Muchas son las empresas y organizaciones que utilizan un software específico para gestionar sus procesos (ej.: gestión de proveedores, gestión de la producción, etc.).

Utilizar software sin actualizaciones hace que sean vulnerables a múltiples amenazas. 

Los ciberdelincuentes lo saben y por esa razón han puesto foco en este tipo de herramientas.

Parches de seguridad

Las aplicaciones no suelen estar actualizadas a la última versión por diversos motivos:

La propia complejidad de la herramienta, el tiempo que requiere una actualización, el número de instancias que hay que actualizar, el miedo a un error en la actualización y que el servicio deje de funcionar o, simplemente, por falta de concienciación en materia de seguridad.

Objetivo de ciberdelincuentes

Los ciberdelincuentes se han aprovechado de las vulnerabilidades y la falta de configuración de las aplicaciones para diversos fines:

• Robo de información confidencial: Muchas organizaciones utilizan software para gestionar sus proyectos y alojar información confidencial. En caso de un acceso no autorizado, los ciberdelincuentes podrían tener acceso a esta información, pudiendo darle un uso indebido (venderla a la competencia o usarla como medio de extorsión).
• Robo de datos bancarios: Números de cuenta o de tarjeta son almacenados y gestionados por las aplicaciones, por lo que su robo conllevaría pérdidas económicas para la empresa o sus clientes.
• Robo de datos personales:  Es muy habitual que el departamento de Recursos Humanos de una organización tenga almacenados en aplicaciones, los datos personales como nombres y apellidos, información de contacto o direcciones, etc. Todo es almacenado y gestionado desde un software, por lo que un acceso fraudulento puede permitir su filtración con la consiguiente pérdida reputacional e incluso implicaciones legales según la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
• Denegaciones de servicio: Se entiende como denegación de servicio, en términos de seguridad informática, a un conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo.
• Infecciones por malware: Infectar los dispositivos con troyanos, keyloggers o incluso ransomware es otra práctica muy extendida que puede poner en peligro la continuidad de una organización

Buenas prácticas y medidas de protección

• Implantar una política de actualizaciones mediante la cual se puedan realizar las actualizaciones de software necesarias, ya que uno de los principales motivos por los que no se aplican las actualizaciones es por temor a su repercusión negativa.

Esto incluye el firmware de los equipos electrónicos, los sistemas operativos y aplicaciones informáticas e incluso los propios programas antimalware.

• Actualizaciones de parches de seguridad que mejoren y añadan nuevas funcionalidades, o que corrijan errores y agujeros de seguridad.

• Contar con un entorno de desarrollo y/o preproducción para poder realizar las actualizaciones y comprobar si afectan al normal funcionamiento de la aplicación, evitando comportamientos que puedan perjudicar la funcionalidad del software en el entorno de producción.

• Siempre que sea posible se limitará el acceso a internet a no ser que sea imprescindible para el funcionamiento de la empresa.

• En caso de que se tengan que realizar conexiones desde redes externas se deben realizar siempre a través de una red privada virtual (VPN) que mitigará posibles fugas de información y accesos no autorizados.

Utilizaremos una VPN cuando necesitemos acceder a información confidencial de manera remota, y la red que estemos utilizando no ofrezca las suficientes garantías de seguridad.

Ventajas de utilizar una VPN:

1. Toda la información se transmite de manera segura gracias al cifrado de datos y de conexión.
2. Confidencialidad e integridad de la información: al ir cifrada, la información no puede ser leída, modificada o alterada durante la transmisión.
3. La información solo se trasmite entre dispositivos autorizados y configurados para este fin.
4. Restricción de acceso: a través de usuario y contraseña necesitando una previa autorización.
5. Fácil ampliación del número de usuarios. Las conexiones establecidas utilizando VPN protegen la información que se intercambia, ya que establecen un canal cifrado de comunicación entre nuestro dispositivo y nuestro lugar de trabajo por donde «viajan» nuestros datos de manera segura.

• Evitar utilizar contraseñas débiles, ya que muchas veces se implantan medidas de seguridad complejas, pero al usar contraseñas inseguras se reduce enormemente el nivel de seguridad.

En el control de accesos el nombre de usuario nos identifica y la contraseña nos autentica (con ella se comprueba que somos quienes decimos ser).

Todo sistema de autenticación de usuarios se basa en la utilización de uno, o varios, de los siguientes factores:

1. algo que sabes: contraseñas, preguntas personales, etc.
2. algo que eres: huellas digitales, iris o retina, voz, etc.
3. algo que tienes: tokens criptográficos, tarjeta de coordenadas, etc.

Como la contraseña es el más utilizado de estos factores, la gestión de las contraseñas es uno de los aspectos más importantes para asegurar nuestros sistemas de información.

Dentro de la gestión de contraseñas se incluye el deber de difundir y hacer cumplir unas buenas prácticas: actualizarlas periódicamente, garantizar su fortaleza (dificultad para adivinarla o craquearla), no utilizar contraseñas por defecto o cómo custodiarlas.

Existen algunas aplicaciones gratuitas y de código abierto que permiten la administración segura de contraseñas (ej.: Keepass). A través de este tipo de programas se pueden guardar en un archivo único todas sus contraseñas, debiendo recordar únicamente una contraseña maestra de acceso.

• Revisar los privilegios de los usuarios y otorgar únicamente aquellos que sean necesarios para desempeñar el trabajo.

• Monitorizar y registrar el software para que, en caso de actividad anómala o incidente de seguridad, se pueda identificar la causa lo antes posible.

Los sistemas de monitorización, convenientemente configurados, pueden generar alertas en tiempo real.

Por otra parte, facilitan el análisis forense para el diagnóstico de las causas que originan los incidentes.

Por último, son necesarios para verificar el cumplimiento de ciertos requisitos legales o contractuales durante las auditorías.

Un software es una gran alternativa con la que aumentamos significativamente la eficiencia en la gestión de una empresa, pero también podemos ponerla en riesgo si no se aplican las medidas de seguridad necesarias.

El equipo Govertis