Las instituciones, organizaciones y empresas privadas deben ser conscientes de garantizar la confidencialidad, integridad y disponibilidad de la información y activos asociados; por lo que realizar constantemente un análisis de vulnerabilidades en ciberseguridad es fundamental para identificar y mitigar riesgos potenciales que puedan afectar los sistemas informáticos, así como la infraestructura de red y sus aplicaciones.
Una vulnerabilidad en ciberseguridad es una debilidad o fallo en un sistema, red, aplicación o dispositivo que puede ser explotada por un ciberdelincuente para acceder a información confidencial, interrumpir servicios críticos y estratégicos, modificar o eliminar datos, ejecutar código malicioso o de alguna manera obtener acceso no autorizado a los sistemas.
Según el instituto nacional de Ciberseguridad (INCIBE) de España, define a una vulnerabilidad como: “Fallos o deficiencias de un programa que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota. Los agujeros de seguridad pueden ser aprovechadas por atacantes mediante exploits, para acceder a los sistemas con fines maliciosos”; por lo que señala que las empresas deben ser conscientes de estos riesgos y mantener una actitud preventiva, así como llevar un control de sus sistemas mediante actualizaciones periódicas.
Se debe considerar que existe una diferencia entre vulnerabilidad, incidente de seguridad, amenaza y riesgo; cuando nos referimos a un incidente de seguridad es cualquier suceso que afecte la confidencialidad, integridad o disponibilidad de los activos de información de una institución, organización o empresa privada como por ejemplo acceso o intento de acceso a los sistemas, uso, divulgación, modificación o destrucción no autorizada de información; cuando nos referimos a una amenaza, es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información, es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas; las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado), desde el punto de vista de una organización pueden ser tanto internas como externas; y el riesgo, es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños; se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de denegación de servicios, un virus, en general un malware; el riesgo depende entonces de que la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto, el producto de estos factores representa el riesgo. (INCIBE, 2024).
Existen varios tipos de vulnerabilidades en los sistemas o infraestructura de red, entre ellos: a) Vulnerabilidades de software, referente a fallos en código, configuración o actualizaciones; b) Vulnerabilidades de hardware, relacionado a debilidades en dispositivos o componentes; c) Vulnerabilidades de configuración, como por ejemplo errores en la configuración de sistemas o redes; e) Vulnerabilidades de autenticación como fallos en mecanismos de autenticación; f) Vulnerabilidades de criptografía, relacionado a debilidades en algoritmos o implementaciones criptográficas; g) Vulnerabilidades de factor humano, y es una de las más importantes ya que a través de la aplicación de técnicas como Ingeniería Social, puede comprometer la información de las instituciones, organizaciones y empresas privadas, por lo que es necesario la concienciación en ciberseguridad.
Las vulnerabilidades se pueden clasificar por categorías; estas son: a) Vulnerabilidades críticas: representan el nivel más alto de gravedad, tienen un alto impacto, pueden ser explotadas fácilmente sin requerir condiciones complicadas, pueden permitir el acceso no autorizado completo al sistema, la ejecución remota de código o la propagación rápida de un malware por lo que requieren una respuesta urgente y medidas inmediatas para proteger el sistema afectado.; b) Vulnerabilidades altas, tienen un impacto importante y pueden ser explotadas de manera más eficiente, pueden afectar múltiples componentes del sistema, comprometer la seguridad de los datos o permitir la ejecución remota de código malicioso, estas vulnerabilidades requieren una acción inmediata para mitigar su impacto y evitar posibles ataques.; c) Vulnerabilidades medias: tienen un impacto más significativo que las de nivel “Bajo”. Pueden ser explotadas de forma más sencilla y pueden tener un alcance más amplio; estas vulnerabilidades pueden afectar la confidencialidad, integridad o disponibilidad de los sistemas y pueden requerir acciones de mitigación más robustas.; d) Vulnerabilidades bajas: pueden ser explotadas para causar daños menores, tienen un impacto menor y pueden ser relativamente fáciles de mitigar, estas vulnerabilidades pueden requerir condiciones específicas para ser explotadas o pueden tener un alcance limitado.
Para mayor información sobre vulnerabilidades, se debe considerar la base de datos de vulnerabilidades de seguridad mantenida por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos denominada NVD (National Vulnerability Database), proporciona información detallada sobre vulnerabilidades de seguridad conocidas en software, hardware y firmware; se caracteriza por ser una base de datos integral ya que contiene más de 150.000 registros de vulnerabilidades; mantiene información detallada porque incluye descripciones, impacto, severidad y soluciones para cada vulnerabilidad.; se actualiza diariamente con nuevas vulnerabilidades; la información es gratuita y accesible para todos; y sigue estándares de seguridad internacionales. El contenido del NVD es: a) Descripción de la vulnerabilidad; b) Identificador CVE (Common Vulnerabilities and Exposures); c) Severidad (baja, moderada, alta, crítica); d) Impacto potencial; e) Soluciones y parches; f) Referencias a fuentes adicionales. En referencia a la CVSS v3, las vulnerabilidades reciben la siguiente clasificación de severidad: Critica de 9.0 a 10.0; Alta de 7.0 a 8.9; Media de 4.0 a 6.9 y Baja de 0.1 a 3.9.
Respecto a un CVE (Common Vulnerabilities and Exposures) es un identificador único asignado a una vulnerabilidad de seguridad específica en software, hardware o firmware; el sistema CVE es mantenido por el Proyecto CVE, una iniciativa de la comunidad de seguridad cibernética y de identifica por: a) Es un identificador único, pues cada vulnerabilidad recibe un número CVE único; b) Incluye información sobre la vulnerabilidad, su impacto y cómo explotarla; c) Se clasifica según su severidad (baja, moderada, alta, crítica); d) Proporciona enlaces a fuentes de información adicionales.
Como ejemplo podemos mencionar a la vulnerabilidad CVE-2024-10418, publicada el 27 de octubre de 2024 y su severidad es Media; más información al respecto se puede encontrar en el sitio Web https://cve.mitre.org/ y en el sitio https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades
En importante realizar un análisis de vulnerabilidades en las Instituciones, organizaciones y empresas privadas ya que ayudan a proteger la seguridad de sistemas y datos; facilita la actualización y parcheo de vulnerabilidades: mejora la colaboración entre expertos en seguridad y contribuye a la transparencia y responsabilidad en la gestión de vulnerabilidades.
En el Ecuador el Centro de Respuesta a Incidentes Informáticos EcuCERT de la ARCOTEL, como servicio de valor agregado ofrece el “Análisis de Vulnerabilidades” a su comunidad objetivo (Sector de Telecomunicaciones Nacionales, Instituciones del Estado Ecuatoriano, Empresas del Sector Privado), lo que permite identificar y dar a conocer las vulnerabilidades y amenazas a los que la información está expuesta. La información lo puede encontrar en el Sitio Web: https://www.ecucert.gob.ec/servicio-de-analisis-de-vulnerabilidades/
Puede encontrar información acerca de vulnerabilidades en el Sitio Web de SHADOWSERVER, equipo que representa a algunos de los expertos en ciberseguridad, capaces y experimentados del mundo, su trabajo pretende hacer que internet sea más seguir para todos y trabaja con gobiernos nacionales, proveedores de redes, empresas, instituciones financieras y académicas, agencias de aplicación de la ley y otros para revelar vulnerabilidades de seguridad, exponer actividades maliciosas y ayudar a remediar a las víctimas. https://www.shadowserver.org/who-we-serve/
Así también puede encontrar información en MITRE, que es una organización sin fines de lucro que se enfoca en la investigación y desarrollo de soluciones de seguridad cibernética, en relación con vulnerabilidades, MITRE realiza, entre otras, las siguientes actividades: a) Mantenimiento del registro CVE; b) Análisis de vulnerabilidades, pues analiza vulnerabilidades y proporciona información detallada sobre ellas; c) Crea herramientas y recursos para ayudar a los profesionales de la seguridad a identificar y mitigar vulnerabilidades. d) Colabora con la comunidad de seguridad cibernética para compartir conocimientos y mejores prácticas: e) Publica informes y recursos sobre vulnerabilidades y seguridad cibernética. MITRE juega un papel fundamental en la identificación, clasificación y mitigación de vulnerabilidades de seguridad, y su trabajo ayuda a proteger la seguridad cibernética de organizaciones y individuos. https://cve.mitre.org/
Ante lo indicado es fundamental la realización de un análisis de vulnerabilidades en los sistemas e infraestructura de red de las instituciones, organizaciones y empresas privadas ya que permite: a) Detectar debilidades ya que se puede identificar vulnerabilidades desconocidas o no abordadas en sistemas y aplicaciones; b) Prevenir ataques cibernéticos, ya que permite tomar medidas preventivas para evitar explotaciones maliciosas; c) Proteger datos para ayudar a salvaguardar información confidencial y sensible; d) Facilitar el cumplimiento de normativa vigente, regulaciones y estándares de seguridad; e) Fomentar la actualización y mejora constante de la ciberseguridad; f) Reducir riesgos para minimiza el impacto potencial de incidentes de ciberseguridad; g) Asignar recursos de ciberseguridad de manera efectiva; h) Proporcionar datos para tomar decisiones informadas sobre ciberseguridad; i) Complementa con otras prácticas de ciberseguridad, como la gestión de riesgos y la respuesta ante incidentes; j) Fortalecer la capacidad para recuperarse ante incidentes.