A la hora de proteger un sistema informático de cualquier índole, incluyendo sitios web y servidores, es importante tratar de reducir al máximo la superficie de ataque. ¿Pero a qué se refiere este término exactamente? Pues en esta oportunidad te contamos todo lo que necesitas saber sobre este tema.
Contenido
¿Qué es la superficie de ataque?
La superficie de ataque de un sistema se refiere a todos los posibles puntos en donde un atacante puede vulnerar la seguridad. Esto incluye por ejemplo el software, puertos de red, servicios cloud, e incluso las personas entran en juego. Cuando mayor es la superficie de ataque de un sistema, mayor es el número de potenciales puntos de acceso, y por lo tanto también se vuelve más difícil mejorar su seguridad.
Entender qué es esta superficie y reducirla al máximo posible es crítico para cualquier sistema, porque los criminales están constantemente buscando puntos débiles para lanzar sus ataques.
Componentes de la superficie de ataque
En la sección anterior mencionamos brevemente algunos de los puntos débiles que pueden conformar a una superficie de ataque, pero veamos un poco más en profundidad en qué consisten estos componentes.
La superficie de ataque está conformada por tres capas:
- Componente digital: esto básicamente se conforma por todos los elementos no físicos del sistema, como pueden ser por ejemplo sitios web, APIs, servidores en la nube, bases de datos o en general cualquier software utilizado. Entre las vulnerabilidades más comunes podemos encontrar software desactualizado, servidores mal configurados, credenciales de acceso débiles, entre otros.
- Componente físico: este es el opuesto al anterior, y refiere principalmente al hardware y las localizaciones físicas donde se encuentra el sistema, como puede ser por ejemplo data centers u oficinas, e incluye también dispositivos viejos y dispositivos robados relacionados al sistema.
- Componente humano: aquí encontramos a las personas que trabajan con el sistema, ya sea simplemente que le dan uso o bien que se encargan de su desarrollo y mantenimiento. Este componente está conformado por cualquier persona con acceso privado al sistema, como pueden ser empleados, contratistas o cualquier persona con credenciales de acceso. El factor humano generalmente enfrenta amenazas externas como phishing e ingeniería social, pero a su vez también puede convertirse en amenazas internas, ya sea intencionadas o no.
Para reducir la superficie de ataque se debe manejar cuidadosamente cada uno de estos componentes.
Principales vectores de ataque
Un sistema puede ser atacado de distintas formas, y cuanto mayor sea la superficie de ataque habrá una mayor cantidad de vectores de ataque. Estos vectores son básicamente los métodos utilizados por los atacantes para aprovecharse de alguna vulnerabilidad en el sistema. Veamos cuáles son los más populares.
- Contraseñas débiles: a menudo los usuarios utilizan contraseñas que son débiles debido a que esto las hace más fáciles de recordar, o bien utilizan datos personales como un número de teléfono, fecha de nacimiento, etc. Es importante siempre utilizar contraseñas seguras.
- Credenciales repetidas: de la mano del punto anterior están las credenciales de acceso repetidas, por ejemplo si usamos una combinación de correo y contraseña en un sistema no es recomendable usar la misma combinación en otro sistema. Una vez más, esto puede parecer práctico, pero lo cierto es que se trata de una mala práctica de seguridad, porque el robo de las credenciales puede comprometer el acceso a múltiples sistemas. Si utilizas un mismo correo en diferentes sistemas puedes comprobar online si tienes alguna cuenta comprometida.
- Software desactualizado: el software desactualizado a menudo contiene fallos en la seguridad que pueden ser aprovechados por un atacante. Esto incluye cualquier tipo de software, ya sea en dispositivos, servidores, sitios web, etc.
- Servicios mal configurados: un servicio que no se encuentre configurado correctamente se puede convertir en una puerta de entrada al sistema. Es importante que las configuraciones de seguridad se revisen con el mayor de los detalles para evitar vulnerabilidades.
- APIs e integraciones con terceros: las APIs públicas y las integraciones con terceros pueden introducir vulnerabilidades en un sistema si carecen de controles de seguridad, encriptación con protocolo TLS y un sistema de autenticación adecuado.
- Ingeniería social: la ingeniería social implica que el atacante se hace pasar por alguien que no es, para así obtener información sensible como puede ser credenciales de acceso o cualquier otra información que le permita ingresar a un sistema o reducir la dificultad para acceder. También se puede engañar al usuario para hacerle instalar un virus en su dispositivo, entre otros.
- Ataques de phishing: los ataques de este tipo se utilizan para robar datos, haciendo que el usuario introduzca sus credenciales en sistemas falsos. Generalmente se usa para robar datos de tarjeta de crédito o datos bancarios, pero en general se puede utilizar para robar cualquier tipo de información sensible que el usuario introduzca.
Conocer estos vectores de ataque es imprescindible a la hora de reducir la superficie de ataque y mejorar la seguridad de nuestro sistema.
Cómo reducir la superficie de ataque
Por supuesto el método para reducir una superficie de ataque varía de un sistema a otro, ya que obviamente la mayoría de los sistemas son distintos entre sí, y algo que aplique en uno no necesariamente funcionará en otro. Sin embargo, podemos ver algunos puntos generales que se deben tener en cuenta para lograr una reducción de la superficie de ataque.
Lo primero que debemos hacer a la hora de reducir la superficie de ataque es minimizar los servicios expuestos y los puntos de entrada. Cualquier puerto abierto, cualquier aplicación pública y cualquier servicio innecesario son factores que aumentan la superficie de ataque de un sistema. En general lo que se busca es cerrar puertos innecesarios y desactivar los servicios que no se requieren activos, restringir el acceso a APIs y protegerlas con un sistema de autenticación, dejar de utilizar el software viejo o que no se necesite, y en general reducir el número de elementos públicos. Se pueden usar herramientas como NMAP para encontrar puertos abiertos.
Otro punto importante es el software que es necesario pero que se encuentra desactualizado, este es un vector de ataque muy común como ya lo mencionamos más arriba. Para mantener el software al día se pueden implementar actualizaciones automáticas, o bien recordatorios para actualizaciones manuales. Es importante con frecuencia revisar el software de terceros para buscar actualizaciones de seguridad y notificaciones de EOL, así en caso de que un software no reciba más actualizaciones no nos tomará por sorpresa.
Implementar un control de acceso robusto es otra medida imprescindible para reducir la superficie de ataque de cualquier sistema. Es importante que los usuarios y aplicaciones dispongan de la menor cantidad de privilegios posibles, contando solo con lo estrictamente imprescindible para realizar sus tareas. La autenticación multifactor (MFA) es también indispensable hoy en día, y si además podemos implementar el modelo zero trust mejor aún, pues es una de las mejores opciones de seguridad disponibles actualmente.
El monitoreo es otro punto que no se debe pasar por alto. Las amenazas evolucionan constantemente, así que hay que estar siempre alerta, lo cual implica por ejemplo realizar escaneos de vulnerabilidades con frecuencia, analizar logs en busca de actividad sospechosa, y realizar pruebas de penetración para asegurar que nuestros sistemas cuentan con una seguridad óptima. En ocasiones también es buena idea realizar auditorías de seguridad profundas que revisen todo el sistema a fondo, más allá de las típicas revisiones diarias o semanales.
Si queremos reducir la superficie de ataque aún más existe la opción de implementar una segmentación de red y una microsegmentación, lo cual permitirá que los sistemas estén aislados entre sí, esto es excelente ya que en el caso de que haya un acceso no autorizado no habrá movimiento lateral, es decir quien haya ingresado a un sistema no podrá moverse a otros al estar segmentados. La microsegmentación añade una capa de seguridad extra, ya que incluso dentro de un mismo sistema se pueden implementar varios puntos de acceso, reduciendo aún más la movilidad del atacante.
Si hacemos uso de integraciones con terceros o de algún tipo de cadena de suministro no debemos quitarles el ojo de encima. Es importante que los terceros y proveedores se adhieran a las máximas práctica en cuanto a seguridad, y además debemos limitar su acceso tanto como sea posible, cuanto menos privilegios mejor.
Finalmente, no debemos olvidar el factor humano. Es imprescindible que todo el personal sea educado en cuestiones de seguridad para evitar ataques de phishing y de ingeniería social. Se pueden llevar a cabo jornadas de capacitación para que el personal aprenda cómo trabajar de forma segura, evitando así uno de los principales vectores de ataque que existen. Google tiene un estupendo test sobre phishing que recomendamos probar.
Conclusión
Como hemos visto en este artículo, reducir la superficie de ataque es una tarea imprescindible para mejorar la seguridad de cualquier sistema. Esto implica gestionar con el mayor cuidado los componentes digitales, físicos y humanos, además de mitigar los principales vectores de ataque que los delincuentes suelen aprovechar.
Lamentablemente no existe una solución universal para todos los casos, pero entre las acciones más fundamentales encontramos medidas como restringir accesos, mantener el software actualizado, implementar autenticación multifactor y realizar auditorías de seguridad periódicas.
Una superficie de ataque reducida significa menos oportunidades para los atacantes y, por ende, una infraestructura más segura. Si queremos mejorar nuestra seguridad al máximo debemos reducir la superficie de ataque todo lo posible.