En México tenemos un dicho que dice “más vale malo por conocido que bueno por conocer” en el mundo de la ciberseguridad lo modificamos un poco y es que existe la mala percepción de que vulnerabilidades “nuevas” o Zero Day como se les conoce, afectan más que las famosas vulnerabilidades conocidas, pero esto no podría estar más equivocado. De acuerdo con un informe realizado por Tenable, los ataques de Zero Day representan solamente un 7.5% de los identificados el último año.
Ahora bien, hablemos de lo verdaderamente alarmante que son las vulnerabilidades conocidas. Estas son aquellas que se descubren y para las que ya hay un parche, es decir una solución que remedia esa puerta de entrada de los cibercriminales. Este tipo de vulnerabilidades se han convertido en una de las prácticas más rentables para los cibercriminales. De hecho en 2022, fueron las preferidas para ataques con vulnerabilidades incluso del 2017.
Habiendo pintado esta realidad, es fundamental poner el tema sobre la mesa y es que la solución no es buscar Zero Days y atacarlas, que por cierto el generar este tipo de nuevas vulnerabilidades a veces es una estrategia de los atacantes para distraer de lo verdaderamente importante, es decir, las vulnerabilidades conocidas. La verdadera solución al problema es corregir las vulnerabilidades conocidas que son sin duda las que más impacto pueden tener.
Seguramente cuando llegues a este punto en tu lectura te preguntarás, ¿Pero si ya son vulnerabilidades conocidas por qué no se resuelven? No es tan sencillo como parece y es que los cibercriminales consiguen explotar con frecuencia este tipo de vulnerabilidades, que previamente fueron reportadas y solventadas por el desarrollador del software, pero que aún no se han arreglado por distintas razones. Fácil sería culpar a las organizaciones de no priorizar la corrección de vulnerabilidades. La realidad es que el promedio de organizaciones utilizan más de 130 soluciones de ciberseguridad, pero esta amplia variedad de herramientas y sistemas actúan aislados en silos y no ayuda a reducir el riesgo. Los equipos de seguridad se enfrentan al reto de mantenerse al día con la constante afluencia de datos procedentes de múltiples soluciones y de analizar eficazmente todos esos datos para tomar decisiones informadas y proactivas sobre qué exposiciones suponen el mayor riesgo para la organización.
Habiendo dicho todo lo anterior, es muy claro que debemos evolucionar nuestra estrategia de ciberseguridad. Hoy debemos hablar de gestión de exposición y no de remediación de una u otra vulnerabilidad. Gestionar la exposición de una organización implica tener una visión holística y constante de las vulnerabilidades con una mentalidad y visión estratégica sobre la priorización de vulnerabilidades. Esto marcará la diferencia entre tener a un portero cachando goles a un estratega que busca salvaguardar la continuidad del negocio y especialmente en México que en el informe es enlistado como uno de los países con más vulnerabilidades en la región.
En conclusión, vivimos en una superficie de ataque moderna donde las vulnerabilidades crecen tan rápido como las innovaciones en el mundo digital. Es fundamental ver la fotografía completa y evaluar antes de tomar una decisión sobre qué parchar, utilizando herramientas que validen dónde están los puntos de atención, para que puedan ser resueltos de la forma proactiva, reduciendo el riesgo de la organización. Últimamente, todo el mundo está esperando el próximo “fin del mundo digital”, cuando en realidad lo que más nos afecta está presente, son las vulnerabilidades conicidad que siguen sin corregirse.
