La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad Cibernética e Infraestructura (CISA) compartieron información crucial sobre las principales configuraciones de ciberseguridad que se encuentran en las redes de grandes organizaciones.
La información recopilada proviene de las operaciones conjuntas de los equipos Red y Blue de ambas agencias, llevadas a cabo en diversas evaluaciones y en el contexto de intervenciones ante incidentes.
«Estos equipos han evaluado la postura de seguridad de muchas redes en el Departamento de Defensa (DoD), la Rama Ejecutiva Federal Civil (FCEB), gobiernos estatales, locales, tribales y territoriales (SLTT) y el sector privado», dijo la NSA.
Estas configuraciones incorrectas pueden ser explotadas por ciberdelincuentes con diferentes objetivos, incluyendo acceso no autorizado y robo de información sensible.
Lee también: Campañas de espionaje mediante Apps maliciosas en Google Play Store y Samsung Galaxy Store
Durante sus evaluaciones y actividades de respuesta a incidentes, los equipos de la NSA y CISA identificaron diez de las configuraciones más comunes que presentan riesgos significativos para la seguridad de las redes:
- Configuraciones predeterminadas de software y aplicaciones: Muchos sistemas aún utilizan ajustes predefinidos que pueden ser fácilmente explotados por los atacantes.
- Separación inadecuada de privilegios de usuario/administrador: La correcta gestión de quién tiene acceso a qué es esencial, y las malas prácticas en este ámbito pueden dar lugar a vulnerabilidades.
- Monitoreo interno insuficiente de la red: La falta de supervisión efectiva dentro de la red deja a las organizaciones vulnerables a las amenazas no detectadas.
- Falta de segmentación de red: Las redes no adecuadamente segmentadas permiten a los atacantes moverse con facilidad una vez que han obtenido acceso.
- Gestión deficiente de parches: No mantener actualizado el software puede dejar sistemas expuestos a vulnerabilidades conocidas.
- Bypass de controles de acceso al sistema: Los ciberdelincuentes pueden eludir las protecciones y acceder a sistemas críticos.
- Métodos de autenticación multifactor débiles o mal configurados: La autenticación débil o incorrecta puede proporcionar una puerta de entrada para atacantes.
- Listas de control de acceso (ACLs) insuficientes en comparticiones de red y servicios: La falta de restricciones adecuadas en el acceso a datos puede llevar a la exposición no autorizada.
- Higiene deficiente de credenciales: Las contraseñas débiles o mal gestionadas representan un riesgo sustancial para la seguridad.
- Ejecución de código no restringida: Las configuraciones que permiten la ejecución no controlada de código son peligrosas y pueden ser explotadas por atacantes.
Lee también: El primer gusano informático de la historia
Estas configuraciones incorrectas subrayan la necesidad urgente de que los fabricantes de software adopten enfoques seguros desde el principio, minimizando así los riesgos de compromiso.
Eric Goldstein de CISA insta a los fabricantes a implementar medidas proactivas, como integrar controles de seguridad desde las primeras etapas de desarrollo y garantizar que las contraseñas predeterminadas no se utilicen. Además, enfatiza la importancia de hacer de la autenticación multifactor una práctica estándar.
La NSA y CISA alientan a los defensores de la red a implementar las medidas de mitigación recomendadas, incluyendo eliminar credenciales predeterminadas, asegurar actualizaciones regulares y controlar de cerca las cuentas administrativas.
Además, instan a las organizaciones a probar y validar sus programas de seguridad contra los comportamientos de amenaza descritos en el marco MITRE ATT&CK para Empresas para garantizar una defensa efectiva contra las amenazas cibernéticas.
