Horrores de seguridad: Lista de los diez principales errores de seguridad de la NSA y la CISA

Horrores de seguridad: la lista de los diez principales errores de seguridad de la NSA y la CISA

Por Danny Bradbury • 9 November 2023

Una red insegura es la peor pesadilla de un defensor de la ciberseguridad y el sueño de un atacante. Una sola configuración incorrecta puede dejar un gran vacío en una red. Sin embargo, ya sea por ignorancia, distracción, falta de administradores o demasiados, estas configuraciones erróneas abundan. La Agencia de Seguridad Nacional de EE. UU. (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ven surgir tantas situaciones similares que publicaron un (reporte) detallando los diez más comunes. Los hemos alineado aquí, junto con una discusión de sus efectos potenciales y posibles medidas de mitigación.

Configuraciones predeterminadas de software y aplicaciones

Este SNAFU de seguridad clásico implica el uso de credenciales de acceso administrativo predeterminadas, que se pueden encontrar fácilmente en línea. No cambiarlos deja el control administrativo abierto a cualquiera que pueda acceder al portal de acceso.

Los problemas de configuración predeterminada se extienden más allá del uso de inicios de sesión preestablecidos de fábrica. Servicios como Active Directory (que aparecen en gran medida en los análisis de los equipos) vienen con configuraciones de privilegios predeterminadas para diferentes servicios o dejan activados de forma predeterminada los servicios heredados vulnerables.

Por ejemplo, durante mucho tiempo, Microsoft dejó activada de forma predeterminada la resolución de nombres de multidifusión local de enlace de Active Directory (LLMNR), a pesar de que este servicio de resolución de nombres se remonta a una época en la que DNS no era tan omnipresente como lo es ahora. Ese protocolo tiene un problema de seguridad que los atacantes pueden aprovechar. Microsoft declaró en abril de 2022 que eliminaría gradualmente ese servicio en favor de un mDNS más nuevo y seguro.

Separación inadecuada de privilegios de usuario/administrador

El acceso con privilegios mínimos es un principio fundamental de la seguridad moderna; sin embargo, muchos administradores dejan cuentas con privilegios excesivos que los atacantes pueden aprovechar. Las cuentas de servicio se utilizan para acceder a los recursos, ya que a menudo tienen privilegios elevados para poder acceder a algunos recursos del sistema. Son un activo preciado para los atacantes.

Existen varias medidas correctivas en este caso, incluida la restricción del uso de cuentas privilegiadas para realizar tareas generales que podrían hacerlas vulnerables (como el acceso al correo electrónico), la auditoría de las cuentas de los usuarios y la aplicación de medidas mínimas. acceso privilegiado. También nos gustó la idea de deshabilitar las cuentas administrativas y permitir el acceso a ellas solo a pedido durante un período de tiempo determinado.

Monitoreo de red interna insuficiente

Los atacantes menos experimentados pueden hacer ruido al acceder a la red y moverse lateralmente por ella. Las organizaciones que no monitoreen sus redes perderán esas señales. En algunos casos, los equipos encontraron que algunas personas monitoreaban las máquinas host pero no verificaban la red, lo que significa que podían ver el efecto de un ataque en el servidor pero no podían ver de dónde venía.

Falta de segmentación de la red

Dividir su red en segmentos lógicos crea zonas de seguridad que los usuarios sólo pueden cruzar con los privilegios correctos. Es el equivalente en red a proteger las puertas de entrada de diferentes partes del edificio mediante acceso con tarjeta. Sin embargo, muchas organizaciones mantienen sus redes "planas", permitiendo el acceso a cualquier área desde cualquier lugar. De acuerdo a un informe del congreso, esta falla en la red de la Oficina de Personal y Gestión (OPM) contribuyó a su exitosa violación en 2015.

Mala gestión de parches

Es decepcionante, pero no sorprendente, que la falta de parches en aplicaciones y sistemas operativos siga siendo un problema para las organizaciones. Sabemos que aplicar parches a todo lo que hay en la red puede ser un trabajo pesado, pero priorizar los parches basándose en un análisis de riesgos adecuado puede ayudar a identificar las actualizaciones más urgentes. Lo sorprendente es que, según el informe, los equipos "observaron con frecuencia" organizaciones que aún no habían parcheado MS08-067 (la vulnerabilidad de ejecución remota de código de 2008 que permitió que Confider se generara) y MS17-010, que permitió el ataque EternalBlue. Se basó el malware WannaCry de 2017.

Omisión de controles de acceso al sistema

En ocasiones, los atacantes pasan por alto los métodos tradicionales. controles de acceso al sistema. Una técnica llamada "pasar el hash" utiliza hashes de credenciales robadas (quizás de una base de datos publicada en la web oscura) para acceder a los sistemas de autenticación sin utilizar una contraseña de texto claro.

Métodos de autenticación multifactor (MFA) débiles o mal configurados

La MFA es una valiosa capa de protección, pero no es una panacea, especialmente si se implementa incorrectamente. Los problemas comunes incluyen el uso de MFA basado en SMS que está sujeto a intercambio de SIM o "bombardeo push", donde los atacantes molestan a las personas para que autentiquen el acceso. CISA recomienda utilizar FIDO/WebAuthn como estándar de oro para evitar este tipo de ataques. Los autenticadores basados en aplicaciones son la siguiente mejor opción.

Listas de control de acceso (ACL) insuficientes en servicios y recursos compartidos de red

Es posible que haya bloqueado sus cuentas de servicio, pero ¿qué pasa con sus unidades de red? Dejar los recursos compartidos de red abiertos a cuentas no autorizadas proporciona una forma de entrada que los atacantes suelen aprovechar. El informe dice que pueden usar herramientas de código abierto o comandos simples del sistema para escanear los recursos compartidos disponibles.

Mala higiene de las credenciales

Según el informe, usar contraseñas que sean fáciles de descifrar o almacenarlas en texto claro son errores de seguridad comunes. Mantener las contraseñas en texto claro es una medida obviamente insegura. Sin embargo, incluso las grandes empresas como como Facebook y Ve papi Hemos almacenado contraseñas de esta manera o en un formato fácilmente reversible a texto claro. Incluso las contraseñas codificadas se pueden recuperar mediante descifradores de contraseñas.

Ejecución de código sin restricciones

El décimo error de configuración común compartido en la lista es permitir que aplicaciones no verificadas se ejecuten en hosts. Los atacantes de phishing a menudo persuadirán a las víctimas para que ejecuten software no autorizado en sus máquinas.

El informe sugiere que las listas que sólo permiten firmas de programas específicos pueden ayudar. Sin embargo, esto puede resultar complicado de implementar, ya que los programas legítimos suelen tener varias versiones, lo que crea numerosas firmas. El informe también menciona el uso de contenedores de solo lectura e imágenes mínimas.

Pasos de mitigación

El informe enumera varias mitigaciones para estos riesgos, muchas de las cuales deberían ser evidentes para los profesionales de seguridad competentes. El hecho de que la NSA y la CISA publicaran medidas de mitigación separadas para los defensores de la red y los fabricantes de software fue loable. Todo demasiado a menudo, Los proveedores escapan a las críticas por sus propias prácticas inseguras..

Las mitigaciones de los fabricantes sugeridas en el informe incluían seguir pautas de desarrollo de software seguro desde el principio. Esto ayudaría a eliminar los errores que llevaron a parches de software posteriores. Los proveedores también deberían enviar software reforzado de forma predeterminada en lugar de requerir trabajo adicional por parte del cliente. Nos gustó la idea de 'guías de relajación' que muestran a los clientes cómo relajar las configuraciones de seguridad cuando sea necesario, junto con los riesgos de hacerlo. Es mucho más difícil agregar controles de seguridad que renunciar a los que ya existen.

Otras medidas necesarias desde hace mucho tiempo incluyen la eliminación de las contraseñas predeterminadas. Si bien los administradores competentes deberían cambiarlos, muchos no lo hacen. Diseñar software (sin mencionar el hardware) que no los tenga obligaría a realizar ajustes de configuración personalizados. Otra es la compatibilidad predeterminada con MFA y la MFA obligatoria para usuarios privilegiados.

Proporcionar registros de auditoría completos y listos para usar ayudaría a respaldar el monitoreo de la red y detectar la elusión de los controles de acceso, agrega el informe. Control de acceso Las listas con privilegios mínimos necesarios pueden hacer que las cosas sean un poco menos convenientes para los usuarios, pero también minimizarán el riesgo para el sistema debido a cuentas secuestradas.

Otra sugerencia es el soporte para la ejecución de código. controles listos para usar en sistemas operativos y aplicaciones, lo que ayudaría a evitar la ejecución de código inusual. Ya hemos visto algo de esto, como con la advertencia de Apple al ejecutar código que no es de la tienda de aplicaciones y la decisión de Microsoft de bloquear las macros VBA de Internet. Hay mucho espacio para más.

Es decepcionante que muchos de los errores comunes en esta lista sean plantas perennes resistentes. Todos ellos han surgido durante años en violaciones de seguridad y seguirán haciéndolo durante muchos más. Al ofrecer medidas de mitigación tanto para clientes como para proveedores, la NSA y la CISA están al menos sentando las bases para una informática más responsable.

Liberando el poder de los marcos de seguridad con ISMS.online

Aprovechar marcos como ISO 27001 y NIST proporciona a las organizaciones una guía comprobada para crear programas de seguridad integrales.

Al adoptar los requisitos y controles descritos en estos marcos, las empresas pueden abordar sistemáticamente los riesgos, proteger los activos críticos y garantizar el cumplimiento de las regulaciones pertinentes. El enfoque estructurado de mapear las necesidades específicas de una organización con los marcos establecidos libera el poder de las mejores prácticas de la industria para la seguridad de la información, proporcionando un camino estratégico para mejorar continuamente las defensas en un panorama de amenazas complejo.

Con la aplicación adecuada de los principales estándares de seguridad, incluso los equipos pequeños pueden crear programas eficaces que protejan las operaciones y los datos. Programe una llamada con uno de nuestros expertos hoy para descubrir cómo la adopción de un marco de seguridad podría beneficiar a su organización.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

Horrores de seguridad: la lista de los diez principales errores de seguridad de la NSA y la CISA

Configuraciones predeterminadas de software y aplicaciones

Separación inadecuada de privilegios de usuario/administrador

Monitoreo de red interna insuficiente

Falta de segmentación de la red

Mala gestión de parches

Omisión de controles de acceso al sistema

Métodos de autenticación multifactor (MFA) débiles o mal configurados

Listas de control de acceso (ACL) insuficientes en servicios y recursos compartidos de red

Mala higiene de las credenciales

Ejecución de código sin restricciones

Pasos de mitigación

Liberando el poder de los marcos de seguridad con ISMS.online

danny bradbury

Artículos relacionados

La vida después de la fecha límite: Convertir el cumplimiento de DORA en estabilidad operativa

La era del cumplimiento normativo: cómo la regulación, la tecnología y el riesgo están reescribiendo las normas empresariales

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

Lea más de Danny Bradbury

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump