La explotación de vulnerabilidades ha sido durante mucho tiempo una táctica popular entre los cibercriminales y lo es cada vez más. Según una estimación, los casos observados de explotación de vulnerabilidades que dieron lugar a filtraciones de datos se triplicaron anualmente en 2023. Y los ataques dirigidos a las brechas de seguridad siguen siendo una de las tres formas principales en  se inician ataques de ransomware.

A medida que el número de las CVE sigue alcanzando nuevos máximos históricos, las organizaciones se esfuerzan por hacerles frente. Para ello, necesitan un enfoque más coherente, automatizado y basado en el riesgo para mitigar las amenazas relacionadas con la vulnerabilidad.

Sobrecarga de errores

Las vulnerabilidades del software son inevitables. Mientras haya humanos creando código informático, el error humano se colará en el proceso, dando lugar a los fallos que los malos actores se han vuelto tan expertos en explotar. Sin embargo, hacerlo a gran velocidad y escala abre una puerta no sólo al ransomware y al robo de datos, sino también a sofisticadas operaciones de espionaje alineadas con el Estado, ataques destructivos y mucho más.

Por desgracia, el número de CVE que se publican cada año es obstinadamente alto, gracias a varios factores:

  • El desarrollo de nuevo software y la integración continua conducen a una mayor complejidad y a actualizaciones frecuentes, lo que amplía los posibles puntos de entrada para los atacantes y, en ocasiones, introduce nuevas vulnerabilidades. Al mismo tiempo, las empresas adoptan nuevas herramientas que a menudo dependen de componentes de terceros, bibliotecas de código abierto y otras dependencias que pueden contener vulnerabilidades no descubiertas.
  • A menudo se da prioridad a la velocidad sobre la seguridad, lo que significa que el software se desarrolla sin las comprobaciones de código adecuadas. Esto permite que los errores se cuelen en el código de producción, a veces procedentes de los componentes de código abierto utilizados por los desarrolladores.
  • Los investigadores éticos están redoblando sus esfuerzos, gracias en parte a la proliferación de programas de recompensas por fallos gestionados por organizaciones tan diversas como el Pentágono y Meta. Estos programas son divulgados y parcheados responsablemente por los proveedores en cuestión, pero si los clientes no aplican estos parches, quedarán expuestos a los exploits
  • Los vendedores comerciales de programas espía operan en una zona gris desde el punto de vista legal, vendiendo malware y exploits para que sus clientes -a menudo gobiernos autocráticos- espíen a sus enemigos. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) calcula que el "sector de la ciberintrusión" comercial se duplica cada diez años
  • La cadena de suministro de la ciberdelincuencia está cada vez más profesionalizada, con intermediarios de acceso inicial (IAB) que se centran exclusivamente en penetrar en las organizaciones víctimas, a menudo a través de la explotación de vulnerabilidades. Un informe de 2023 registró un aumento del 45% de los IAB en foros de ciberdelincuencia, y una duplicación de los anuncios de IAB en la web oscura en 2022 en comparación con los 12 meses anteriores

¿Qué tipos de vulnerabilidades están causando furor?

El panorama de las vulnerabilidades presenta cambios y continuidad. Muchos de los sospechosos habituales aparecen en la lista de MITRE de los 25 fallos de software más comunes y peligrosos observados entre junio de 2023 y junio de 2024. Incluyen las categorías de vulnerabilidades más comunes, como secuencias de comandos en sitios cruzados, inyección SQL, uso después de la liberación, lectura fuera de los límites, inyección de código y falsificación de solicitud en sitios cruzados (CSRF). La mayoría de los ciberdefensores deberían estar familiarizados con ellas y, por lo tanto, puede que requieran menos esfuerzo para mitigarlas, ya sea mediante la mejora del endurecimiento/protección de los sistemas y/o la mejora de las prácticas DevSecOps.

Sin embargo, hay otras tendencias que quizá sean aún más preocupantes. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) afirma en su lista de 2023 Top Routinely Exploited Vulnerabilities que la mayoría de estos fallos se explotaron inicialmente como un día cero. Esto significa que, en el momento de la explotación, no había parches disponibles, y las organizaciones tienen que recurrir a otros mecanismos para mantenerse a salvo o minimizar el impacto. Por otra parte, los bugs de baja complejidad y que requieren poca o ninguna interacción del usuario también suelen verse favorecidos. Un ejemplo son los exploits zero-click que ofrecen los vendedores comerciales de spyware para desplegar su malware.

Otra tendencia es la de atacar productos basados en el perímetro con la explotación de vulnerabilidades. El Centro Nacional de Ciberseguridad (NCSC) ha advertido de un repunte de este tipo de ataques, a menudo con exploits de día cero dirigidos a aplicaciones de transferencia de archivos, cortafuegos, VPN y ofertas de gestión de dispositivos móviles (MDM). Según afirma:

"Los atacantes se han dado cuenta de que la mayoría de los productos expuestos al perímetro no son 'seguros por diseño', por lo que las vulnerabilidades se pueden encontrar mucho más fácilmente que en el software cliente popular. Además, estos productos no suelen tener un registro decente (ni pueden investigarse fácilmente desde el punto de vista forense), lo que los convierte en puntos de apoyo perfectos en una red en la que es probable que todos los dispositivos cliente estén ejecutando funciones de detección de alto nivel."

Empeorar las cosas

Como si esto no fuera suficiente para preocupar a los defensores de la red, sus esfuerzos se complican aún más por:

  • La velocidad de la explotación de vulnerabilidades. La investigación de Google Cloud estima un tiempo medio de explotación de sólo cinco días en 2023, frente a una cifra anterior de 32 días
  • La complejidad de los sistemas de TI y OT/IoT de las empresas actuales, que abarcan entornos híbridos y multi-nube con tecnología heredada a menudo silenciada
  • Parches de proveedores de baja calidad y comunicaciones confusas, lo que lleva a los defensores a duplicar esfuerzos y significa que a menudo son incapaces de medir eficazmente su exposición al riesgo
  • Un retraso en la NVD del NIST que ha dejado a muchas organizaciones sin una fuente crítica de información actualizada sobre las últimas CVE

Según un análisis de Verizon del catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA:

  • A los 30 días, el 85% de las vulnerabilidades no se habían corregido
  • A los 55 días, el 50% de las vulnerabilidades no se habían corregido
  • A los 60 días, el 47% de las vulnerabilidades no se habían corregido

Tiempo de aplicación de parches

La verdad es que simplemente hay demasiadas CVE publicadas cada mes, en demasiados sistemas, para que los equipos de TI y seguridad de las empresas puedan parchearlas todas. Por lo tanto, la atención debe centrarse en priorizar eficazmente según el apetito de riesgo y la gravedad. Considere las siguientes características para cualquier solución de gestión de vulnerabilidades y parches:

  • Escaneo automatizado de los entornos empresariales en busca de CVE conocidas
  • Priorización de vulnerabilidades en función de la gravedad
  • Informes detallados para identificar software y activos vulnerables, CVE relevantes y parches, etc
  • Flexibilidad para seleccionar activos específicos para la aplicación de parches en función de las necesidades de la empresa
  • Opciones de aplicación de parches automatizada o manual

Para las amenazas de día cero, considere la detección avanzada de amenazas que desempaqueta y escanea automáticamente los posibles exploits, ejecutándolos en un sandbox basado en la nube para comprobar si son maliciosos o no. Los algoritmos de aprendizaje automático pueden aplicarse al código para identificar nuevas amenazas con un alto grado de precisión en cuestión de minutos, bloqueándolas automáticamente y proporcionando un estado de cada muestra.

Otras tácticas podrían incluir la microsegmentación de las redes, el acceso a la red de confianza cero, la supervisión de la red (para detectar comportamientos inusuales) y sólidos programas de concienciación sobre ciberseguridad.

A medida que los actores de las amenazas adopten sus propias herramientas de IA en mayor número, les resultará más fácil buscar activos vulnerables que estén expuestos a ataques a través de Internet. Con el tiempo, incluso podrán utilizar GenAI para ayudar a encontrar vulnerabilidades de día cero. La mejor defensa es mantenerse informado y mantener un diálogo regular con sus socios de seguridad de confianza.