ACTUALIZACIONES DE SEGURIDAD
Otra vez las actualizaciones… Esas molestas actualizaciones, con demasiada frecuencia etiquetadas como “restrictivas”. Sin embargo, estas actualizaciones existen para nuestra propia seguridad. Y aunque a menudo es difícil tomar decisiones razonables de seguridad cuando van en detrimento de la producción, la actualización de los sistemas, aplicaciones y equipos es algo que no se debe posponer para mañana. Al contrario, debería ser un aspecto central de la política de seguridad de cualquier empresa. Sin embargo, para evitar problemas o efectos secundarios que puedan impactar negativamente el negocio, los procedimientos de actualización deben adaptarse a la criticidad de los sistemas y, en su caso, las actualizaciones deben planificarse y prepararse con antelación.
¿Por qué realizar actualizaciones? ¿Son las actualizaciones absolutamente vitales? ¿No pueden demorarse un poco?
Estas preguntas se hacen con demasiada frecuencia en muchas empresas, para quienes la higiene digital, la protección de TI/OT y las mejores prácticas de seguridad no siempre se aplican en mantener los sistemas al día. Y tampoco son siempre una prioridad. Para muchas empresas, la continuidad del negocio y las capacidades de producción siguen siendo su prioridad número uno, y la cuestión de las vulnerabilidades a menudo pasa a un segundo plano.
Tan cierto es que no podemos paralizar la producción de una empresa, como también que los ciberataques no van a detenerse. Mientras haya vulnerabilidades, habrá ataques. ¡Y las actualizaciones son imprescindibles para corregir estas vulnerabilidades y defenderse de estos ataques! Aunque su eficiencia e importancia están bien demostradas, el camino hacia las buenas prácticas es difícil y sinuoso. Dentro de las empresas, una combinación de prioridades urgentes y ambivalencia provoca que muchas veces los requisitos operativos están por delante de la lucha contra los riesgos cibernéticos.
Actualizaciones desatendidas y sistemas vulnerables. La cruda realidad
Los errores y vulnerabilidades están bien documentados y publicados por las partes implicadas en materia de ciberseguridad, y pueden variar desde errores menores hasta vulnerabilidades críticas. Y si esta información está a disposición de las empresas, significa que los atacantes también tienen acceso a ella… Los sistemas que no han sido actualizados son, por tanto, especialmente vulnerables a los ciberataques. Los atacantes utilizan técnicas de identificación de equipos o “footprinting”, es decir, escaneos de las redes y de los entornos que les permiten identificar las máquinas, para encontrar fácil y rápidamente los equipos y puestos de trabajo vulnerables, en este caso los que no han sido actualizados. Los atacantes aprovechan sistemas que contengan vulnerabilidades conocidas y por tanto fácilmente explotables.
El programa de ransomware (secuestro de datos mediante cifrado) Wannacry ilustra perfectamente cuán vulnerables pueden ser las estaciones de trabajo no actualizadas. En mayo de 2017, este ransomware pudo propagarse gracias a una vulnerabilidad en entornos Windows, en sistemas que no habían corregido el fallo de seguridad. Sin embargo, dos meses antes del ataque, Microsoft había publicado un parche de seguridad para esta vulnerabilidad y advirtió públicamente sobre su gran impacto. El balance final: 150 países quedaron paralizados por el ciberataque Wannacry y las pérdidas financieras se calculan hoy en miles de millones de dólares.
Aunque esto ocurrió hace más de cinco años, Wannacry ofrece una imagen de la realidad que todavía vivimos hoy: muchas empresas aún no han identificado la importancia de realizar actualizaciones y de hacerlo lo antes posible para reducir la ventana de oportunidad de los atacantes. En mayo de 2019, Microsoft volvió a publicar detalles de un fallo de seguridad en uno de los componentes de su sistema. Bautizado como “BlueKeep” este fallo podría haber tenido el mismo impacto que Wannacry si se hubiera explotado a gran escala. Aunque los investigadores no pueden confirmar que BlueKeep fuera explotado a gran escala, el riesgo ciertamente fue real. Porque un mes después de la revelación del fallo y la publicación del parche por parte de Microsoft, casi un millón de sistemas seguían expuestos y vulnerables. Todos ellos posibles puntos de entrada para el ecosistema de la ciberdelincuencia…
Ausencia de Procedimientos regulares de actualización
Algunas empresas no realizan actualizaciones porque no cuentan con los procedimientos establecidos para proporcionar un marco que garantice que se realicen correctamente (como la falta de entornos de prueba, por ejemplo) y, por lo tanto, las actualizaciones se acumulan y, con ellas, los riesgos. Un chequeo regular, supondrá que solo será necesario hacer algunas pocas actualizaciones cada vez. Por el contrario, si dejamos pasar el tiempo, las tareas se acumulan y el riesgo no para de aumentar.”
El fantasma de Wannacry parece estar siempre al acecho: en 2020 se detectó otro fallo importante relacionado con el sistema operativo Windows, denominado SMBGhost. Otra vulnerabilidad del mismo protocolo que utiliza Wannacry, y cuya explotación pudo haber sido igualmente catastrófica. Los ataques dirigidos a sistemas no actualizados siguen aumentando y lo único cierto es que no cesarán en el futuro. Y por el contrario, las actualizaciones son cada vez más sencillas de realizar y suelen estar bien documentados. Por lo tanto, disponer de procedimientos establecidos de actualización debería ser considerada una prioridad para todas las empresas, independientemente del sector empresarial, y debería convertirse en una parte arraigada de la cultura de cualquier organización.
Conciliar la ciberseguridad y los requisitos operativos: entre el Santo Grial y la eterna paradoja
Las actualizaciones de software y equipos son y serán siempre objeto de presiones contrapuestas, ya que tiene el doble objetivo de garantizar la seguridad a la vez que respetar las limitaciones operativas inherentes a cualquier actividad.
Porque si bien las actualizaciones existen para corregir errores y parchear vulnerabilidades críticas, también pueden generar problemas para las empresas. En la industria y las redes operativas (OT), las actualizaciones son particularmente impopulares porque pueden generar efectos indeseables, como una parada prolongada de la producción. Incluso una vez completada, podría reiniciar el sistema en un momento crítico por lo que requiere una atención cuidadosa en el mundo industrial. A través del efecto rebote, los impactos imprevistos pueden provocar una caída de la producción, lo que tendría un efecto adverso en la facturación. “Evaluar la necesidad de una actualización mediante un análisis de riesgos y planificarla midiendo el impacto en la producción son, por tanto, aspectos imprescindibles a tener en cuenta en la industria. Por este motivo, las paradas de mantenimiento deben prepararse y programarse cuidadosamente en el mundo industrial”.
Pero las limitaciones no se encuentran sólo en TO. En términos más generales, las actualizaciones pueden impactar cualquier empresa, afectando por ejemplo a la página web corporativa que deja de estar disponible, o bien suponer una pérdida de tiempo para los usuarios que se ven obligados a reiniciar su equipo de trabajo. Igualmente, pueden afectar al software o a las aplicaciones actualmente en desarrollo, ¡para disgusto de los desarrolladores! – o bien afectar a las aplicaciones ya implementadas que dejarán de funcionar de forma correcta. Tanto para el jefe de una planta industrial, como para un desarrollador web o para un simple mortal trabajando en la oficina o remotamente, las actualizaciones no son particularmente bienvenidas y su implementación puede ser una fuente de preocupación y de problemas. Abordar correctamente una actualización es una cuestión tan compleja como paradójica.
La cuestión del impacto de las actualizaciones y como minimizarlo
Entonces, ¿deberíamos o no deberíamos actualizar? ¡Esa es la gran pregunta! Y no de menor importancia debido a las implicaciones y problemas derivados de ambas alternativas… Según las limitaciones operativas y los entornos de trabajo (entornos de producción, aplicaciones utilizadas, etc.), las actualizaciones pueden resultar muy complejas o incluso imposibles. “Se requiere de un trabajo concienzudo antes de aplicar una actualización para poder determinar si podría afectar al sistema o al entorno de trabajo. Para entornos sensibles y sistemas críticos, es imprescindible prever un entorno de preproducción para testar las actualizaciones previamente e identificar cuando puedan provocar un mal funcionamiento del sistema o cambios en su forma de trabajar”. En la mayoría de los casos, se requiere el despliegue de una arquitectura de alta disponibilidad (o incluso réplicas o “gemelos digitales” u otras formas de virtualización) para que la pruebas sean fiables.
Distintos procedimientos de actualización en función de la criticidad del entorno
Hemos visto que es tan importante no ignorar las actualizaciones como abordarlas con la debida planificación y preparación, y de forma regular para evitar que se acumule el trabajo y los riesgos. Pero ¿cómo hacerlo? ¿qué procedimientos serían los más aconsejables? Para responder a esta pregunta debemos considerar la criticidad del entorno. En entornos no críticos, se pueden obtener indudables ventajas al activar actualizaciones automáticas (PC, portátiles, etc.), aunque también es importante poder comprobar la fiabilidad para limitar los riesgos. Una práctica habitual es usar un grupo reducido de usuarios de prueba para tal fin. En TI, las actualizaciones automáticas se pueden activar para estaciones de trabajo o software de oficina, aunque es recomendable permitir cierta flexibilidad para posponer la actualización al momento más conveniente.
En cambio, para los servidores o procesos críticos, tanto si estamos en entornos IT como OT, no es recomendable realizar actualizaciones automáticas, ya que las consecuencias deben analizarse meticulosamente y planificar las actualizaciones con antelación.
De hecho, en algunos casos, el análisis previo puede indicarnos que es imposible realizar actualizaciones como tales, como cuando una actualización da como resultado que una aplicación se vuelva incompatible, o bien debido a un sistema operativo obsoleto que ya no dispone de actualizaciones o en el caso de sistemas al final de su vida operativa, para los cuales la actualización y migración al nuevo sistema se vuelve excesivamente costoso”. En estos casos, es importante ser plenamente consciente del riesgo que se asume y buscar formas de mitigación alternativa del riesgo (herramientas de parcheo “virtual”, otras medidas de seguridad complementarias como aislar o segmentar los equipos en fin de vida, etc.)
En cualquier caso, los procedimientos de actualización (frecuencia de actualización, decisión de activar o no las actualizaciones automáticas, etc.) son responsabilidad de la empresa y no deben ser delegados al libre albedrío de los usuarios ni de los administradores.
Desarrollar una “cultura de actualización”
Aunque las empresas son cada vez más conscientes de la necesidad de las actualizaciones, no siempre son capaces de evaluar y comprender los riesgos de no implementarlas. No todas las empresas comprenden hasta qué punto pueden ser blanco de un ciberataque. Esto ocurre de forma frecuente en el caso de la TO, en la que la cultura de “ciberseguridad” no siempre está completamente desarrollada al tratarse de sistemas que han estado tradicionalmente aislados en el pasado y por tanto sin exposición al riesgo. También es frecuente ignorar que la fuente del ataque puede venir de un entorno aparentemente de confianza, como puede ser un proveedor o a través de la cadena de suministro o de la propia red de IT de la empresa.
La primera piedra para implementar una cultura de ciberseguridad es asumir que “no se trata de si vas a ser atacado, sino de cuándo”. Y para anticipar ese momento, las actualizaciones deben formar parte esencial de los procedimientos de operación. Igualmente implica invertir esfuerzos para mantenerse al día en las últimas tendencias, técnicas de ataques y técnicas y herramientas de ciberseguridad.
«Aprender de la experiencia» es una práctica que aporta muchos beneficios. Se estudian casos concretos de problemas reales, se obtienen las lecciones aprendidas y se comprende que los riesgos no sólo son teoría y que la probabilidad es real. Los ejercicios de simulación de ataques utilizando vulnerabilidades de sistemas no parcheados, permiten igualmente concienciar a usuarios y administradores de su importancia en la práctica.
El papel de los fabricantes de equipos y aplicaciones, y de otros organismos
Además de contribuir a la toma de conciencia, los fabricantes de equipos y aplicaciones, deben facilitar y simplificar los procesos de actualización, brindando soporte durante el proceso, y publicando la información de forma clara y transparente, incluyendo la valoración de criticidad. Y desconfiar de aquellos que no lo hagan.
En algunos países se han implementado medidas adicionales más coercitivas. Un ejemplo lo tuvimos en la amenaza de Zerologon, un fallo de seguridad que afectó a servidores Windows permitiendo a un atacante tomar el control de máquinas vulnerables y, en particular, de controladores de dominio y cuya severidad obtuvo la puntuación máxima de 10 sobre 10 en el “Common Vulnerability Scoring System” o CVSS (un estándar abierto documentado por el FIRST – Forum of Incident Response and Security Teams). En tal contexto, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA) exigió a todas las agencias gubernamentales del país, dada la criticidad, a aplicar el parche para corregir esta vulnerabilidad antes de una fecha o deadline concreto (ver enlace).
Los CERTs o Centros de Respuesta a Incidentes de Seguridad, contribuyen a evitar que se produzca una situación de este tipo suministrando avisos e información clara sobre vulnerabilidades críticas. En el caso de España, el CCN–CERT, miembro del FIRST, promueve el intercambio de información técnica sobre ciberamenazas y tiene en su web una sección de Avisos y Alertas. Al igual que los avisos del Instituto Nacional de Ciberseguridad, INCIBE, deberían ser de obligada revisión como parte de los procedimientos de actualizaciones de seguridad, especialmente los avisos de actualizaciones críticas
Conclusiones y acciones a tomar
Aunque no podemos ignorar las actualizaciones debemos evitar causar un impacto indeseable en los sistemas y en el negocio. Para ello debemos abordarlas con la debida planificación y preparación, y de forma regular para evitar que se acumule el trabajo y los riesgos. Los procedimientos de actualización han de adaptarse a la criticidad: en entornos no críticos, se pueden activar las actualizaciones automáticas pero en otro caso es necesario analizar el impacto de forma previa y meticulosa, mediante entornos de simulación o réplica (gemelo digital) para evitar interrumpir o impactar en sistemas y procesos críticos. Cuando el impacto lo justifique podría descartarse aplicar una actualización, pero siempre asumiendo los riesgos y tratando de implementar acciones alternativas de mitigación del riesgo. En cualquier caso, los procedimientos son responsabilidad de la empresa y no deben delegarse a la discreción de usuarios o administradores.
Las actualizaciones de seguridad son una parte esencial de la cultura de seguridad que se debe plasmar en acciones concretas para aprender de la experiencia propia y ajena, así como de las recomendaciones en materia de actualizaciones de fabricantes y otros organismos nacionales e internacionales.
Autor:
Antonio Martínez Algora
Ingeniero Senior de Ciberseguridad – Stormshield The European Cybersecurity Choice