Las empresas tardan meses en detectar un agujero de seguridad
El informe de Verizon relativo a 2011 recoge estadísticas a partir de 90 casos de ataques analizados por la compañía el pasado año y ofrece un adelanto del informe anual completo de Verizon que también incluirá datos de fuentes adicionales como las agencias estatales de seguridad o el CERT.
Entre sus conclusiones ha sorprendido que el 92 % de los incidentes de seguridad esté causado por agentes externos, en contra de lo establecido en otros estudios de este tipo. El director de inteligencia en riesgos de Verizon Business, Wade Baker, lo explica diciendo que “éste es un pequeño mito en el mundo de la seguridad. Hay más gente fuera que dentro de las empresas y, sólo por ello, es lógico encontrar más incidentes externos”.
No obstante, Baker reconoce que muchas acciones internas provocan brechas de seguridad en las empresas, pero los resultados de este análisis sólo contabilizan aquellos incidentes que han sido denunciados para su investigación.
Según sus resultados, el uso de identificaciones por defecto o robadas es uno de los métodos más utilizados para lograr el acceso a la información. Algunos grupos del crimen organizado han automatizado sus ataques a puertos muy concretos de algún ordenador remoto, pcAnywhere y similares, y se registran con contraseñas robadas, asegura Chris Porter, miembro del equipo de riesgos de Verizon.
Este problema es común también en pequeños negocios que externalizan la administración de sus sistemas en favor de terceros, que ofrecen soporte remoto. Estas organizaciones deberían implantar algún tipo de control de acceso para sistemas remotos, como restringir las IPs permitidas, asegura Porter.
Un problema que no mejora con el paso de los años es la detección de brechas de seguridad. La mayoría de las organizaciones siguen tardando meses, e incluso años, en detectar algunos de estos fallos que, en muchas ocasiones, no son encontrados hasta que interviene alguna fuerza externa, como los organismos de seguridad nacional.
Entre las recomendaciones de los expertos, destaca que restringir las conexiones de salida sólo a algunos puertos de la organización es tan importante como monitorizar el tráfico de entrada, concluye Porter.