes fueron aprobadas porque parecía que provenían de los servidores Exchange, lo que llevó al personal de Microsoft a pensar que eran legítimas. El ataque explotó las siguientes cuatro vulnerabilidades y exposiciones comunes(CVE): 

• CVE-2021-26855 (una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF). Una vez explotada, se establecen conexiones HTTPS para autenticar el acceso de los usuarios), con un CVSS de 9.1 
• CVE-2021-26857, con un CVSS de 7,8 
• CVE-2021-26858, con un CVSS de 7.8 (los piratas informáticos podrían entonces implementar shells web para establecer conexiones de puerta trasera y poder acceder remotamente a un sistema informático). 
• CVE-2021-27065, con un CVSS de 7,8 

Los ataques (exploits) de día cero se producen cuando un ciberataque se aprovecha de un fallo de seguridad desconocido en el software o hardware de un ordenador, y su gravedad puede variar mucho. No obstante,el ejemplo anterior de Microsoft en 2021 es un gran ejemplo de cómo 3 meses de exposición a un error que le da a un hacker acceso a un sistema o red (lo que lleva a fugas y violaciones de datos) puede ocurrir sin que nadie se dé cuenta o lo solucione. 

Otro ejemplo de ataque (exploit) de día cero es el CVE-2022-4135 de Google Chrome en 2022 (su octavo exploit del año). El ataque fue un desbordamiento del búfer, que es una vulnerabilidad que permite que los datos se escriban en ubicaciones prohibidas sin ser verificados. Este tipo de ataque provoca corrupción de datos, ejecución de código arbitrario y elusión de los controles de seguridad. 

Los costes de las brechas de seguridad 

En 2023, el coste promedio de una filtración de datos en Estados Unidos fue de 9,48 millones de dólares, frente a 9,44 millones de dólares en 2022. A nivel mundial, en 2023, el coste promedio de una filtración de datos fue de 4,45 millones de dólares estadounidenses. 

No sólo pueden hundir el precio de las acciones de tu organización (las empresas que cotizan en bolsa sufrieron, de media, una caída del 7,5 % en el valor de sus acciones después de la filtración de datos (Okta perdió 6 mil millones de dólares de su capitalización de mercado la semana en que se difundió la noticia de la filtración de datos de su proveedor externo), lo que resulta en una pérdida de capitalización de mercado que tal vez no se recupere, al tiempo que pueden consumir los recursos de tu empresa. 

Ejemplos de ciberataques: 

• MOVEit : un ataque (exploit) de día cero de transferencia de archivos que tomó la forma de una inyección SQL de Progress Software. Afectó a más de 62 millones de personas (aproximadamente el doble de la población de California) en 2023. El ataque terminó costándole a la empresa aproximadamente 10 mil millones de dólares. 

• 23andMe : los piratas informáticos robaron los datos de ascendencia de 6,9 millones de usuarios de la plataforma. Los piratas cibernéticos robaron datos que contenían los nombres de los usuarios, el año de nacimiento, las etiquetas de parentesco de 23andMe, el porcentaje de ADN compartido con familiares y la ubicación que ellos mismos informaron. 

• GoAnywhere : la explotación de un ataque (exploit) de día cero, CVE-2023-0669, permitió a los piratas informáticos robar datos de más de cien empresas en 2023. 

Cuando ocurre un incidente cibernético, se requieren cantidades exorbitantes de dinero y tiempo para repararlo. En sentido literal, si procede, los afectados deben recibir una compensación adecuada. Del mismo modo, el dinero también debe destinarse a actualizar procesos, procedimientos y hardware. Es necesario dedicar tiempo a educar a los empleados sobre las mejores prácticas de ciberseguridad. 

Luego, hay que considerar la pérdida de ingresos por el daño a la reputación. Los clientes deben mantenerse contentos y pagar. Sin embargo, los clientes que necesitan asistencia pueden quedar en un segundo plano, ya que los elementos críticos y/o de alta prioridad que necesitan atención inmediata y que será en lo que tus empleados primero se enfoquen 

Las brechas de seguridad afectan a todos: empresas, clientes y empleados por igual. Es por ello que prevenirlos o evitarlos es la mejor opción para tu negocio. ¿Cómo puedes hacer eso? Con soluciones de monitorización de TI de automatización e inteligencia artificial. De media, las organizaciones que utilizan IA y automatización para sus protocolos de seguridad ahorran 1,76 millones de dólares en comparación con aquellas que no lo hacen. 

Gestión proactiva de TI: monitorización de TI con EV Observe 

Para complementar tus iniciativas más amplias de ciberseguridad, un enfoque proactivo de la monitorización de TI solo beneficiará positivamente a tu negocio. Si aún no estás invirtiendo en una solución de monitorización de TI que utilice inteligencia artificial y automatización para ahorrar dinero a tu empresa al alertarte sobre cambios y actualizaciones en tiempo real dentro de tu infraestructura de TI, necesitas hacerlo.  

Una solución de monitorización de la infraestructura de TI puede mejorar significativamente la seguridad de TI al proporcionar una detección temprana de actividad inusual o anomalías de rendimiento que pueden indicar amenazas a la seguridad, como acceso no autorizado o actividad de malware. Al realizar un seguimiento continuo del rendimiento del sistema y alertar sobre desviaciones de la norma, permite una rápida identificación y mitigación de posibles incidentes de seguridad antes de que se agraven. Recuerda que la monitorización de la infraestructura de TI tiene que ver con el rendimiento y los problemas, y no es una solución de seguridad. 

Con una herramienta de monitoreo de TI, obtendrás monitorización en tiempo real de tu infraestructura de TI, red, IoT, nube y aplicaciones. Este acceso a información actualizada del sistema te permitirá no perderte nunca una alerta o notificación, evitar puntos ciegos y reducir los falsos positivos en un 30 %. Además, en caso de un ciberataque o un problema de TI rutinario (por ejemplo, el sistema de un usuario no funciona), podrás acelerar la resolución de incidentes de TI con el mapeo de dependencias, el análisis de la causa de origen y los paneles interactivos. El monitoreo proactivo de indicadores comerciales seleccionados y picos de actividad, combinado con el mapeo de dependencias de un sistema de red de TI complejo, te permitirá identificar la causa raíz de un fallo del servicio o un tiempo de inactividad aún más rápido. Utiliza la tecnología para monitorear continuamente tu red de TI para evitar vulnerabilidades de día cero y cualquier otro ataque cibernético: conoce lo que sucede dentro de tu red las 24 horas del día, los 7 días de la semana. 

Preguntas frecuentes 

¿Qué es CVSS en ciberseguridad? 

CVSS, también conocido como Sistema de puntuación de vulnerabilidad común (CVSS), es un marco para comunicar la gravedad de las vulnerabilidades del software. El marco consta de cuatro métricas: base, amenaza, entorno y suplementaria. 

¿A qué se refiere el término “día cero”? 

El término "día cero" se refiere a cuando una empresa o proveedor de software descubre que hay un fallo en sus sistemas o productos que ya están siendo utilizados o expuestos maliciosamente por piratas informáticos, lo que le da a la empresa cero días para corregir el fallo antes de que quede expuesto. 

¿Qué es una botnet? 

Una botnet (o red zombie) es un conjunto de dispositivos infectados conectados a Internet (por ejemplo, PC, dispositivos móviles y servidores) que están controlados de forma remota por un tipo común de malware. Los dispositivos infectados buscan vulnerabilidades en Internet con la esperanza de infectar tantos dispositivos conectados como sea posible.