Las filtraciones de datos vertiginosas generan pérdidas incalculables para las organizaciones y pueden costarles el trabajo a los ejecutivos de seguridad cibernética.

Aquí examinamos los cinco lugares principales en 2019 donde los ciberdelincuentes están robando datos corporativos y gubernamentales sin ser notados y luego aprendemos cómo evitar ser víctimas de atacantes sin escrúpulos.

1. Almacenamiento en la nube mal configurado

El 48 % de todos los datos corporativos se almacenan en la nube en comparación con el 35 % hace tres años, según un Estudio de seguridad global en la nube de 2019 realizado por la empresa de ciberseguridad Thales que encuestó a más de 3000 profesionales en todo el mundo. Por el contrario, solo el 32% de las organizaciones cree que proteger los datos en la nube es su propia responsabilidad, contando con proveedores de nube e IaaS para salvaguardar los datos. Peor aún, el 51 % de las organizaciones no utilizan cifrado ni tokenización en la nube.

(ISC) ² Cloud Security Report 2019 afirma que el 64 % de los profesionales de ciberseguridad perciben la pérdida y fuga de datos como el mayor riesgo asociado con la nube. El uso indebido de las credenciales de los empleados y los controles de acceso inadecuados son los principales desafíos para el 42 % de los profesionales de la seguridad, mientras que el 34 % lucha con el cumplimiento en la nube y el 33 % menciona la falta de visibilidad de la seguridad de la infraestructura como su principal preocupación.

Sin embargo, los terceros negligentes y descuidados son probablemente el escollo más peligroso que sigue siendo en gran medida subestimado y, por lo tanto, ignorado. En 2019, Facebook, Microsoft y Toyota fueron estigmatizados sin piedad por los medios de comunicación por perder millones de registros de clientes debido a filtraciones o infracciones de terceros.

A pesar de estos incidentes alarmantes, todavía pocas organizaciones tienen un programa de gestión de riesgos de terceros bien pensado, implementado correctamente y aplicado continuamente, y la mayoría depende de cuestionarios en papel que se saltan las verificaciones prácticas y el monitoreo continuo.

Cómo mitigar: capacite a su equipo, implemente una política de seguridad en la nube en toda la organización, ejecute continuamente el descubrimiento de almacenamiento en la nube pública para mantener un inventario actualizado de su infraestructura en la nube.

2. Internet oscura

Notorious Collection # 1, revelada en 2019 por el experto en seguridad Troy Hunt, es un conjunto de direcciones de correo electrónico y contraseñas de texto sin formato que suman 2,692,818,238 filas. Cualquiera puede comprar de forma anónima estos datos para Bitcoins sin dejar rastro. Siendo una de las mayores bases de datos conocidas públicamente de credenciales robadas, es una mera porción de datos comprometidos disponibles para la venta en Dark Web. Muchas organizaciones son hackeadas todos los días sin ser conscientes de ello por la complejidad de los ataques o por simple negligencia, falta de recursos o habilidades.

Los ataques dirigidos de reutilización de contraseñas y el phishing selectivo son fáciles de lanzar y no requieren costosos exploits de día cero. Aunque triviales a primera vista, pueden ser penetrantemente eficientes. La mayoría de las organizaciones no tienen una política de contraseñas coherente en todos sus recursos corporativos, implementando SSO solo en su infraestructura central.

Los sistemas secundarios y auxiliares viven sus propias vidas, comúnmente con una política de contraseñas deficiente o incluso faltante, pero con acceso a secretos comerciales y propiedad intelectual. Dada la multitud de tales portales y recursos, los atacantes prueban meticulosamente las credenciales robadas y finalmente obtienen lo que buscan.

Es importante destacar que tales ataques a menudo son técnicamente indetectables debido a un monitoreo insuficiente o simplemente porque no desencadenan las anomalías habituales simplemente dejando entrar a los usuarios. Los grupos de piratería experimentados perfilarán cuidadosamente a sus víctimas antes del ataque para iniciar sesión desde la misma subred de ISP y durante las mismas horas burlando incluso los sistemas IDS habilitados para IA respaldados por astutos analistas de seguridad.

Cómo mitigar: asegure la visibilidad de los activos digitales, implemente una política holística de contraseñas y un plan de respuesta a incidentes, monitoree continuamente la Dark Web y otros recursos en busca de fugas e incidentes.

3. Sitios web abandonados y desprotegidos

Según una investigación de 2019 realizada por una empresa de seguridad web ImmuniWeb, 97 de cada 100 bancos más grandes del mundo tienen sitios web y aplicaciones web vulnerables. Se atribuye un amplio espectro de problemas al uso descontrolado de software de código abierto, marcos obsoletos y bibliotecas JS, algunas de las cuales contenían vulnerabilidades explotables conocidas públicamente desde 2011.

El mismo informe reveló que el 25 % de las aplicaciones de banca electrónica ni siquiera estaban protegidas con un Web Application Firewall (WAF). Eventualmente, el 85% de las aplicaciones fallaron las pruebas de cumplimiento de GDPR, el 49% no pasó la prueba PCI DSS.

A pesar del auge de las soluciones de gestión de superficie de ataque (ASM), la mayoría de las empresas luchan cada vez más con la creciente complejidad y la complejidad fluctuante de sus superficies de ataque externas. Las aplicaciones web dominan la lista de activos abandonados o desconocidos que dejan los desarrolladores descuidados o sobrecargados.

Los lanzamientos de demostración y prueba proliferan rápidamente en una organización y se conectan esporádicamente a bases de datos de producción con datos confidenciales. Los próximos lanzamientos se lanzan rápidamente, mientras que los anteriores permanecen en libertad durante meses. Los equipos de seguridad con poco personal normalmente no tienen tiempo para rastrear estas aplicaciones no autorizadas, confiando en las políticas de seguridad que la mitad de los ingenieros de software nunca han leído.

Incluso las aplicaciones web correctamente implementadas pueden ser una bomba de relojería si no se atienden. Tanto el software de código abierto como el propietario causan revuelo en Bugtraq con una frecuencia notable, lo que genera fallas de seguridad nuevas y predominantemente fáciles de explotar. Con algunas excepciones, los proveedores tardan en lanzar parches de seguridad en comparación con la velocidad de las campañas de piratería masiva.

Los CMS más populares, como WordPress o Drupal, son comparativamente seguros en sus instalaciones predeterminadas, pero la gran cantidad de complementos, temas y extensiones de terceros aniquilan su seguridad.

Cómo mitigar: Comience con una prueba de seguridad de sitio web gratuita para todos sus sitios web externos y continúe con una prueba de penetración web exhaustiva para las aplicaciones web y las API más importantes.

4. Backends de aplicaciones móviles

Las empresas modernas ahora invierten generosamente en la seguridad de las aplicaciones móviles, aprovechando los estándares de codificación segura integrados en DevSecOps, las pruebas SAST/DAST/IAST y la protección RASP mejorada con soluciones de correlación de vulnerabilidades. Lamentablemente, la mayoría de estas soluciones abordan solo la punta visible del iceberg, dejando el backend de la aplicación móvil sin probar y sin protección.

Si bien la mayoría de las API utilizadas por la aplicación móvil envían o reciben datos confidenciales, incluida información confidencial, su privacidad y seguridad se olvidan o se despriorizan en general, lo que genera consecuencias imperdonables.

Del mismo modo, las grandes organizaciones suelen olvidar que las versiones anteriores de sus aplicaciones móviles se pueden descargar fácilmente de Internet y realizar ingeniería inversa. Estas aplicaciones heredadas son un verdadero Klondike para los piratas informáticos que buscan API abandonadas y vulnerables que, por lo general, aún pueden proporcionar acceso a las joyas de la corona de una organización de manera descontrolada.

Eventualmente, una gran cantidad de ataques se vuelve posible, desde la fuerza bruta primitiva pero altamente eficiente hasta la autenticación sofisticada y las omisiones de autorización utilizadas para el robo y el robo de datos. Por lo general, los ataques más peligrosos, incluidas las inyecciones de SQL y RCE, residen en el backend móvil. Al estar desprotegidos incluso por un WAF, son una fruta madura para los atacantes pragmáticos.

Cómo mitigar: cree un inventario de API holístico, implemente una política de prueba de software, ejecute una prueba de seguridad de aplicaciones móviles gratuita en todas sus aplicaciones móviles y backends, realice pruebas de penetración móvil para las críticas.

5. Repositorios de códigos públicos

Las prácticas ágiles de CI/CD son un gran habilitador de negocios; sin embargo, si se implementan de manera inadecuada, rápidamente se transforman en un desastre. En este contexto, los repositorios de códigos públicos suelen ser el eslabón más débil que socava los esfuerzos de ciberseguridad de las organizaciones.

Un ejemplo reciente proviene del gigante bancario Scotiabank que, según se informa, almacenó datos altamente confidenciales en repositorios de GitHub abiertos y accesibles públicamente, exponiendo su código fuente interno, credenciales de inicio de sesión y claves de acceso confidenciales.

Los desarrolladores de software de terceros exacerban considerablemente la situación en un intento de proporcionar la cotización más competitiva a clientes inconscientes y algo ingenuos. Obviamente, el software barato no está exento de inconvenientes sustanciales, y la seguridad deficiente los supera.

Si bien pocas organizaciones logran mantener el control sobre la calidad y la seguridad del código del software mediante la realización de un escaneo automático y una revisión manual del código, prácticamente ninguna es capaz de monitorear cómo se almacena y protege el código fuente mientras se desarrolla el software y especialmente después.

Como era de esperar, los errores humanos predominan en el espacio. Incluso las organizaciones ejemplares con políticas de seguridad maduras y probadas fracasan torpemente debido a factores humanos. Los estrictos plazos dictados por las realidades económicas conducen a programadores sobrecargados y exhaustos que inocentemente se olvidan de establecer un atributo adecuado en un repositorio recién creado dejando pasar los problemas.

Cómo mitigar: implementar una política que aborde el almacenamiento de código y la gestión de acceso, hacerla cumplir internamente y para terceros, ejecutar continuamente repositorios de códigos públicos monitoreando fugas.

Seguir este consejo de mitigación puede ahorrarle innumerables noches de insomnio y muchos millones para su organización. Y, por último, comparta información sobre la gestión de la superficie de ataque (ASM) con sus pares de la industria para mejorar su conciencia sobre la seguridad y la resiliencia de la seguridad cibernética.