Echar la vista atrás sobre algunos de los ciberataques más notables entre los acaecidos en la historia reciente, nos lleva a la reflexión de que aún hoy en día muchas empresas, incluso algunas muy relevantes, siguen sin aplicar eficientemente las medidas de seguridad mínimas, digamos “los básicos”, que deberían estar incluidas en cualquier programa de ciberseguridad.

Repasando los fallos de seguridad que facilitaron dos de los incidentes de ciberseguridad con más repercusión mediática de los últimos años encontramos lo siguiente:

Papeles de Panamá. Abril 2016

La firma de abogados panameña Mossack Fonseca sufrió la exfiltración de 11,5 millones de documentos internos, poniendo de manifiesto la implicación de una gran lista de personalidades internacionales en el registro de sociedades opacas, y en la evasión tributaria.

Las debilidades encontradas en el sistema informático fueron las siguientes:

•    Todos los servicios del bufete se encontraban alojados en un mismo servidor: documentación de clientes, página web pública, y correo electrónico.
•    Plugin desactualizado Wordpress, herramienta empleada en su portal web.
•    Versión de Drupal obsoleta con fallos de seguridad conocidos, CMS empleado para el intercambio de documentos con sus clientes.
•    Falta de rotación de contraseñas en la cuenta de administración de su portal web.

Wannacry. Mayo 2017

Ataque de ransomware a escala mundial que afectó, entre otras, a empresas como Telefónica, e Iberdrola en España, y fuera de nuestras fronteras a organizaciones como el Servicio Nacional de Salud británico, Fedex, Renault, o Hitachi.

Este ransomware aprovecha una vulnerabilidad en el protocolo SMB de compartición de ficheros Microsoft identificada como MS17-010. La vulnerabilidad fue descubierta en marzo de 2017 y Microsoft publicó ese mismo mes la actualización que la corregía. El ciberataque hizo uso del exploit conocido como Ethernal Blue, vinculado a la Agencia de Seguridad Nacional de EEUU (NSA), que aprovecha la falta de actualización de los sistemas Windows.

El gran alcance del ataque se debió, por una parte, a que se propagaba a través de la red; pero no hay duda de que su principal causa fue una mala praxis en la gestión de las actualizaciones del software. En este caso del Sistema Operativo Windows.

En realidad, algo tan sencillo y básico como la gestión de las contraseñas, la configuración de los sistemas, o las actualizaciones de software, podrían haber evitado estos y otros muchos ciberataques. A la vista de casos como estos, nos podríamos preguntar por qué este tipo de medidas de seguridad no son aplicadas de una forma más rigurosa en las compañías. Entre las posibles casusas de ello podríamos enumerar algunas como los fallos en la evaluación del riesgo informático, la falta de cultura de ciberseguridad, la priorización de otras actividades de TI frente a las tareas propias de seguridad, o incluso la falta de una metodología.

Cierto es que la existencia y difusión de estos incidentes conducen a una mayor concienciación sobre la necesidad de aplicar medidas de seguridad, pero sigue siendo cierto que son muchas las organizaciones en las que a falta de elementos coercitivos, e incluso con algunos como la obligada aplicación del RGPD, las prácticas en lo referente a ciberseguridad se ven reducidas a lo imprescindible.

Y también es cierto que existen herramientas de ayuda, como el decálogo de ciberseguridad del Incibe, pero que en la realidad no se aplican consistentemente. Quizás la razón sea que no es sencillo tener un mecanismo para abarcar todos los elementos a tener en cuenta…y por ello volvemos a poner sobre la mesa la aportación de nuestra metodología y referencial de calificación. A título de ejemplo, y como no podía ser menos, estos diez mandamientos básicos se encuentran ampliamente recogidos en los controles que son evaluados, desde los niveles más bajos. De esta forma, algo tan sencillo como realizar la calificación de los propios servicios y/o requerirla en los servicios subcontratados, hubiese puesto en evidencia estas carencias, permitiendo, por tanto, mitigar en gran medida, e incluso evitar estos incidentes.

Suscríbete a nuestra newsletter pulsando aquí

Puedes seguirnos en twitter.com/leet_security

10 de abril de 2018