En el ámbito de la ciberseguridad, es muy importante que la empresa conozca su huella digital, es decir la exposición en Internet de todos los recursos informáticos utilizados en el contexto laboral.
De hecho, se aplica el principio de que no se puede proteger lo que no se conoce o no se sabe que se tiene: en resumen, hay que tener conciencia digital y tecnológica.
El uso generalizado de herramientas y aplicaciones conectadas ha ampliado enormemente los límites del mundo digital y de las TI, y ser conscientes de lo que hay de nuestra empresa y de nosotros en la red, y de cómo nos “ven”, es cada día más importante.
Esta creciente exposición de los recursos informáticos de las empresas y de la vida laboral, pero también privada de las personas, se convierte fácilmente en presa de los ciberdelincuentes. Estos pretenden obtener beneficios aprovechando tanto la debilidad de ciertos sistemas informáticos como, sobre todo, el desconocimiento de los riesgos asociados a la forma en que una empresa o una persona aparece y es vista en Internet.
Por tanto, para evitar compromisos malintencionados, es necesario tener una visión completa y en tiempo real de cómo se está expuesto. Es decir, de cada servidor, host, dominio y dispositivo expuesto a Internet en el caso de las empresas, y de cada dispositivo personal fijo o móvil (smartphone, wearable, etc.) en el caso de los particulares; con el fin de tomar conciencia de cuáles de nuestros puntos de exposición podrían representar puntos débiles si no se protegen adecuadamente.
Índice de temas
Huella digital: por qué es importante conocerla
Aunque es posible que muchas organizaciones y personas no dispongan de una lista completa y en tiempo real de todos los dispositivos, hosts, dominios, subdominios, direcciones IP, registros DNS, servicios, servidores de correo electrónico, ASN y cuentas de redes sociales que están expuestos a Internet, un hacktivista dedicado sí que la tiene. La suma de toda esta información constituye la huella digital de una organización.
Qué es la huella digital: definición
La huella digital puede definirse como el conjunto específico de actividades, acciones y comunicaciones digitales, que dejan un rastro de datos en Internet, en un ordenador u otro dispositivo digital, y que pueden referirse a una persona o a una organización; por ejemplo, nuestros hábitos de navegación y exploración forman parte de nuestra huella digital pasiva, creada sin nuestro conocimiento y, a veces, sin nuestro consentimiento, mientras que las acciones en un medio de comunicación social son más susceptibles de ser consideradas como una huella digital activa.
Además, la huella digital también puede considerarse como el impacto global, en términos de presencia, visibilidad, efecto y reputación de una persona u organización en Internet; en este caso, podría interesar ampliar y mejorar esta huella para obtener un rendimiento o beneficio de ella.
La huella digital de una organización o de un usuario de la red puede verse así como una vista externa de 360 grados, muy parecida a la Tierra vista desde el espacio. Del mismo modo que la visión de la Tierra desde el espacio cambia con el tiempo debido a su rotación y a los patrones meteorológicos, lo mismo ocurre con la huella digital debido a los cambios organizativos u operativos. Es decir, se trata de una huella dinámica.
Determinar la huella digital para identificar los riesgos
Una vez determinada la huella digital de una organización o de una persona, estos datos pueden enriquecerse para proporcionar información sobre infraestructuras corporativas o equipos personales potencialmente inseguros y servicios mal configurados o mal gestionados que podrían ser aprovechados por los piratas informáticos.
El objetivo de los piratas informáticos suele ser obtener beneficios económicos. Por lo tanto, si una organización se presenta como un objetivo fácil durante un escaneado específico o incluso en un mensaje de phishing aleatorio, esta organización será atacada con toda seguridad.
Cuanto más amplio sea el perfil del objetivo, entendiendo por tal tanto la visibilidad directa en los medios de comunicación como la visibilidad indirecta que aparentemente no es visible digitalmente salvo mediante un escáner, más probabilidades tendrá de convertirse en blanco de un ataque. Sobre todo si el perfil presenta puntos débiles fácilmente explotables.
Falta de consciencia
Muchas organizaciones no son conscientes del aspecto que tiene su huella digital y de cómo sus diferentes dominios y direcciones IP están todos vinculados entre sí, como un árbol genealógico. Por ejemplo, aunque utilizar una dirección de correo electrónico del dominio principal de la organización para registrar todos los dominios posteriores es una idea sensata desde el punto de vista administrativo, esto vincula automáticamente todos los dominios entre sí y, por tanto, aumenta rápidamente la superficie de ataque de una organización. Al igual que la segmentación de la red es una buena práctica, también lo sería la segmentación de los dominios, siempre que sea posible.
Recapitulando, la huella digital de una organización es una lista completa y en tiempo real de todos los dominios, subdominios, direcciones IP, registros DNS, servicios, servidores de correo, ASN y cuentas de redes sociales, y de hecho está disponible públicamente en entornos de código abierto como Google, WHOis, VirusTotal, Censys, Cymon, Shodan, foros de hackers, redes sociales, etc. Por lo tanto, también está a disposición de hackers y hacktivistas.
Los piratas informáticos buscan una forma de entrar porque creen que la organización les proporcionará ingresos, ya sea para proteger sus datos, por los que probablemente pagarán un rescate si son robados o encriptados, o porque podrían desviar fondos tranquilamente robando la identidad digital del director financiero de la organización y exigiendo pagos regulares de facturas, cambios de datos de cuentas bancarias en las que realizar depósitos, etc.
Pero una vez escaneada la huella digital, ¿qué elementos deben considerarse de mayor riesgo y por dónde intentan colarse los piratas informáticos?
Por dónde intentan colarse los piratas informáticos
Las pasarelas de correo
Según las estadísticas, la forma más fácil de entrar en una organización es a través del correo electrónico. Por lo tanto, utilizando la huella digital de una organización basada en el dominio, intentan ver qué plataforma y qué pasarela de correo se utiliza.
Un resultado agregado de las pruebas realizadas en el mundo real muestra que la tasa media de fallo de los sistemas de seguridad del correo electrónico corporativo para interceptar el spam, el phishing y los archivos adjuntos con malware es de algo más del 9% (Análisis de las deficiencias en la seguridad del correo electrónico de Cyren: resultados agregados).
También hay que tener en cuenta que este resultado solo tiene en cuenta el correo entrante y no considera el spam, los ataques de phishing y el malware que puede propagarse lateralmente a través de la infraestructura interna de correo electrónico de una organización.
El objetivo más probable seguirá siendo la organización que no parece utilizar ninguno de los servicios populares como Google, Office 365, Mimecast, Messagelabs o con la pasarela de correo que no tiene implementada la seguridad.
En los informes más recientes de las empresas de ciberseguridad sobre las amenazas, se indican múltiples ataques en los sectores de la fabricación, la química y la ingeniería, y se afirma que los atacantes están pasando de “ataques indiscriminados de ransomware a campañas más selectivas y potencialmente más lucrativas”.
Al examinar el entorno de correo electrónico de una organización en busca de una posible vulnerabilidad a la infiltración, los piratas informáticos también buscan otros problemas de configuración (por ejemplo, SPF, DKIM, DMARC, búsqueda inversa, etc.) que podrían explotarse posteriormente para un posible phishing contra los clientes de una organización.
Credenciales
Existen millones de combinaciones de correo electrónico y contraseñas comprometidas disponibles en Internet y en foros clandestinos. En su forma más simple, una lista de correos electrónicos de empleados puede utilizarse para ataques de phishing.
La mayoría de los internautas utilizan las mismas contraseñas para cuentas de distintas aplicaciones. Los correos electrónicos y contraseñas robados son muy peligrosos, ya que los piratas informáticos intentarán acceder a los sistemas en la nube de la organización utilizando las mismas credenciales.
También existe una alta probabilidad de que la misma combinación de correo electrónico y contraseña también funcione para las aplicaciones empresariales locales. Los piratas informáticos también se comunican o intercambian la cuenta “pirateada” y, si se utilizan junto con LinkedIn, las credenciales robadas adquieren un valor incalculable.
Aunque la autenticación de dos factores no es la perfección absoluta y también puede resultar molesta, los resultados hablan por sí solos. Por lo tanto, las organizaciones deberían implantar soluciones 2FA/MFA (autenticación de dos factores/autenticación multifactorial), como requisito mínimo, lo antes posible.
Gestión de parches
Los piratas informáticos buscan eslabones débiles en las defensas informáticas de una organización y los sistemas obsoletos expuestos públicamente son los objetivos más fáciles.
Una explotación exitosa puede provocar una pérdida de datos, mala reputación, pérdida de credibilidad o problemas financieros. Los sistemas obsoletos accesibles desde Internet pueden tener vulnerabilidades relacionadas con las aplicaciones, los servidores de aplicaciones o el sistema operativo. También puede haber fallos de diseño o errores de implementación que permitan a los atacantes poner en peligro el sistema o las aplicaciones que contiene.
Los sistemas accesibles públicamente desde Internet deben recibir la máxima prioridad en cuanto a parches y cambios de configuración, y deben ser escaneados periódicamente para su verificación.
Un estudio de la Huella Digital ayuda a identificar los sistemas obsoletos o los sistemas y aplicaciones utilizados por la “TI en la sombra” que representan importantes puntos de vulnerabilidad si no se actualizan y “parchean” adecuadamente.
Qué hacer
Con la accesibilidad y disponibilidad de los datos de la huella digital, llega la necesidad de tomar conciencia de lo expuesta que está la propia huella y de lo vulnerable que es a los ciberriesgos.
Según algunos analistas del sector, un tercio de todos los ataques con éxito contra empresas tendrán como objetivo ciberactivos ocultos.
Para ello, acaban de aparecer en el mercado las primeras soluciones que, adoptando éticamente los mismos criterios que un hacker, pretenden sondear la huella digital de una organización para proporcionarle una instantánea dinámica del tamaño de su exposición, indicarle cuáles y cuántos puntos podrían ser blanco de un ataque y qué vulnerabilidades se derivan de ello.
Por lo tanto, puede ser una buena idea escanear la huella digital de su organización.
Superficie de ataque
El escaneado de la huella digital proporciona un conocimiento valioso y profundo de la superficie de ataque de la empresa desde una perspectiva externa. El informe que se suele proporcionar es una representación visual muy intuitiva del aspecto que tiene la superficie de ataque desde el exterior e incluye todos los datos capturados, que a veces pueden ser una cantidad considerable, a menudo más de lo que cabría pensar.
Ejemplos
Por ejemplo, al escanear la huella digital de una empresa (que siempre se realiza en el mundo exterior sin acceder nunca a él), también pueden aparecer en el informe dominios y subdominios que uno no sabía que tenía, pero que están vinculados a correos electrónicos de la empresa.
Se trata, por ejemplo, de sitios creados por particulares, habilitados para uso personal y de ocio, o de sitios creados correctamente, por un periodo de tiempo limitado y con fines de marketing, pero que no los eliminaron al final del periodo de uso previsto, permanecen activos y ya no están protegidos adecuadamente.
Por el momento, este tipo de herramientas y servicios solo están disponibles para las empresas, pero pronto podrían afectar a los profesionales individuales o a los particulares. De hecho, la concienciación digital tendrá que convertirse en una necesidad en un mundo cada vez más condicionado por el uso de herramientas digitales, incluso en la vida de los ciudadanos, para que este uso sea lo más seguro posible.
De cara al futuro
Este tipo de servicio tendrá que convertirse en una de las primeras políticas de seguridad corporativa, y paralelamente tendrá que formar parte de la conciencia tecnológica que todos, como se ha mencionado también en nuestro uso como usuarios privados, debemos conocer y evaluar para tomar decisiones correctas de seguridad y protección para nuestras empresas, nuestros datos y nuestro dinero.
Por Mauricio Brauzzi y Domingo Garbarino
Prohibida su reproducción total o parcial.