La ciberseguridad es hoy más importante que nunca, y uno de los conceptos más fundamentales en este contexto son los vectores y la superficie de ataque. Pero, ¿qué significan realmente estos términos y por qué es esencial que todas las organizaciones los comprendan? Matias Haapaniemi explica estos fundamentos en su blog.
Vectores y superficie de ataque
En ciberseguridad, hay dos términos que se escuchan frecuentemente: superficie de ataque y vectores de ataque. Suenan técnicos, pero detrás de ellos hay una idea simple.
La superficie de ataque incluye todos los puntos que un atacante externo puede «tocar». Piense en su organización como una casa: las puertas, ventanas y buzones son parte de la superficie de ataque.
En el mundo digital, la superficie de ataque incluye, por ejemplo:
- Servicios web públicos y sitios web
- Nombres de usuario y contraseñas de los empleados
- Servicios en la nube, integraciones entre servicios públicos e interfaces
- Portátiles, teléfonos y servidores
- Complementos y servicios de terceros
Cuantos más «agujeros» tenga su organización, mayor será la superficie de ataque y, por tanto, mayores las posibilidades de uso indebido.
Un vector de ataque es la ruta que sigue un atacante desde el punto de partida hasta su objetivo.
- En el ejemplo de la casa, el vector de ataque podría ser:
Buzón → Vestíbulo → Sala de estar → Caja fuerte - Un vector de ataque digital podría ser:
Correo de phishing → Credencial de usuario individual → Acceso a la red interna a través de VPN → Servidor con vulnerabilidades sin parchear → Servidor de archivos con datos valiosos
Es importante entender que un solo «agujero» no siempre derriba toda la casa. La situación se vuelve peligrosa cuando las pequeñas debilidades se combinan en una ruta fluida.
De la teoría a la práctica
¿Por qué importa todo esto? En términos simples, debe preocuparse por los vectores y la superficie de ataque porque:
- Reducir la superficie de ataque disminuye las oportunidades de iniciar un ataque
- Interrumpir los vectores de ataque impide que el ataque progrese, incluso si el inicio del ataque tiene éxito
¿Cómo deberían actuar en la práctica los departamentos de TI de las organizaciones?
- Mapear – no puede proteger servicios de los que no está al tanto
- Eliminar – retire servidores, cuentas, dispositivos y servicios innecesarios
- Fortalecer – active MFA, aumente los controles de seguridad, implemente Endpoint Detection & Response (EDR) y configure los firewalls de los dispositivos
- Romper las cadenas de ataque – ¿es necesario permitir conexiones RDP desde un dispositivo final a otro? ¿Necesita una impresora tener conexiones RDP al Controlador de Dominio?
- Auditar – ¿funcionan las configuraciones del firewall como deberían? ¿Hay nuevos dispositivos en la red que no se han tenido en cuenta?
Asista al Afterwork de Above IT y aprenda cómo las soluciones de Microsoft Defender gestionan la superficie de ataque y rompen los vectores de ataque. Compartiremos las mejores prácticas para obtener más de los productos que ya tiene, mientras ahorra significativamente en trabajo manual.