Cada día más empresas digitalizan sus procesos y mueven en la nube sus activos, lo que aumenta exponencialmente su exposición a una vulnerabilidad informática. El coste de sufrir una perdida de información o de un ciberataque sigue creciendo año tras año, por lo cual es necesario protegerse.
Vulnerabilidad informática vs Amenaza
Una vulnerabilidad informática es una debilidad en el software – o en el hardware – que permite a un atacante comprometer la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa. Las vulnerabilidades pueden ser debidas tanto a fallos de diseños, errores en la configuración o a procedimientos no robustos. Las vulnerabilidades más peligrosas son las que permiten a un atacante ejecutar código dañino en el sistema comprometido.
Por otro lado, una amenaza es cualquier acción que explota una vulnerabilidad informática para comprometer un sistema de información. Una amenaza puede ser tanto interna como externa y concretarse en un ciberataque, un malware (como el ransomware WannaCry), en un desastre físico o en negligencias en la gestión.
Finalmente, la probabilidad de que una vulnerabilidad sea explotada por una amenaza produciendo pérdidas o daños, se define como riesgo.
Principales tipos de vulnerabilidad informática
Las vulnerabilidades se pueden producir en todas las etapas de desarrollo, implementación y mantenimiento de un software o de un sistema de información.
Una vulnerabilidad de día cero es un fallo no conocido en un software y que puede permitir a un atacante utilizar un código para explotarla – conocido como “exploit” – para introducirse en el sistema. Su peligrosidad reside en el hecho de que, al no ser conocida, todavía el fabricante no dispone de una actualización de seguridad. Esto genera también un mercado ilegal de compra-venta de vulnerabilidades. Dos casos relevantes de este tipo de vulnerabilidad son Meltdown y Spectre, relacionadas con procesadores informáticos, que existen desde mediados de los noventa, pero que han sido descubiertas solamente ahora.
Además, existen vulnerabilidades de diseño, debidas tanto a fallos en el diseño de protocolos de redes o a deficientes políticas de seguridad. También, hay vulnerabilidades de implementación, debidas a errores de programación o a descuidos de los fabricantes. Por otro lado, las vulnerabilidades por falta de mantenimiento se dan cuando un software ya no recibe actualizaciones por su fabricante.
Por último, las vulnerabilidades informáticas por uso o debidas al factor humano suelen ser menos consideradas aunque su impacto puede ser mayor que las anteriores. Tienen que ver con la falta de formación o concienciación de los usuarios o empleados de una organización sobre prácticas de seguridad.
¿Cómo protegerse? La análisis de vulnerabilidad informática
La mejor solución suele ser la prevención, y también en el caso de nuestros sistemas de información es importante realizar un análisis previo para detectar previamente posibles vulnerabilidades.
- Para ello, deberemos previamente realizar un inventario de nuestros activos TI: servidores, infraestructura de redes, aplicaciones y periféricos (impresoras, etc.).
- A continuación deberemos realizar pruebas de penetración para detectar posibles vulnerabilidades tanto externas como internas, simulando a un hacker externo (lo también se conoce como hacking ético) o a personal interno con determinados privilegio.
- Finalmente, deberemos determinar y aplicar las medidas correctivas necesarias, para reparar vulnerabilidades o reducir las amenazas.
Por otro lado, no tenemos que olvidarnos de las buenas prácticas de seguridad internas a la empresa, por lo cual deberemos concienciar constantemente a nuestro personal para evitar vulnerabilidades informáticas de factor humano.
- Realizar copias de seguridad periódicas.
- Llevar una correcta gestión de contraseñas.
- Mantener nuestros sistemas informáticos siempre actualizados.
- Monitorizar constantemente los avisos de últimas vulnerabilidades conocidas. Una herramienta útil en este sentido es el repositorio de vulnerabilidades del CERTSI.
- Cumplir con normas como la ISO 27001.
Hoy en día, cualquier empresa se expone a vulnerabilidades y amenazas desde el momento en que se crean. Por lo que una correcta análisis de riesgos y gestión de vulnerabilidades nos ayuda a protegernos de las amenazas.
