¿Ambivalente sobre los parches? Todas las pruebas en un solo lugar
A veces, acertar con los 101 se reduce a la seriedad con la que nos tomamos el asunto, a si le damos el nivel de prioridad adecuado. Por ejemplo, los 101 de la salud: sabemos que no debemos comer demasiada comida rápida y que debemos hacer ejercicio, pero sin las pruebas en la cara, a veces no lo hacemos bien.
También puede ser un equilibrio de prioridades. Cuando se aplican parches de seguridad, ¿dónde se pone el énfasis? ¿En la disponibilidad o en la seguridad?
La aplicación de parches contra las vulnerabilidades de ciberseguridad es una de esas cosas básicas de ciberseguridad que no siempre se hace de forma coherente. Usted sabe que debe hacerlo, nosotros sabemos que debe hacerlo... pero las vulnerabilidades conocidas siguen sin parchearse.
En TuxCare sabemos lo importante que es la aplicación de parches, y se lo recalcamos constantemente, pero el argumento de la aplicación de parches adquiere aún más fuerza cuando se observan las pruebas. En este artículo, le ofrecemos todas las pruebas en un solo lugar.
Una historia de números
Las estadísticas pueden hablar en voz alta y, a veces, contrastar con las corazonadas que tenemos sobre algo: las estadísticas pueden dibujar un panorama bastante peor de lo que instintivamente esperábamos.
Tomemos como ejemplo un informe reciente de Ponemon para ServiceNow, titulado Estado actual de la respuesta a vulnerabilidades. Durante el periodo cubierto por el estudio, el 48% de las empresas han sufrido una violación de datos, y eso no son buenas noticias se mire como se mire.
Pero aquí viene lo verdaderamente sorprendente. El informe afirma que: "El 57% de los encuestados que informaron de una brecha afirmaron que la brecha se produjo debido a una vulnerabilidad para la que existía un parche pero no se había aplicado. El 34% dice que sabía que era vulnerable antes de que se produjera la brecha".
Piénsalo un momento.
Un informe de un conocido proveedor de renombre afirma que la mitad de las empresas encuestadas fueron pirateadas recientemente, y de ese grupo, la mayoría lo fueron debido a una mala higiene en la aplicación de parches.
Cuenta la historia completa de los "asuntos de parches", en un solo informe.
El cuerpo de los números
Hay más de un informe preocupante, por supuesto. De hecho, hay toda una serie de estadísticas que respaldan la necesidad de aplicar parches de forma sistemática, y muchas apuntan a las consecuencias de no hacerlo.
Por ejemplo en un estudio de Positive Technologies, los investigadores descubrieron la alarmante estadística de que el 84% de las empresas tienen vulnerabilidades de alto riesgo en sus redes externas. Una vez más, el informe pone de manifiesto la falta de higiene en la aplicación de parches, ya que más de la mitad de estas vulnerabilidades podrían eliminarse simplemente instalando actualizaciones.
¿Notas el tema de las vulnerabilidades sin parchear? En el mismo informe de Positive Technologies, la organización descubrió que el 26% de las empresas siguen siendo vulnerables al ransomware WannaCry, ya que aún no han parcheado la vulnerabilidad que explota.
Hay otro aspecto importante a tener en cuenta. Las vulnerabilidades están en todas partes, en el sentido más literal de la palabra. El Informe sobre el estado de la seguridad del software de Veracode, publicado en octubre de 2020, reveló que más de tres cuartas partes (75,2 por ciento) de las aplicaciones tienen fallos de seguridad. De ellos, se considera que el 24% tienen fallos de alta gravedad.
¿A cuánto asciende el número total de vulnerabilidades? No todas las vulnerabilidades están catalogadas, pero según CVE Details en marzo de 2023, había aproximadamente 198.020 vulnerabilidades catalogadas, de las cuales más de 19.974 tienen una puntuación CVSS de 9,0-10,0, lo que indica que son muy críticas.
Y aún así... según Automox"La mayoría de los CIO y CISO afirman que retrasan la aplicación de parches de seguridad para no interrumpir el crecimiento del negocio, mientras que el 25% afirma que está seguro de que su organización no cumple la legislación en materia de seguridad de datos."
¿Cómo están respondiendo las amenazas? Aprovechando las nuevas vulnerabilidades aún más rápido que antes..
Incidentes relacionados con parches deficientes
Las estadísticas pintan un panorama preocupante. Pero son sólo números... ¿quizás la realidad no sea tan mala? ¿Hay pruebas de que las estadísticas se confirman en la práctica? ¿Vemos incidentes de ciberseguridad atribuibles a vulnerabilidades no parcheadas? Echemos un vistazo.
En 2017, Equifax, una de las mayores agencias de informes de crédito del mundo, sufrió una de las mayores violaciones de datos de la historia que expuso la información personal de cientos de millones de personas. El primer paso de una compleja filtración fue posible gracias a una vulnerabilidad no parcheada en el framework Apache Struts.
Peor aún, la compañía fue advertida repetidamente sobre vulnerabilidades en su infraestructura tecnológica, incluida la vulnerabilidad de Apache Struts, y de hecho una lista interminable de otras malas prácticas informáticas. Equifax simplemente no parcheó esas vulnerabilidades.
Equifax no es la única gran empresa que ha sufrido una brecha masiva debido a la falta de higiene en la aplicación de parches. Lo mismo le ocurrió a los hoteles Starwood, ahora parte de Marriott. En 2014 la compañía sufrió un ataque que expuso 384 millones de registros de clientes, todo debido a una vulnerabilidad sin parchear. Es ampliamente conocido como uno de los peores ataques de ciberseguridad de la historia.
También en 2017, vimos WannaCryque afectó a más de 200.000 ordenadores en 150 países. El ataque fue capaz de propagarse rápidamente a pesar de explotar una vulnerabilidad para la que había un parche disponible varios meses antes. ¿Qué permitió WannaCry? Es sencillo: muchas organizaciones no aplicaron un parche para la vulnerabilidad EternalBlue que los actores de amenazas que explotaron WannaCry tuvieron vía libre.
La lista es interminable. Por ejemplo, la Cruz Roja reveló en 2022 que la información personal de medio millón de personas vulnerables quedó expuesta en un hackeo que se debió a una vulnerabilidad que la organización no parcheó a tiempo.
Y es un riesgo que afecta a empresas grandes y pequeñas. Por ejemplo, la ICO del Reino Unido multó a un pequeño bufete de abogados con una importante suma tras descubrir que el bufete sufrió una violación debido a una vulnerabilidad no parcheada.
El éxito de los ataques debidos a vulnerabilidades no parcheadas también puede llegar en el peor momento, ya que Los sistemas del estado de Nueva York fueron pirateados debido a una vulnerabilidad conocida pero no parcheada de Citrix, justo antes del brote de COVID.
Parches: recomendados y obligatorios
Las estadísticas sobre vulnerabilidades sin parche eran como un mal presagio, apuntaban en la dirección de que las vulnerabilidades sin parche iban a conducir a costosos hackeos. Y así sucedió: organizaciones grandes y pequeñas fueron pirateadas, y esos fueron solo los incidentes que se revelaron a la prensa (o que fueron lo suficientemente noticiables como para aparecer en la prensa).
Sin duda es un gran problema y no es de extrañar que los organismos reguladores pensaran que había que hacer algo. Por eso se mencionan los parches en las leyes y marcos de ciberseguridad de todo el mundo.
Por ejemplo, en un gran acontecimiento para la ciberseguridad de los productos sanitarios, a finales de 2022 el Presidente de EE.UU. promulgó una ley con claros requisitos de aplicación de parches a los productos sanitarios. Los legisladores utilizaron el proyecto de ley general de 2022 (página 3.537, línea 18) para enmendar el capítulo V de la Ley Federal de Alimentos, Medicamentos y Cosméticos con el fin de añadir, entre otros requisitos, la obligación de parchear las vulnerabilidades críticas "lo antes posible".
Otra norma crítica en la que la falta de parches puede meter a una organización en un buen lío es la Payment Card Industry Data Security Standard (PCI DSS). Las empresas que aceptan pagos con tarjeta deben mantener sistemas y redes seguros, con requisitos específicos de parches de seguridad para todo el software utilizado en el entorno de las tarjetas de pago. Si no se aplican los parches, hay que atenerse a las consecuencias.
El NIST (Instituto Nacional de Normas y Tecnología) publica una directriz sobre gestión de parches (NIST 800-40)que ofrece especificaciones detalladas sobre todo tipo de parches, desde los rutinarios hasta los de emergencia.
La corrección de vulnerabilidades (incluso mediante parches) es una parte fundamental de muchos otros marcos. Por ejemplo, CISA lo incluye como parte esencial de las métricas FISMAmientras que la certificación SOC 2 y normas como ISO 27001 también dependen de la aplicación de parches. Y, de hecho, también lo hacen las recomendaciones de los controles CIS.
Incluso el organismo regulador de los servicios financieros en Luxemburgo intervino con un requisito específico, ya que en mayo de 2017, la Circular 17/655 de la CSSF se publicóintensificando la presión regulatoria sobre los bancos y las empresas de inversión para que mejoren sus controles relativos a la gestión de parches.
¿Qué opina? ¿Importan los parches?
Las estadísticas confirman lo que todo el mundo en el ámbito de la seguridad informática ya sabe: la aplicación de parches es realmente importante. Los ejemplos de incidentes que hemos proporcionado completan el panorama. Y, como hemos explicado, los requisitos de aplicación de parches se están incorporando cada vez más a la legislación.
Esperamos que este conjunto de pruebas ofrezca una perspectiva clara sobre la importancia de los parches, sobre todo cuando las organizaciones consideran que son importantes, pero no tanto.