Aumenta la superficie de ataques al Internet de las empresas

Autor: José Luis Becerra Pozas
Categorías relacionadas:

La superficie de ataque de las grandes empresas ha crecido en los últimos meses impulsada por las nuevas condiciones de trabajo impuestas por la pandemia de COVID-19.

La amenaza ha aumentado en muchos ámbitos, como los servidores, a los que se puede acceder directamente desde Internet, además de lo referente a los nombres de dominio, los sitios web, los formularios web, los certificados, las aplicaciones y componentes de terceros o las aplicaciones móviles.

Si bien algunos de esos cambios pueden ser temporales, es probable que muchos de ellos sean permanentes, lo que pone a prueba la capacidad de los equipos informáticos y de seguridad existentes para gestionarlos y protegerlos.

La empresa de seguridad RiskIQ, especializada en el descubrimiento y la protección de activos digitales, utilizó los datos recogidos recientemente por su tecnología a través de escaneos de Internet para evaluar la actual superficie de ataque global.

En sólo dos semanas, la empresa vio la adición de 2,959,498 nuevos nombres de dominio y 772,786,941 nuevos hosts únicos en la web.

Casi la mitad de los sitios web en el top 10,000 de Alexa se ejecutaban en una plataforma de gestión de contenidos conocida, que son objetivos comunes para los hackers debido a su popularidad. La compañía también identificó 13,222 plugins de WordPress que se ejecutan en estos sitios web, componentes de terceros que también son una fuente común de vulnerabilidades y brechas.

Al buscar vulnerabilidades altas y críticas conocidas, RiskIQ identificó al menos un componente potencialmente vulnerable que se ejecutaba en 2,480 de los 10,000 dominios principales de Alexa. Había 8,121 componentes de la web potencialmente vulnerables en total.

“Aunque algunas de estas instancias tendrán parches u otros controles mitigantes para evitar que las vulnerabilidades y exposiciones identificadas sean explotadas, muchas no lo harán”, advirtió RiskIQ en su informe.

La superficie de ataque de Internet de las grandes empresas

Al examinar los activos de Internet pertenecientes a las empresas de la lista FTSE 30, la empresa de seguridad identificó 1,967 nombres de dominio, 5,422 sitios web en vivo, 8,427 hosts, 777,049 páginas web, 3,609 certificados, 76,324 formularios, 2,841 sitios de WordPress y Drupal, 114,504 direcciones IP, 45 servidores de correo, 7,790 aplicaciones alojadas en nube en Amazon y Azure, 26 instancias de Citrix Netscaler potencialmente vulnerables, ocho instancias de Palo Alto GlobalProtect potencialmente vulnerables, nueve instancias de Pulse Connect potencialmente vulnerables, 25 instancias de Fortinet potencialmente vulnerables y 1,464 instancias de servicios de acceso remoto.

En promedio, cada empresa tenía 324 certificados vencidos y 25 certificados que utilizaban el hashing SHA-1, que está obsoleto y bloqueado; 743 posibles sitios de prueba expuestos a la Internet que podrían plantear un riesgo para los datos; 385 formas inseguras, de las cuales 28 se utilizaban para la autenticación; 46 marcos web con vulnerabilidades conocidas; 80 instancias de PHP 5.x que llegaron al final de su vida útil hace más de un año; y 664 versiones de servidores web con vulnerabilidades conocidas.

“Con los límites entre lo que está dentro del firewall y lo que está fuera, cada vez menos perceptibles, la superficie de ataque de una organización —todo lo que necesita preocuparse por defender— ahora comienza dentro de la red corporativa y se extiende hasta el exterior de Internet, incluso hasta las casas de los empleados”, resaltó RiskIQ en su informe. “Para los equipos de seguridad, la profundidad y amplitud de lo que necesitan defender puede parecer desalentador. Sin embargo, pensar en Internet desde la perspectiva de un atacante —una colección de activos digitales que son descubiertos por los hackers mientras investigan sus próximas campañas— puede poner en perspectiva el alcance masivo de la superficie de ataque de su organización”.

Las vulnerabilidades de los activos de la web pueden explotarse de diferentes maneras: desde el robo de credenciales y la irrupción en bases de datos hasta la toma completa de servidores y su utilización para acceder a otras partes no públicas de la infraestructura. Un tipo de ataque común en los últimos años ha sido la inyección de código JavaScript maligno en los sitios web, que se ha utilizado para hacer publicidad maliciosa, utilizando los navegadores de los visitantes para minar la criptografía y robar los datos de las tarjetas de pago de los formularios de compra, una práctica conocida como “web skimming” o ataques Magecart, después de que uno de los grupos más prolíficos se dedicara a esta actividad.

Durante marzo, cuando las compras en línea aumentaron significativamente debido a la pandemia de COVID-19, RiskIQ observó un crecimiento del 30% en los desnatadores de web Magecart. En lo que va de año, la compañía ha detectado 2,552 ataques de Magecart, o 425 por mes. También este año, RiskIQ encontró código JavaScript encriptado en 963 sitios web.

La superficie de ataque indirecto

Además de proteger sus activos digitales en Internet, las organizaciones también deben gestionar las amenazas a sus clientes y empleados, especialmente porque muchos de sus trabajadores ahora hacen su trabajo desde dispositivos personales que se ejecutan dentro de redes domésticas inseguras. Esto los convierte en blancos más fáciles para el phishing y otras amenazas en línea, ya que están fuera de los firewalls corporativos y de las puertas de enlace de seguridad de la Web.

Durante el primer trimestre, RiskIQ identificó 21,496 dominios de phishing que se hicieron pasar por 478 marcas únicas, un tercio de las cuales pertenecían al sector de servicios financieros. Además, la empresa encontró 720,188 casos de infracción de dominios en 170 marcas únicas.

Las aplicaciones móviles maliciosas que roban datos también suponen un riesgo para los empleados, que a menudo se dirigen a ellos mediante mensajes de phishing en plataformas de medios sociales o mediante anuncios deshonestos que a menudo se muestran en otras aplicaciones móviles. Según RiskIQ, en el transcurso del año pasado, se encontraron alrededor de 170,796 aplicaciones móviles en listas negras en 120 tiendas de aplicaciones para móviles y en la Internet abierta. Más de 25,000 de ellas fueron encontradas en la Google Play Store.

“En el mundo actual de compromiso digital, los usuarios se sientan fuera del perímetro junto con un número cada vez mayor de activos digitales corporativos expuestos y la mayoría de los actores maliciosos”, dijo la compañía en su informe. “Como tal, las empresas necesitan adoptar estrategias de seguridad que abarquen este cambio. […] Los atacantes tienen ahora muchos más puntos de acceso para investigar o explotar, con poca o ninguna supervisión de seguridad”.

Deja un comentario