Una superficie de ataque es un área o punto en el que un atacante tiene más probabilidades o más posibilidades de vulnerar una red o una cuenta que contenga cualquier tipo de datos sensibles, especialmente cualquier punto que contenga una vulnerabilidad no parcheada o una configuración errónea. Una superficie de ataque difiere ligeramente de un vector de ataque, que es el método que emplea el atacante para llegar a los datos.
Las superficies de ataque incluyen:
- Cualquier dispositivo conectado directa o indirectamente a la red de la empresa. Esto incluye especialmente los dispositivos de internet de las cosas, que generalmente no tienen características de seguridad específicas.
- Una cuenta con acceso privilegiado. Si una cuenta importante o una cuenta de ejecución no está protegida por múltiples factores de autenticación, un atacante puede usar credenciales robadas para descifrar la cuenta. La gestión de acceso privilegiado es un protocolo que puede reducir y proteger en gran medida el acceso de los empleados a los datos confidenciales.
- Empleados que no están preparados o vigilantes. Las técnicas de ingeniería social son uno de los vectores de ataque más comunes, y los atacantes tienen un éxito aterrador cuando envían correos electrónicos, llamadas telefónicas u otros mensajes maliciosos de apariencia convincente a los empleados, incluso en las grandes organizaciones.
- La ubicación física de una empresa. Los edificios no son tan comunes para los hackers como antes, en parte porque las grandes corporaciones han implementado sistemas y protocolos de seguridad, pero también porque es mucho más fácil acceder a los datos de la empresa a través de la tecnología. Sin embargo, todavía es posible que un atacante pida a un empleado que sujete la puerta o robe las credenciales de entrada para entrar en el edificio y robar información.
Los vectores de ataque, mediante los cuales los atacantes manipularán una superficie de ataque, incluyen:
- Los emails hechos por el pirata informático parecen provenir de una dirección de correo electrónico legítima (generalmente la dirección de correo electrónico de la empresa) para persuadir a los empleados de que hagan clic en enlaces, proporcionen información personal o les envíen dinero.
- Llamadas de teléfono.
- Mensajes de texto.
- Aplicaciones de terceros. No todas las aplicaciones son fiables, y algunas empresas de alto perfil han tenido violaciones de datos debido a que una aplicación de terceros no maneja la información de forma segura.
- Enlaces maliciosos. Estos pueden ser enviados a través de cualquier mensaje y descargar malware en un dispositivo una vez que se hace clic.
- Conexiones Wi-Fi no seguras. Los atacantes pueden espiar fácilmente las sesiones de Internet a través de las redes Wi-Fi públicas.
- Aplicaciones y servicios en la nube. El uso no autorizado de aplicaciones y servicios («IT en la sombra«) y la configuración incorrecta de la seguridad en la nube son otras formas en las que pueden ocurrir ataques cibernéticos.
Métodos para asegurar las superficies de ataque
Implantación de protocolos de autenticación: las empresas deben implantar una tecnología de autenticación multifactorial para las cuentas de alto nivel y cualquier plataforma que albergue datos sensibles. Cada empleado que intente entrar en una cuenta de este tipo debe proporcionar múltiples formas de autenticación.
Desarrollar un enfoque de mínimo privilegio: las empresas deben ser siempre conscientes de quién accede a sus datos y deben reevaluar regularmente quién necesita absolutamente el acceso. Las violaciones de datos suelen producirse porque un atacante ha entrado en una cuenta de acceso privilegiado. A menudo, las empresas dan a demasiados empleados acceso a cuentas que no necesitan para hacer su trabajo, y eso es una responsabilidad.
Desarrollar protocolos para el trabajo a distancia: si los empleados acceden a los datos de la empresa a distancia, ¿qué normas deben utilizar para proteger sus dispositivos? Podrían aplicarse normas como el uso de una VPN en lugar de redes Wi-Fi públicas.
Monitorear el tráfico de red dentro de la empresa: las empresas deben comprender cómo los empleados utilizan los equipos de la empresa y las redes Wi-Fi. Si visitan con frecuencia sitios web sospechosos, es más probable que hagan clic en enlaces maliciosos o proporcionen direcciones de correo electrónico de la empresa a los estafadores.
Formar a los empleados para que sean conscientes de la ingeniería social: las empresas reciben con frecuencia correos electrónicos sospechosos con enlaces maliciosos que parecen proceder de la empresa pero que no lo son. Caer presa de las tácticas de ingeniería social podría requerir la resolución de problemas en un ordenador infectado o, en el peor de los casos, costar a la empresa millones de dólares y su reputación.
Internet de los objetos como superficie de ataque
La gran cantidad de dispositivos inteligentes que ahora se conectan a Internet, por desgracia, no han sido diseñados con los mismos protocolos de seguridad que los teléfonos y los ordenadores. No acceden a las VPN, y es más difícil emplear la autenticación multifactor en un sensor inteligente, por ejemplo. Los dispositivos inteligentes incluyen cualquier elemento que pueda conectarse a Wi-Fi (o a otro dispositivo inteligente, como luces, puertas o dispensadores de bebidas).
Los dispositivos del internet de las cosas se consideran en general uno de los vetos de las grandes empresas en su intento de acabar con las vulnerabilidades de seguridad. Sin embargo, hay algunas medidas que las empresas pueden tomar para mitigar los riesgos del IoT. Probar los dispositivos IoT en un intento de hackeo en toda la empresa sería una forma de exponer las debilidades existentes; contratar a una empresa de hackeo de terceros proporciona una buena formación y oportunidades de mejora. Las empresas también deberían desarrollar un plan de seguridad para los dispositivos IoT en la oficina (y fuera de ella si un trabajador remoto tiene dispositivos IoT no seguros en la misma red Wi-Fi que su ordenador de trabajo, por ejemplo).
