Introducción
La ciberdelincuencia es hoy un negocio enorme. Los daños que se prevén para el año 2021 ascienden a un total de 6 billones de dólares en todo el mundo (un billón es un millón de millones, sí, esa cantidad). Poniendo las cosas en perspectiva, en términos de ingresos, la ciberdelincuencia avergüenza a gigantes como Tesla, Facebook, Microsoft, Apple, Amazon y Walmart. Sus ingresos anuales combinados ascienden a «sólo» 1,28 billones de dólares.
La simple verdad de que la información es igual a poder en estos tiempos es más actual que nunca. Las empresas, e incluso las vidas, corren peligro debido a la existencia de datos cibernéticos valiosos y sensibles a los que los piratas informáticos pueden acceder y utilizar indebidamente. No hay nada que hacer para evitar completamente los ciberataques. Por suerte, usted puede mejorar su sistema de seguridad. Lo primero es actuar. Contrate a un equipo de pentesters profesionales para que ataquen su sistema en condiciones controladas y detecten sus puntos débiles para asegurarse de que resiste las intrusiones malintencionadas.
Los ciberataques éticos preventivos son pruebas de penetración bien orquestadas y, en este artículo, desvelaremos todos los detalles y pormenores, los riesgos potenciales que conllevan y, una vez más, haremos hincapié en la importancia de detectar a tiempo las cibervulnerabilidades.
¿Qué son las pruebas de penetración?
Las pruebas de penetración, también conocidas como pen testing, pruebas de seguridad o hacking ético, son un método muy eficaz para evaluar el estado actual de la seguridad de un sistema. Por penetración entendemos el grado en que un hipotético usuario malintencionado (hacker) puede penetrar en las medidas y protocolos de ciberseguridad. Por lo tanto, las pruebas de penetración son un intento autorizado de obtener acceso no autorizado – en pocas palabras – hackearlo.
¿Qué es lo más probable que le pirateen?
A continuación, hemos elaborado una lista de los objetivos más comunes de los ataques maliciosos junto con las principales ciberamenazas. Aquí está nuestra lista de «Lo más probable es que te hackeen»:
Aplicaciones móviles
Falta de protección binaria: se describe por la falta de mecanismos que impidan que el binario de una aplicación se someta a ingeniería inversa y se modifique. Sin una protección binaria adecuada, es posible descompilar una aplicación y ver el código fuente.
Ejemplo: Android exige que todas las aplicaciones estén firmadas digitalmente con un certificado antes de poder ser instaladas. Android utiliza este certificado para identificar al autor de una aplicación, y no es necesario que el certificado esté firmado por una autoridad de certificación. Las aplicaciones de Android suelen utilizar certificados autofirmados. Por lo tanto, un usuario malintencionado puede poner cualquier información en el certificado para firmar su aplicación – ninguna autoridad valida la autenticidad de los certificados.
Cifrado débil: este tipo de ataque basado en vulnerabilidades se dirige a algoritmos de cifrado que están obsoletos, son débiles o sufren de amplias vulnerabilidades.
Ejemplo: La cadena de supermercados estadounidense Wegmans Food Markets ha anunciado que ha sufrido una violación de datos después de que dos bases de datos quedaran accesibles en línea. Habitualmente, este tipo de frases se refieren a problemas de cifrado débil.
Almacenamiento de datos inseguro: los sistemas de archivos suelen ser un blanco fácil para los usuarios malintencionados. Una protección insuficiente puede provocar una fuga de datos.
Ejemplo: Tinder reveló que las ubicaciones de los usuarios de la app no estaban correctamente cifradas. En 2013, se compartieron las ubicaciones de los usuarios de Tinder, lo que permitió a quienes se encontraban en un extremo receptor triangular rápidamente las ubicaciones exactas. Tinder respondió corrigiendo la vulnerabilidad.
Sitios Web y API Web
Fallos de autenticación y autorización: sorprendentemente, los fallos de seguridad de API más comunes, aunque prolíficos y peligrosos. La explotación de estas vulnerabilidades facilita a los atacantes el acceso para hacer un uso indebido de contraseñas, claves o testigos de sesión.
Ejemplo: Un exempleado de Cisco obtuvo acceso no autorizado a la infraestructura en la nube de la empresa y desplegó un código malicioso que interrumpió 16.000 cuentas de clientes de WebEx durante semanas. A Cisco le costó 1,4 millones de dólares en tiempo de sus empleados auditar su infraestructura y reparar los daños. Al parecer, el acceso a los recursos sensibles no estaba protegido con autenticación de dos factores u otras herramientas de gestión de acceso.
Fallos de inyección – La inyección SQL, NoSQL, OS y LDAP se produce cuando se envían datos no fiables como parte de un comando o consulta. Este tipo de vulnerabilidad es el resultado de un fallo a la hora de filtrar la entrada procedente de fuentes no fiables.
Ejemplo: El colectivo RedHack utilizó la inyección SQL para violar el sitio web del gobierno turco y borrar la deuda con las agencias gubernamentales.
Mala configuración de seguridad: una vulnerabilidad bastante extendida que se manifiesta por una implementación defectuosa de los controles de seguridad. Una mala configuración o unas opciones de configuración inseguras hacen que una aplicación sea susceptible de sufrir ataques dirigidos a cualquier parte de la pila de aplicaciones.
Ejemplo: Cabeceras HTTP mal configuradas en la página web del Departamento de Defensa de Estados Unidos (https://www.sfl-tap.army.mil/). Aunque se incluyó la cabecera X-XSS-Protection, consciente de la seguridad, se configuró con el valor DENY, que debe utilizarse para la opción X-Frame. El investigador recomendó correctamente que se cambiara a 1; mode=block.
Scripts
Cross-Site Scripting XSS – este tipo de fallo se produce debido a scripts maliciosos en un navegador web de la víctima como resultado de un código malicioso plantado en una página web legítima o aplicación web.
Ejemplo: Debido a una falta de validación de entrada del campo de búsqueda en lert.uber.com, era posible obtener un XSS Reflejado de la ruta URL, por ejemplo
https://lert.uber.com/s/search/All/Home”>PAYLOAD.
Deserialización insegura: esta vulnerabilidad se produce cuando se utilizan datos no fiables para abusar de la lógica de una aplicación, infligir un ataque de denegación de servicio (DoS) o incluso ejecutar código arbitrario al ser deserializados.
Ejemplo: En septiembre de 2018, apareció en HackerOne información sobre una vulnerabilidad de deserialización insegura en Vanilla Forums. La vulnerabilidad permitía a un atacante determinado lograr la ejecución remota de código.
Entidades externas XML (XXE): este tipo de ataque utiliza entidades externas para revelar archivos internos utilizando el manejador de URI de archivos, recursos compartidos de archivos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio.
Ejemplo: Revelada allá por 2018, una vulnerabilidad XXE condujo a un exploit en el editor de emblemas de Rockstar Games. Echa un vistazo al informe divulgado públicamente que incluye fragmentos de código y explicaciones detalladas del ataque.
Aplicaciones informáticas
Control de acceso roto – las debilidades en el control de acceso son bastante comunes. Ocurre cuando la configuración errónea de permisos concede a los atacantes acceso y/o la capacidad de modificar datos/archivos/cuentas a los que, de otro modo, no podrían acceder. Pentesting es la apuesta más segura en la detección de control de acceso faltante o ineficaz, incluyendo el método HTTP (GET vs. PUT, etc.), controlador, referencias directas a objetos, etc.
Ejemplo: Un bug permitía la descarga de todas las claves de activación (también conocidas como claves de CD) a través de la plataforma de juegos Steam, para cada juego.
Uso de componentes con vulnerabilidades conocidas: la prevalencia de este problema está bastante extendida. Los componentes, que incluyen bibliotecas, frameworks y otros módulos de software, suelen ejecutarse con los mismos privilegios que una aplicación. Por lo tanto, si un componente es vulnerable, esas debilidades pueden ser explotadas en un esfuerzo por atacar una aplicación.
Ejemplo: En 2016 se divulgó un informe de adaptación sobre la empresa Uber. Uber estaba usando una versión desactualizada de WordPress, junto con la ejecución de un plugin q-and-a que desde entonces había sido eliminado de WordPress debido a que tenía una vulnerabilidad de Full Path Disclosure.
Referencias directas a objetos inseguras: esta vulnerabilidad permite a un usuario autorizado obtener información de otros usuarios. Con la creciente cantidad de aplicaciones que recopilan información personal, las medidas preventivas contra esta vulnerabilidad están ganando impulso.
Ejemplo: ¡En febrero de 2014, se detectó esta vulnerabilidad en Yahoo! Un hacker detectó la vulnerabilidad en un subdominio ‘suggestions.yahoo.com’. Permitía a un atacante realizar modificaciones en el objeto, como borrar todos los hilos y comentarios publicados en el sitio web del tablón de sugerencias de Yahoo, un total de más de un millón y medio de registros.
Equipos de hardware y servidores de red
Falta de cifrado: los datos sin cifrar pueden ser recogidos a través de la red o bien pueden ser robados dispositivos que contengan datos sin cifrar guardados directamente en ellos.
Ejemplo: En febrero de 2018, un incidente en la Oficina de Administración de Pensilvania permitió acceder a información personal perteneciente a casi 360.000 usuarios, incluidos profesores, personal de distritos escolares y del Departamento de Educación. Cifrar el acceso a información vital y gestionar cuidadosamente las identidades de las máquinas que la albergan previene las filtraciones de datos.
Ransomware: este tipo de ataque está bastante extendido. Cuando se inflige a servidores y equipos de red vulnerables, supone un gran problema, que a menudo provoca el fallo de los sistemas y de las comunicaciones de red.
Por ejemplo: El ransomware conocido bajo el nombre de «Cring» explota una vulnerabilidad en los servidores VPN de Fortigate (CVE-2018-13379). Fortinet publicó un parche de seguridad para corregir la vulnerabilidad en 2019, pero los ciberdelincuentes aún pueden desplegar el exploit contra redes que aún no han aplicado la actualización de seguridad.
Robo de identidad (MAC spoofing): sucede cuando el impostor caza en la red direcciones MAC válidas y originales para hacerse pasar por una válida. En teoría, cada adaptador de red integrado en un dispositivo conectado debería tener una dirección de Control de Acceso al Medio (MAC) única que no se encuentre en ningún otro sitio. En la práctica, sin embargo, un hack inteligente puede poner patas arriba este estado de cosas.
Un ejemplo: El estudio 2021 Identity Fraud Study, publicado por Javelin Strategy & Research, muestra que las estafas de fraude de identidad provocaron pérdidas de 43.000 millones de dólares (USD) a los consumidores estadounidenses. Las estafas de fraude de identidad son relativamente fáciles de orquestar, lo que representa una oportunidad para que los delincuentes eludan las barreras de detección de fraudes que mantienen los proveedores de servicios financieros.
Redes cableadas e inalámbricas
Asociación maliciosa: amenaza que se presenta cuando se accede a una red inalámbrica a través de un dispositivo inalámbrico, como un ordenador portátil que se está resquebrajando, en lugar de un punto de acceso (AP) de la empresa. Cuando un atacante consigue acceder a la red inalámbrica, puede robar contraseñas o implantar troyanos.
Consejo profesional: Este tipo de ataque suele realizarse combinado con otros enfoques para romper la seguridad de los sistemas. Asegúrese de mantener las estrategias probadas en el tiempo para la seguridad de redes cableadas e inalámbricas.
Método Man-in-the-Middle: este tipo de ataque se caracteriza por la interceptación de una comunicación entre dos sistemas o personas por una parte no autorizada.
Ejemplo: En 2017, la empresa de calificación crediticia Equifax retiró sus apps móviles de Google Play y de la APP Store de Apple tras una brecha, que resultó en la filtración de datos sensibles de los usuarios. Ambas versiones de la app no utilizaban HTTPS de forma consistente, lo que las hacía vulnerables a la interceptación.
Consejo profesional: vea la S2.E6 de la serie de televisión Mr. Robot para conocer una nueva visión de los ataques karma.
Ataque de denegación de servicio: se produce cuando el sistema se sobrecarga a propósito con peticiones redundantes, obteniendo el flujo adecuado de uso legítimo.
Ejemplo: Gran ataque DDoS a Dyn DNS tumbó Spotify, Twitter, Github y PayPal inundando los sitios con una cantidad abrumadora de tráfico de Internet en octubre de 2016. Se demostró que el malware Mirai estaba detrás del ataque.
Sistemas operativos
Ejecución remota de código: las vulnerabilidades del sistema pueden proporcionar a un atacante la capacidad de ejecutar código malicioso y adquirir privilegios de usuario. La ejecución remota de código es una de las vulnerabilidades más comunes que se encuentran hoy en día en los sistemas operativos, lo que abre las puertas a otros ataques.
Ejemplo: Blueborne una vulnerabilidad de seguridad que potencialmente podría hacer que todos los dispositivos del planeta con Bluetooth (estimados en más de 8 mil millones) estén abiertos a un ataque RCE.
Elevación de privilegios: ofrece a un atacante la oportunidad de obtener capacidades (más allá de las inicialmente concedidas) sin la debida autorización. Normalmente, la elevación de privilegios se explota combinada con otras vulnerabilidades, por ejemplo, la ejecución remota de código.
Ejemplo: Metasploit es un conocido framework de hacking. Contiene ataques de elevación de privilegios contra dispositivos android rooteados. Una vez que el dispositivo está rooteado, crea un archivo ejecutable conocido como binario de superusuario (SU) que permite al atacante ejecutar comandos con acceso de root. El atacante puede entonces ejecutar comandos como «show advanced» y «show options» como root.
Divulgación de información: este tipo de ataque se produce cuando se aprovechan errores de software para obtener datos personales. Los datos obtenidos a menudo sirven como pieza clave para futuros ciberataques.
Ejemplo: En abril de 2021 se filtraron en Internet números de teléfono y datos personales de 533 millones de usuarios de Facebook.
¿Cuáles son los diferentes enfoques de las pruebas de penetración?
Cualquier pentester decide sobre un enfoque particular para las pruebas de seguridad, basando esta elección en el tiempo, los requisitos de seguridad y, lo más importante – el nivel de datos proporcionados. Expliquémonos: la explotación de los puntos débiles de un sistema puede tener éxito con o sin datos sobre el sistema objetivo – por ejemplo, un pentester puede tener conocimiento de cómo está mapeada una red o descubrir esta información podría ser también parte de la tarea. El nivel de la información suministrada determina el enfoque.
A continuación se presentan los tres enfoques del pentesting y las ventajas y desventajas de cada uno de ellos:
¿Cuál es el propósito de las pruebas de penetración?
La idea principal detrás de cualquier prueba de penetración es simular un ataque de intrusos malintencionados para identificar posibles escenarios de ataque y vulnerabilidades del sistema. Ergo, el propósito del pentesting es exponer las vulnerabilidades y explotar las debilidades de un sistema en cuestión.
Las pruebas de ciberseguridad proporcionan información valiosa sobre los puntos fuertes y débiles de la seguridad existente. Cabe mencionar, sin embargo, que el objetivo principal de cada caso de pentesting está ligado a un caso de negocio particular, por lo que hay un montón de vectores de pruebas que no caen bajo una generalización.
¿Conoce la frecuencia prevista de un ataque de ransomware a empresas para finales de 2021? Habrá un intento de violación de la seguridad cada 11 segundos. Aumentó desde una estimación de 1 cada 40 segundos en 2016. Las evaluaciones de vulnerabilidad y las mejoras consiguientes son una medida de eficacia probada para evitar verdaderas intrusiones digitales.
¿Cuáles son los riesgos de las pruebas de penetración?
Los costes y riesgos ocultos de buscar brechas en los sistemas de seguridad antes de que los verdaderos hackers puedan entrar pueden ser bastante graves. Los riesgos significativos a tener en cuenta antes de emprender el sondeo de las posibles formas de penetrar en un sistema se discutirán sin más preámbulos.
Condiciones poco realistas = resultados sin propósito. El objetivo de cualquier evaluación de seguridad es comprobar la realidad y priorizar futuras mejoras. Si el pentesting se realiza en un entorno poco realista, hay pocas esperanzas de obtener resultados significativos. Un ciberataque simulado puede arrojar resultados sesgados que no reflejen las perspectivas reales de los hackers potenciales. Aún así, hay muchas variables a tener en cuenta para obtener resultados útiles, como el nivel de experiencia del pentester, las herramientas que utiliza y el enfoque de pentesting que seguirá.
Más daños que beneficios. Las pruebas de seguridad pueden provocar la exposición involuntaria de información confidencial e incidentes con los datos si no se realizan correctamente. Los errores durante las pruebas pueden provocar caídas de los servidores y exponer datos confidenciales. Su sistema debe estar blindado contra este riesgo de seguridad con los recursos humanos y técnicos adecuados.
Pérdida de productividad. Las pruebas de penetración pueden interferir en el rendimiento del sistema objetivo. Las pruebas deben estar bien orquestadas y el equipo de pentesters debe permanecer en contacto con los empleados afectados.
Falsa confianza. Las vulnerabilidades no detectadas son otra amenaza potencial. Las pruebas de seguridad realizadas inspiran confianza en la seguridad del sistema. Sin embargo, como hemos mencionado en la descripción de los distintos enfoques de las pruebas, cada uno conlleva el riesgo de pasar por alto amenazas de distinta gravedad, de baja a crítica. Nunca hay garantías de que se detecten todos los inconvenientes en el plazo de la prueba. Una cosa importante a tener en cuenta: no asumir la inmunidad a una vulnerabilidad sólo porque no se ha encontrado es lo más cercano a la inmunidad que se puede conseguir.
¿Por qué son importantes las pruebas de penetración?
El valor de las pruebas de ciberseguridad profesionales no puede subestimarse para ninguna empresa, independientemente de su actividad. Confiar en un equipo de pentesters para identificar las vulnerabilidades de un sistema tiene sus riesgos, pero optar por expertos competentes ayudará a minimizarlos, potenciando en cambio los beneficios. Los pentesters de QAwerk ofrecen los siguientes servicios de penetración remota:
- Detección de fugas de datos
- Prevención de amenazas internas
- Auditoría de seguridad de sitios web
- Pruebas de penetración web
- Pruebas estáticas de seguridad de aplicaciones (SAST)
- Auditoría de seguridad de redes externas
- Informática forense remota
Cada día surgen vulnerabilidades y amenazas cibernéticas. Se utilizan nuevos tipos de ataques que pueden diferir enormemente de los existentes, e incluso algunas vulnerabilidades antiguas pueden utilizarse de nuevo con el tiempo. Por eso, para que su empresa funcione sin problemas y de forma segura, es crucial mantener los dedos en el pulso de su ciberseguridad con hackeos éticos regulares, sin dejar piedra sin remover para desenterrar grietas en los protocolos de seguridad de redes, sistemas y aplicaciones basadas en web.
Palabras finales
La cantidad de nuevas ciberamenazas se encuentra actualmente en su máximo histórico, con un incremento diario de 50-100. El Pentesting de su infraestructura, software y red es una medida de seguridad fiable que se ha convertido en una necesidad corporativa hoy en día. Recuerde que el 95% de las brechas de ciberseguridad se remontan a errores humanos. Protéjase contratando a profesionales para que realicen pruebas de seguridad rutinarias que reduzcan considerablemente la posibilidad de ataques de intrusos cibernéticos. Nuestros clientes evitan el tiempo de inactividad, así como la pérdida de datos y dinero.
