Fallos en el registro y la supervisión de la seguridad: Explicación y ejemplos

En esta era de crecientes amenazas cibernéticas, la seguridad de las aplicaciones web se ha convertido en una preocupación primordial. Las entidades maliciosas están siempre al acecho de nuevas oportunidades como la falta de registro y supervisión. Dedican mucho tiempo a examinar aplicaciones y sistemas para encontrar errores y vulnerabilidades.

No es de extrañar que, sin un registro y una supervisión adecuados, los equipos de TI y de desarrollo de software no sean conscientes de ninguna discrepancia si (y cuándo) se producen ciberataques o intentos de pirateo. Los malos confían en la ventana de oportunidad y atacan tranquilamente los sistemas sin ser advertidos, abrumando las defensas y causando potencialmente daños significativos.

Pero… ¡Buenas noticias a todos! Este artículo proporciona un conjunto monstruoso de estupendos métodos preventivos para ayudar a las organizaciones a operar con confianza y garantía en la seguridad de sus sistemas. Así que ¡manos a la obra!

Explicación de los fallos en el registro y la supervisión de la seguridad

Antes de sumergirnos en el impacto de las vulnerabilidades de Security Logging and Monitoring, tomemos un momento para entender la vulnerabilidad en sí.

Security Logging and Monitoring Failures ocupó inicialmente la 10ª posición en la edición OWASP de 2017. Sin embargo, desde entonces la vulnerabilidad ha subido un puesto y ahora ocupa la 9ª posición en la lista de 2021. Como sugiere el título, la vulnerabilidad implica el riesgo de que las aplicaciones y las API no dispongan del registro y la supervisión adecuados para localizar y depurar errores.

El registro y la supervisión insuficientes se distinguen de otras categorías del Top 10 de OWASP porque no pueden explotarse directamente. En cambio, gira en torno a tener medidas de detección y respuesta inadecuadas o a la falta de ellas. Sin un registro y una supervisión eficaces, las organizaciones pueden pasar días, semanas o incluso meses detectando una brecha y realizando análisis forenses digitales después de que se haya producido el incidente.

OWASP afirma que casi todos los incidentes de seguridad importantes tienen su origen en la explotación de un registro y una supervisión insuficientes. Los ataques basados en un registro y una supervisión insuficientes suelen clasificarse como de alta prevalencia, media oportunidad y baja detectabilidad.

Fallos en el registro y la supervisión de la seguridad: Explicación y ejemplos

Ejemplo de recogida centralizada de registros y alertas de ataques a contraseñas en el servicio “Checkmk”

¿Cómo pueden aprovechar los piratas informáticos un registro y una supervisión de la seguridad insuficientes?

Cuando no se dispone de un registro y una supervisión adecuados, se da suficiente margen a los delincuentes de ransomware para realizar actividades maliciosas perjudiciales para su empresa. ¿Qué pueden hacer? Obtener acceso no autorizado a su sistema, espiarle, manipular, extraer o destruir datos, penetrar aún más en múltiples componentes del ecosistema y salirse con la suya.

He aquí algunos de los exploits de los fallos de registro:

  • Ataques a las contraseñas. Los impostores pueden aprovecharse de un registro y una supervisión insuficientes para obtener acceso no autorizado a cuentas de usuario. Los métodos incluyen ataques de fuerza bruta, ataques de diccionario y rastreadores de contraseñas.
  • Ataque de intermediario (MITM). En este caso, los agresores espían la comunicación entre dos partes y modifican los mensajes. Estos ataques incluyen el secuestro del correo electrónico, las escuchas Wi-Fi, el secuestro de sesiones y la suplantación de DNS.
  • Denegación de servicio (DoS). Durante este ataque, los actores de la amenaza intentan primero obtener acceso al sistema, apagar la red y, a continuación, reducir su capacidad para responder a las peticiones de los usuarios abrumando el sistema objetivo con un enorme tráfico generado por bots.
  • Amenazas persistentes avanzadas (APT). Las APT son ataques dirigidos que permiten a los estafadores acceder a una red, profundizar su control sobre el sistema y pasar desapercibidos durante largos periodos.

La superficie de ataque es aún mayor de lo que imaginas, ¿verdad? A primera vista, un registro y una supervisión insuficientes pueden no parecer un gran problema, pero si miramos bajo el capó, hay mucho más que descubrir.

Fallos en el registro y la supervisión de la seguridad: Explicación y ejemplos

Ejemplos de ataques con contraseña

Ejemplos de ataques

Para ilustrar el ataque, veamos los siguientes escenarios:

  • Una plataforma de intercambio de vídeos sufrió un importante ataque de robo de credenciales. A pesar de registrar los intentos fallidos de inicio de sesión, no se activó ninguna alerta durante el ataque. En respuesta a las quejas de los usuarios, la empresa analizó los registros de la API y descubrió la brecha. Los ejecutivos de la plataforma tuvieron que anunciar públicamente el incidente, instando a los usuarios a restablecer sus contraseñas y crear otras más seguras.
  • El hacker empieza buscando usuarios con una contraseña compartida. Una vez identificados, aprovechan esta vulnerabilidad para hacerse con el control de todas esas cuentas. Para otras cuentas, se deja un único intento de inicio de sesión falso, posiblemente para eludir la detección o causar confusión. Después de un período de espera, el atacante repite el proceso con una contraseña diferente, con el objetivo de explotar contraseñas débiles o comunes para el acceso no autorizado.
  • Las claves de acceso, utilizadas para el acceso administrativo a la API, se filtraron en un repositorio público. Alguien identificó el riesgo potencial para la seguridad y notificó al propietario del repositorio por correo electrónico. A pesar de la notificación por correo electrónico, el propietario del repositorio tardó más de 48 horas en responder. Esta exposición podría conceder acceso no autorizado a la API administrativa. Un registro insuficiente impide a la empresa evaluar plenamente la brecha y determinar los datos a los que accedieron los actores maliciosos.

Como puede ver, los atacantes siempre pueden encontrar formas de sorprender a una organización. Ningún sistema es totalmente inmune a posibles fallos de seguridad. Desgraciadamente, el registro y la supervisión insuficientes no suelen abordarse hasta que se ha producido un daño significativo. Las repercusiones pueden ser graves, yendo más allá de los problemas técnicos para afectar a la reputación de una empresa.

¿Cómo detectar fallos en el registro y la supervisión de la seguridad?

Los retos son diversos, pero también lo son las soluciones. Para controlar la seguridad de su API, es importante realizar pruebas de penetración rutinarias.

Recurra a la ayuda de profesionales de la ciberseguridad para detectar cualquier anomalía. El proceso consiste en simular ataques a redes y aplicaciones para descubrir puntos débiles e identificar patrones inusuales. Las acciones de los probadores deben estar bien documentadas para que pueda comprender el alcance de los daños causados por los operadores malintencionados.

Sin realizar pruebas de penetración, ¿cómo puede estar seguro de que su sistema funciona correctamente? A medida que los atacantes hostiles intensifican su juego, las organizaciones deben hacer todo lo posible para mantener intactos sus activos digitales.

Fallos en el registro y la supervisión de la seguridad: Explicación y ejemplos

Ejemplo de informe de prueba de vulnerabilidad de un sitio web utilizando Greenbone Security Assistant

Ejemplos de la vida real

¿Qué puede ocurrir si no se implementan correctamente las herramientas de registro y supervisión? Miles de filtraciones de datos se produjeron debido a un registro y una supervisión inadecuados. Las violaciones se podían prevenir, pero las organizaciones cometieron errores garrafales. Esto provocó importantes pérdidas económicas y empañó la reputación. Siga leyendo para descubrir ejemplos reales de víctimas afectadas por este tipo de ataques.

Target

La filtración de datos de Target fue una de las mayores de la historia, y afectó a 70 millones de clientes. Durante las vacaciones de 2013, la segunda mayor cadena de tiendas de descuento de Estados Unidos fue pirateada. Se robó una gran cantidad de datos personales de clientes, incluidas 40 millones de cuentas de tarjetas de crédito y débito.

El simple hecho de no registrar correctamente los intentos fallidos de inicio de sesión fue suficiente para que los operadores maliciosos subieran a bordo. Este error, aparentemente pequeño, permitió a los hackers intentar diferentes nombres de usuario y contraseñas desde la misma dirección IP hasta que lo consiguieron. Las consecuencias fueron devastadoras: Target no sólo perdió más de 200 millones de dólares, sino también la confianza de sus clientes, que ya no confiaban en su seguridad.

Yahoo!

Continuemos con una filtración de datos que afectó a Yahoo!, un proveedor de servicios web estadounidense. Fue una violación de proporciones épicas: 896 millones de cuentas de usuarios de Yahoo! se vieron comprometidas. En el transcurso de 191 días, los delincuentes del ransomware consiguieron copiar información privada como fechas de nacimiento, números de teléfono, correos electrónicos de recuperación de contraseñas e incluso preguntas y respuestas de desafío de contraseñas.

¡A pesar de contar con software de seguridad de última generación y cientos de profesionales de la seguridad, ¿cómo falló Yahoo! ¡La brecha parece haber sido posible gracias a un simple correo electrónico de spear-phishing enviado a principios de 2014 a un trabajador de la empresa Yahoo! Hasta finales de agosto de 2016 no empezó a hacerse evidente la magnitud de la brecha.

Hubo multitud de pasos en falso dentro de la empresa: no aplicaron medidas de seguridad básicas, como cifrar la información identificativa. Yahoo! tardó demasiado en detectar la brecha, lo que le costó la confianza de sus usuarios.

Citrix

Del mismo modo, en 2019, la gigantesca firma Citrix sufrió una importante violación de datos, exponiendo más de 6 TB de correos electrónicos, documentos y secretos. Los ejecutivos de Citrix se enteraron de la filtración por el FBI, y lo que descubrieron fue devastador. Muy preocupados, Citrix inició inmediatamente una investigación forense.

Los atacantes utilizaron el método «password spraying», que aprovecha las contraseñas débiles. Este incidente se produjo porque Citrix no contaba con suficientes medidas de seguridad, lo que causó un tremendo daño financiero a la empresa. Los empleados, contratistas, becarios, candidatos a un puesto de trabajo, beneficiarios y dependientes afectados por una violación de datos en Citrix han conseguido un acuerdo judicial de 2,28 millones de dólares.

La filtración de Citrix pone de relieve la importancia de medidas de seguridad sencillas, como tener contraseñas seguras y utilizar la autenticación de dos factores (2FA). Las empresas deben cotejar periódicamente las contraseñas de los usuarios con las listas de contraseñas habituales y permanecer atentas a cualquier indicio de riesgo.

Estrategias de prevención y buenas prácticas

En el complejo mundo de los avances digitales, la seguridad es un pilar fundamental. Como directriz básica, cuanto más valiosos sean los datos, más medidas de seguridad -como el registro y la supervisión- deben aplicarse para alertar de posibles amenazas.

Deben seguirse varios pasos para protegerse de los fallos en el registro y la supervisión de la seguridad:

  • Especifique los requisitos de registro y supervisión. Indique qué información debe registrarse y supervisarse, establezca la frecuencia e identifique a los responsables.
  • Registre los errores de aplicación, los problemas de conectividad, los errores de ejecución, los cambios de configuración y los errores del sistema de archivos.
    Utilice el cifrado para el registro central
  • Configure las alertas. Si se produce algún fallo o error, su equipo de seguridad debe ser alertado.
  • Asegúrese de que se registran las funciones de alto riesgo. Esto incluye intentos de inicio de sesión, transacciones de alto valor, cambios de cuenta de usuario, cambios de contraseña, etc.
  • Mantenga su software actualizado. Actualice periódicamente sus sistemas con parches de seguridad.
  • Realice análisis de seguridad periódicos. Esto le ayudará a identificar vulnerabilidades mucho antes, reduciendo así los daños subsiguientes y consiguientes
    Lleve a cabo pruebas de penetración internas y externas para confirmar el lado de registro del riesgo. Los equipos rojos (hackers de sombrero blanco) y azules (cazadores de amenazas internos) se utilizan para confirmar el lado de supervisión del riesgo.
  • Supervisar y revisar. Si no realiza ninguna supervisión, ¿para qué sirve el registro? Supervise y revise periódicamente sus soluciones de registro y supervisión para asegurarse de que funcionan correctamente y capturan todos los datos necesarios.
  • Imparta formación contra el phishing. Forme a sus empleados en prácticas de codificación segura, procedimientos de respuesta a incidentes y concienciación en materia de seguridad.

En QAwerk, entendemos la importancia de tener un enfoque proactivo de detección de anomalías que se alinee con las necesidades y el contexto específicos de una organización. Los pasos mencionados anteriormente ofrecen una hoja de ruta para las organizaciones que buscan salvaguardar sus activos digitales de manera eficaz.

Protección insuficiente del registro y la supervisión de la seguridad con QAwerk

QAwerk ayuda a las organizaciones a lograr protección contra ataques en un mundo impulsado por APIs y que da prioridad a la nube. Nos especializamos en detener ataques a aplicaciones web y API mediante pruebas de penetración holísticas. Nuestros pentesters sondearán y tratarán de irrumpir en su sistema en un entorno controlado. Esto se hace para comprender los riesgos a los que se enfrentan sus aplicaciones web y probar su eficacia a la hora de responder a incidentes de seguridad.

Estas son las innumerables ventajas que ofrece QAwerk:

  • Proporciona una visión completa de las redes de fraude
  • Evita el tiempo de inactividad del sitio web y del servidor
  • Analiza los registros y encuentra problemas en ellos
  • Proporciona informes de seguridad detallados (gravedad de la vulnerabilidad, impacto potencial y probabilidad de explotación)
  • Ahorra tiempo y dinero a su empresa

Principales conclusiones

En el vertiginoso panorama de las amenazas, en el que los actores maliciosos evolucionan sus tácticas, reforzar las defensas se convierte en una tarea hercúlea. Los fallos en el registro y la supervisión de la seguridad suponen un gran desafío en el ámbito de la ciberseguridad.

En medio de estos retos, es esencial adoptar un enfoque global, que incluya el establecimiento de un sólido programa de seguridad de las aplicaciones. Este programa debe centrarse en reforzar la postura de seguridad de una organización a través de una supervisión continua, pruebas de penetración periódicas y formación de los desarrolladores en prácticas de codificación seguras.

Al reflejar las técnicas de sondeo que utilizan los ciberadversarios, nuestros experimentados pentesters pueden detectar posibles vulnerabilidades en sus sistemas antes de que causen estragos en su negocio. No deje la seguridad de su API al azar: póngase en contacto con profesionales de la seguridad para racionalizar su pila defensiva y reducir la complejidad de la seguridad.