De vulnerabilidades que provocan incidentes de ciberseguridad estaremos hablando en este artículo con Miguel Gutiérrez Rodríguez, Director General de Informática del Ministerio de Comunicaciones de Cuba.
La identificación de las vulnerabilidades del sistema y el establecimiento de medidas que eviten que las distintas amenazas posibles exploten dichas vulnerabilidades, permite disminuir los incidentes de ciberseguridad. En este sentido, ¿cuáles son los tipos de vulnerabilidad conocidos?
Como se refleja en el artículo 9 del Decreto No. 360 de julio de 2019, sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional, la vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de un sistema.
En correspondencia con su naturaleza y la manera en que se producen se distinguen diferentes tipos de vulnerabilidades:
Vulnerabilidad física: Se encuentra en el nivel del edificio o entorno físico del sistema. Se relaciona con la posibilidad de entrar o acceder físicamente al sistema para robar, modificar o destruir el mismo. Por ejemplo, ventanas si rejas, cercado perimetral deficiente y falta de compartimentación.
Vulnerabilidad natural: Grado en que el sistema puede verse afectado por desastres naturales o ambientales que puedan dañarlos, como inundaciones, incendios, rayos, terremotos, fallos eléctricos, polvo, humedad y temperatura excesiva.
Vulnerabilidad del hardware y el software: Algunos dispositivos pueden ser más vulnerables que otros. Ciertos fallos o debilidades del software del sistema hacen más fácil acceder al mismo y lo hacen menos fiable. Aquí se incluyen todos los errores en los sistemas operativos, u otros tipos de aplicaciones que permiten atacarlos. Un ejemplo frecuente de este tipo de vulnerabilidad se observa en los dispositivos magnéticos utilizados para las copias de seguridad, que obliga en la mayoría de los casos, a mantener más de una versión por si se producen fallos.
Vulnerabilidad de los medios o dispositivos: Se refiere a la posibilidad de robar o dañar los equipos que forman parte de la infraestructura computacional, incluyendo sus componentes y medios removibles, por ejemplo, discos, dispositivos USB y otros.
Vulnerabilidad por emanación: Los dispositivos eléctricos y electrónicos emiten radiaciones electromagnéticas. Existen equipos y medios de interceptar estas emanaciones y descifrar o reconstruir la información almacenada o transmitida, por lo que este tipo de vulnerabilidad cobra mayor importancia cuando se procesa información de mucho valor que requiere un acceso fuertemente restringido.
Vulnerabilidad de las comunicaciones: La conexión de las computadoras a redes extiende la vulnerabilidad del sistema. Se incrementa el nivel de riesgo a que está sometido, al aumentar la cantidad de personas que puede tener acceso al mismo o intentar tenerlo. También se añade el riesgo de intercepción de las comunicaciones, no importa si se emplean enlaces alámbricos o inalámbricos.
Vulnerabilidad humana: El personal que administra y utiliza el sistema puede representar la mayor vulnerabilidad. Toda la seguridad del sistema descansa sobre su administrador, que tiene acceso al máximo nivel y sin restricciones. Los usuarios del sistema también representan un riesgo ya que son los que pueden acceder al mismo, tanto presencialmente como mediante conexión remota.
Los usuarios que posean baja preparación para el empleo de los sistemas representan una vulnerabilidad que se manifiesta en una deficiente explotación y errores de operación.
¿Cómo las vulnerabilidades en los sistemas informáticos pueden dar lugar a un incidente de seguridad?
Las vulnerabilidades de cualquier sistema o aplicación adquieren su verdadera connotación en el momento en que pueden originar un incidente de seguridad, ya sea como resultado de un hecho accidental o intencional.
En Internet varios sitios se dedican a buscar vulnerabilidades en los sistemas y publicarlas. Existen personas que desarrollan programas denominados exploit para generar incidentes de seguridad a partir de las vulnerabilidades, mientras que los fabricantes tratan de enmendarla a través de soluciones conocidos como parches de seguridad.
El problema está en que desde el momento en que la vulnerabilidad es conocida hasta que es aplicada una solución, el sistema se encuentra expuesto a los ataques utilizando exploit hechos especialmente para esa vulnerabilidad. Hoy el tiempo entre el descubrimiento de una vulnerabilidad y la aparición de una nueva técnica que explote la misma es muy corto.
¿En el caso de Cuba, cuáles son los aspectos que pueden convertirse en vulnerabilidades si no se le presta una debida atención?
A partir de nuestras condiciones considero que es imprescindible prestarle atención a las siguientes cuestiones:
-
- Implementación de las medidas de seguridad tecnológica que acompañen coherentemente los procesos de informatización del sector.
- Fortalecimiento de las estructuras organizativas que atienda las funciones de ciberseguridad.
- Separación física entre las redes.
- Preparación en temas de regulaciones vigentes o técnicas respecto a ciberseguridad.
- Idoneidad en el personal que ocupan plazas de administración y supervisión de redes.
- Dar la prioridad necesaria a la conducción de la ciberseguridad.
- Elevar la percepción de riesgos.
- Análisis con rigor de las causas y condiciones que pueden favorecer la ocurrencia de incidentes de ciberseguridad.
Los controles realizados por la Oficina de Seguridad de las Redes Informáticas (OSRI), a varias redes cubanas en el año 2019, dio como resultado que un 30,4% de las mismas obtuvieron una calificación de vulnerable o muy vulnerable. Si bien es cierto que existe una mejoría en relación a lo acontecido en años anteriores, es preciso aplicar con más rigor las medidas dirigidas a fortalecer la ciberseguridad.
Para que se tenga una idea de la evolución, basta decir que en el año 2013 los controles realizados en 421 entidades determinaron que un 44% tenían su seguridad informática vulnerable o muy vulnerable.
La vulnerabilidad más notificada fue el MS17-010, que afecta a la versión 1.0 del protocolo SMB de la plataforma Windows, permitiendo la ejecución de código de manera remota en el sistema vulnerable. Se hizo mundialmente famosa al ser publicada por la organización Shadow Brokers y luego, por ser explotada por el ransomware WannaCry para introducirse en distintos sistemas de todo el mundo.