BÁSICO EN SEGURIDAD INFORMÁTICA

No se olvide de lo más básico en seguridad informática

Publicado el: 12 de junio de 2018|Categorías: Artículos|Etiquetas: , , |

Hace poco, al llevar a cabo algunas pruebas para un cliente, me impresionó el nivel de parches de software y actualizaciones que había desplegado. La organización era muy segura. No pude encontrar alguna vulnerabilidad explotable que me permitiera poner un pie dentro de la red de esta compañía. Pero, más tarde me topé con una interfaz de acceso web. Mientras preparaba un ataque vía contraseñas de diccionario contra el servicio, probé con la combinación de acceso usuariocontraseña más insegura que conozco: admin:password. Y de repente, ¡estaba autenticado! Esto fue durante la preparación, ni siquiera había lanzado el ataque, todavía.

Este servicio almacenaba todas las propuestas y recibos del cliente, toda su información de facturación, así como los nombres y contraseñas de los usuarios del sistema. Súbitamente tuve acceso a un gran tesoro conformado por información corporativa sensible.

Problemas básicos como el anterior, son los mayores riesgos a los que mis clientes se enfrentan. A continuación, les presento tres reglas esenciales que siempre les recuerdo:

  • Utilizar contraseñas seguras. Debe exhortar a los usuarios de su organización para que seleccionen contraseñas complejas que incluyan números, mayúsculas y caracteres especiales. Hay que olvidarse de contraseñas como password o password1, variaciones del nombre de la organización y no más nombres de mascotas. Además, se debe considerar utilizar contraseñas largas, conocidas como pass-phrases. Usted puede motivar a sus usuarios a utilizar administradores de contraseñas, aunque estas herramientas también pueden tener sus propios problemas.

“Debe exhortar a los usuarios de su organización para que seleccionen contraseñas complejas que incluyan números, mayúsculas y caracteres especiales. Hay que olvidarse de contraseñas como password o password1”

  • Mantener el software actualizado. Por lo general llevo a cabo pruebas de penetración que todavía revelan la presencia de la infame vulnerabilidad MS08-067, la cual permite a un atacante ejecutar un código arbitrario en los servidores. Esa vulnerabilidad fue descubierta en 2008, y asegurarla solo requiere un sencillo parche. Este tipo de vulnerabilidades deberían ser más difíciles de identificar años después de que los parches estuvieron disponibles, pero en algunos casos, dichos parches no fueron aplicados, posiblemente debido a que los administradores no supieron de su disponibilidad o de la existencia de la vulnerabilidad. A veces los administradores no quieren ejecutar actualizaciones para el software por el temor de que algo ‘se pueda dañar’. Cualquiera que sea la razón, es responsabilidad de cada organización administrar su propio riesgo y decidir cuándo vale la pena invertir en recursos. Mantener el software actualizado es la manera más efectiva para reducir los riesgos, sin tener que invertir en muchos recursos.

“Este tipo de vulnerabilidades deberían ser más difíciles de identificar años después de que los parches estuvieron disponibles, pero en algunos casos, dichos parches no fueron aplicados”

  • Probar el software. Sin importar si la organización escribe sus aplicaciones de manera interna o las compra a terceros, debe aceptar su responsabilidad para asegurarse que el software esté escrito de manera segura. Con respecto al software propio, el director de tecnologías de la información debe imponer ese requerimiento interno al implementar un ciclo de vida para el desarrollo de la seguridad, pero también es posible probar software de terceros. Se debe solicitar al proveedor la documentación sobre pruebas de seguridad previas o contratar a un consultor para que lleve a cabo estas pruebas.

Ningún sistema, por complejo que sea, será 100% seguro. El software está escrito por humanos, los humanos cometen errores, y los errores se manifiestan como bugs. Aún con recursos sin límite, Facebook y Google no son inmunes a vulnerabilidades del software. Lo mejor que podemos hacer es asegurar los sistemas y llevarlos a un nivel que sea administrable.

Si todo lo básico es correcto, usted ya estará un paso adelante.

Autor: Ryan Dewhurst

Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.

Ryan Dewhurst es un apasionado profesional de la seguridad que tiene más de seis años de experiencia en la industria. Obtuvo los mayores honores en seguridad cibernética y ha recibido diversos reconocimientos por parte de la industria, tales como el Rising Star de SC Magazine Europe. Ryan es el fundador de proyectos muy populares relacionados con la seguridad, como DVWA y WPScan.

Comparte esta historia!

Newsletter Semanal

Lo más relevante de ciberseguridad y tecnología.

Recibir Newsletter Semanal