Las vulnerabilidades y su desconocimiento en las empresas

Transcripción

1 Las vulnerabilidades y su desconocimiento en las empresas Análisis de la relación entre las evaluaciones de vulnerabilidad y el grado de conocimiento sobre la seguridad de un sitio web

2 Se siente en peligro? Pues debería. En 2011, la plataforma PlayStation Network de Sony sufrió lo que se considera la mayor filtración de datos de la historia: un gravísimo incidente que aún sigue dando coletazos. En octubre de 2012, por ejemplo, un juez desestimó la primera demanda colectiva presentada contra la empresa. 1 A raíz de este ataque, resultaron infectados diez servidores de Sony y se sustrajeron los datos de las cuentas de 75 millones de usuarios de todo el mundo. El incidente se debatió en parlamentos de distintos países, se interpusieron demandas y se prohibió el acceso a los juegos desde la plataforma durante más de un mes. Fue un fallo de seguridad flagrante que, al hacerse público, minó la confianza en la empresa, pero un estudio reciente 2 apunta a que numerosos sitios web se enfrentan a riesgos similares. El problema es que la mayoría de las empresas no son conscientes de ello. Para valorar la gravedad del problema, Symantec recabó la opinión de doscientos profesionales informáticos de empresas de diversos tamaños en cuatro países europeos, a los que preguntó hasta qué punto conocen los riesgos a los que se exponen y a qué medidas recurren para estar más informados. Casi un cuarto de los encuestados admitieron que no sabrían decir lo seguros que son sus sitios web, y más de la mitad reconocieron no haber hecho nunca una evaluación de vulnerabilidad. En general, los participantes consideraban bajo el riesgo de que sus sitios web se vieran afectados por las vulnerabilidades mencionadas en la encuesta, pero los resultados de las evaluaciones de vulnerabilidad gratuitas realizadas por Symantec desmienten esta impresión. En realidad, el 25 % de los sitios web analizados presentan vulnerabilidades de carácter crítico. 3 Muchas de estas vulnerabilidades acaban provocando infecciones con código dañino (malware), una de las amenazas para la seguridad que más terreno está ganando en la actualidad. Según el último informe sobre las amenazas para la seguridad en Internet elaborado por Symantec 4, en 2011 se detectaron 403 millones de variedades únicas de malware, así que siempre habrá quien aproveche la existencia de puntos débiles. Las evaluaciones de vulnerabilidad ayudan a combatir el desconocimiento, pues no solo sacan a la luz las vulnerabilidades, sino que también recomiendan cómo solucionarlas. Lo importante es convertir las evaluaciones en una tarea periódica. De la encuesta se desprende que las empresas que las repiten todos los meses confían más en la seguridad de sus sitios web que las que las hacen de forma aislada. No es de extrañar que las empresas más grandes sean las que mejor conocen los riesgos y las que realizan evaluaciones de vulnerabilidad con más asiduidad. Sin embargo, de acuerdo con el informe de Symantec sobre las amenazas para la seguridad en Internet, no hay que suponer que los ataques van siempre dirigidos a grandes empresas. Entre los afectados existe un porcentaje nada desdeñable de pequeñas empresas (el 17,8 %). Como es natural, las empresas más grandes tienden a hacer evaluaciones más exhaustivas, pero las de menor tamaño también deben saber hasta qué punto están en peligro y a qué riesgos concretos se enfrentan. Realizar evaluaciones de vulnerabilidad periódicas ayuda a analizar mucho mejor la seguridad de un sitio web 1 Véase cada mes 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% Nada 2 Toda la información recogida en este informe procede de un estudio realizado en octubre de 2012 por IDG Connect en nombre de Symantec. En él se encuestó a 200 profesionales informáticos de cuatro países de Europa: el,, y. 3 Véase report_2011_ en-us.pdf 4 Véase report_2011_ en-us.pdf

3 Resumen del estudio 5 Casi un cuarto de los responsables informáticos no saben hasta qué punto es seguro su sitio web 33% Más de la mitad no han sometido nunca su sitio web a una evaluación de vulnerabilidad. 2% 27% 15% 23% Hace poco, el mes pasa d o 15% En los Ultimos seis meses 16% Los que realizan evaluaciones periódicas son mucho más conscientes de los riesgos a los que se enfrentan. cada mes 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% Nada En el Ultimo ano Nunca lo he hecho 16% 53% 5 Toda la información recogida en este informe procede de un estudio realizado en octubre de 2012 por IDG Connect en nombre de Symantec. En él se encuestó a 200 profesionales informáticos de cuatro países de Europa: el,, y

4 Se ha acordado de cerrar la puerta con llave? La seguridad de un sitio web es más importante que nunca, pero en muchas empresas europeas reina un desconocimiento que las convierte en un blanco perfecto para los ataques. De los doscientos responsables informáticos que participaron en nuestra encuesta, casi un cuarto (el 23 %) admiten abiertamente que no saben lo seguro que es su sitio web. Este porcentaje es del 30 % en empresas con plantillas de hasta 499 empleados, lo que significa que casi un tercio de las pymes son incapaces de valorar si su sitio web está bien protegido o no. Solo un 2 % de los encuestados reconocen la existencia de vulnerabilidades, un tercio (el 33 %) suponen que sus sitios web son muy seguros y un escaso 15 % los califica de «totalmente seguros». Es decir, solo la mitad (el 48 %) consideran su sitio web muy seguro o totalmente seguro, mientras que en Estados Unidos declaran lo mismo casi tres cuartos (el 74 %) de las empresas. Si no se comprenden bien los riesgos, es difícil prever sus consecuencias. Sin embargo, en vista del número de ataques realizados en 2011, que aumentó en un 81 % con respecto al año anterior 6, está claro que las vulnerabilidades pueden ser motivo de ataque. Solo 19 empresas encuestadas admitieron que su sitio web había sufrido una brecha de seguridad en los últimos seis meses, y tres de ellas también reconocieron la gravedad de las consecuencias. Sin embargo, la mayoría de las brechas de seguridad en Internet no llegan a divulgarse o pasan inadvertidas, de modo que es posible que las empresas sean víctimas del cibercrimen sin saberlo. Dar por supuesto que el sitio web de una empresa es seguro es jugar a la ruleta rusa. Los estudios de Symantec basados en sus evaluaciones de vulnerabilidad gratuitas indican que aproximadamente un cuarto de los sitios web empresariales presentan vulnerabilidades graves. 7 Ni siquiera las empresas pequeñas pueden descuidarse y pensar que los ataques incumben solo a las grandes. Lo cierto es que el 17,8 % van dirigidos a negocios con menos de 250 empleados, ya que los cibercriminales saben que así será más difícil que se detecten sus actividades. 8 No cabe duda de que un sitio web sin un modelo de seguridad eficaz y por niveles quedará expuesto a posibles ataques. Además, si se desconocen las vulnerabilidades de un sitio web, será imposible comprender la gravedad de los riesgos y amenazas a los que se enfrenta una empresa. Casi un cuarto de los encuestados desconocen lo seguro que es su sitio web 2% 27% 33% 15% 23% 6 Véase Symantec s Internet Security Threat Report enterprise/other_resources/b-istr_main_report_2011_ en-us.pdf 7 Durante el último trimestre de 2011, Symantec detectó que el 35,8 % de los sitios web tenían al menos una vulnerabilidad y que el 25,3 % presentaban al menos una vulnerabilidad de carácter crítico. Informe de Symantec sobre las amenazas para la seguridad en Internet, indicado arriba. 8 Informe de Symantec sobre las amenazas para la seguridad en Internet, indicado arriba.

5 Cómo combatir la desinformación Una empresa que realice evaluaciones de vulnerabilidad con asiduidad sabrá a ciencia cierta si su sitio web es seguro. Sin embargo, más de la mitad de los encuestados (el 53 %) nunca han hecho una evaluación de este tipo, quizá porque muchos desconocen que el malware constituye un problema cada vez más grave. El 15 % habían llevado a cabo una evaluación de vulnerabilidad en el mes anterior al sondeo; el 16 %, en los últimos seis meses; y el 16 %, en el último año. La mayoría de los que han hecho evaluaciones suelen repetirlas. El 52 % de las empresas encuestadas pertenecientes a este grupo habían hecho varias en los últimos doce meses, y un cuarto las practican con regularidad. El 21 % de las empresas más grandes han realizado una evaluación hace poco, pero el porcentaje de medianas empresas (con plantillas de entre 500 y 999 empleados) que no han hecho ninguna es mucho más elevado (del 67 %). Las empresas de mayor tamaño también repiten más las evaluaciones: el 37 % de las 30 empresas encuestadas que se encuadran en esta categoría realizan evaluaciones mensuales. El análisis automatizado apenas se utiliza para las evaluaciones de vulnerabilidad, posiblemente porque, en el caso del servicio gratuito de Symantec, existe desde hace poco. Solo lo utilizaron el 6 % de quienes habían hecho evaluaciones. La mitad de este grupo usó herramientas de otros fabricantes y el 44 % optó por una evaluación interna. La utilidad de las evaluaciones de vulnerabilidad resulta evidente. Más de un cuarto (el 27 %) de quienes nunca han hecho una admiten que no saben lo seguro que es su sitio web, mientras que el porcentaje desciende al 23 % si se tiene en cuenta toda la muestra. Por el contrario, quienes sí las hacen confían más en la seguridad de su sitio web. Solo el 4 % de este grupo desconoce hasta qué punto es seguro su sitio web. Por supuesto, descubrir qué problemas existen es solo el primer paso, aunque siempre viene bien saber qué riesgos estamos dispuestos a asumir. Un gran número de quienes realizan evaluaciones periódicas afirman que sus sitios web son muy seguros (el 52 %), y casi un tercio (el 30 %) los consideran razonablemente seguros. Cuándo fue la última vez que sometió su sitio web a una evaluación de vulnerabilidad? cada mes 0% 30% 52% 14% 4% 0% 36% 27% 14% 27% Nada

6 Valoración del riesgo No es de extrañar que, a falta de información, los responsables informáticos consideren poco probable que les afecten los riesgos señalados. Más de la mitad de los encuestados no realizan evaluaciones de vulnerabilidad, por lo que no tienen manera de precisar el riesgo que suponen las distintas vulnerabilidades. Sus valoraciones son meras suposiciones, y Symantec ha constatado que están muy alejadas de la realidad. Los encuestados opinan que las vulnerabilidades más frecuentes son las siguientes: Ataques de fuerza bruta (20 %) Accesos de personas no autorizadas (19 %) Filtraciones de información (15 %) Falsificación de peticiones entre sitios (15 %) Falsificación de contenidos (14 %) Ataques de secuencias de comandos entre sitios (13 %) Los encuestados consideran que el riesgo de ataques de secuencias de comandos entre sitios es el menor de todos, pero los estudios de Symantec demuestran que se equivocan, ya que están entre los más frecuentes. Casi un tercio (el 32 %) de los encuestados admiten que no saben si este problema les afecta. Las filtraciones de información también se consideran infrecuentes. Casi la mitad de los encuestados (un 49 %) las ven improbables, pero lo cierto es que son un problema cada vez más extendido, como demuestra claramente el caso de Sony PlayStation. En la encuesta, los ataques de fuerza bruta se consideran los de mayor incidencia (el 20 % de los encuestados los califican de probables o muy probables), de lo que se deduce que los participantes se imaginan que los riesgos virtuales no son tan graves como tener una infraestructura física desprotegida. Solo el 19 % de los participantes del estudio consideraban el acceso de personas no autorizadas probable o muy probable, aunque en realidad fue el problema que afectó a más encuestados. Seis lo citaron como el incidente más grave sufrido en los últimos seis meses. Una vez más, las discrepancias entre lo que piensan los encuestados y lo que de verdad sucede pone de relieve la desinformación que existe en torno a las vulnerabilidades. Las empresas deberían ser más conscientes de los riesgos a los que se exponen, ya que de lo contrario no sabrán cómo mejorar la Qué riesgo cree que existe de que su sitio web sufra un ataque de secuencias de comandos entre sitios? 32% 4% 9% Menor probabilidad No lo sé 18% 37% Más probable

7 : es lo mismo sentirse seguro que estarlo? Un gran número de empresas del piensan que sus sitios web son relativamente seguros y no presentan vulnerabilidades, pero la mitad de los encuestados no realizan evaluaciones de vulnerabilidad, así que quizá se trate de una apreciación injustificada. El porcentaje de empresas del que califican a su sitio web de muy seguro o totalmente seguro (el 48 %) coincide con la media de los cuatro países encuestados. El 24 %, un porcentaje también próximo a la media, respondió «no lo sé» a la hora de valorar la seguridad de su sitio web. Sin embargo, el porcentaje de empresas para las que sus sitios web son plenamente seguros (un 20 %) supera al del resto de los mercados encuestados. En el, el riesgo de sufrir las vulnerabilidades señaladas se considera más bajo que en los demás países. En tres de las seis categorías (cuya lista completa se indica en la pestaña anterior), hay más empresas que consideran muy bajo el riesgo de sufrir una vulnerabilidad determinada que en ningún otro país. En las tres categorías restantes, el porcentaje de empresas que las consideran muy improbables sitúa al en el segundo puesto. En comparación con los otros tres países, también hay más empresas que no saben si presentan tres de las vulnerabilidades mencionadas. Un buen ejemplo son los ataques de secuencias de comandos entre sitios. El 40 % de las empresas del los consideran la vulnerabilidad menos probable, mientras que un 48 % reconocen que ignoran el peligro que corren al respecto. Del total de encuestados, la mitad han hecho evaluaciones de vulnerabilidad y la otra mitad, no. De los primeros, el porcentaje que ha hecho varias en los últimos doce meses (el 56 %) es superior a la media. Además, en ningún otro país se han hecho públicas menos brechas de seguridad que en el Reino Unido. Podría decirse que el país se divide en dos bandos. Por un lado, el de las empresas que realizan evaluaciones con regularidad, resuelven los problemas detectados y se consideran muy protegidas. Por otro, el de aquellas que nunca hacen evaluaciones y no saben a qué riesgos se exponen. Un quinto de las empresas del consideran que su sitio web es plenamente seguro Muy seguro No lo sé 0% 28% 28% 20% 24 %

8 : seguridad excepcional pero poco probada A primera vista, las empresas francesas confían en la seguridad de sus sitios web, pero en realidad sus declaraciones ponen de manifiesto que desconocen los riesgos a los que están expuestas, ya que un porcentaje superior a la media no realiza evaluaciones de vulnerabilidad. El 42 %, un porcentaje elevado y superior a la media (del 33 %), considera sus sitios web muy seguros, y el porcentaje de empresas que los consideran muy seguros o totalmente seguros es del 52 %, frente a un promedio del 48 %. Muy pocas (el 8 %, mientras que la media es del 23 %) declaran que no saben lo seguros que son sus sitios web. Sin embargo, las empresas francesas son las que consideran más alta la probabilidad de sufrir cinco de las seis categorías de vulnerabilidades y las que menos protegidas se sienten frente a los ataques mencionados. Los riesgos que más les preocupan son la falsificación de peticiones entre sitios (que el 34 % de las empresas consideran probable o muy probable en su caso), los ataques de fuerza bruta (señalados por un 32 %) y el acceso de personas no autorizadas (que mencionan el 28 %). Pocas empresas dijeron que no sabían el riesgo que corrían de sufrir cada tipo de de vulnerabilidad en su sitio web: el 8 % o menos en cada categoría, mientras que el porcentaje medio oscila en torno al 30 %. En, casi dos tercios de los encuestados no han hecho nunca una evaluación de vulnerabilidad para comprobar si su sitio web es seguro. Hace poco, el mes pasa d o En los Ultimos seis meses 14% 14% es el país en el que más encuestados (casi dos tercios, concretamente el 64 %) no han hecho nunca una evaluación de vulnerabilidad. Entre quienes las llevan a cabo, el 44 % opta por las evaluaciones internas: el segundo porcentaje más alto de la encuesta. El 39 % de las empresas que hacen evaluaciones las repiten cada mes. Las empresas francesas deben informarse más sobre las vulnerabilidades que afectan a sus sitios web. Si se les pregunta, se descubre que el porcentaje que sospecha que podría tener problemas es mayor que en otros países. Las evaluaciones les servirían para saber hasta qué punto necesitan preocuparse, o bien para confirmar que los sitios web franceses son tan seguros como algunos creen. En el Ultimo ano Nunca lo he hecho 8% 64%

9 : empresa prevenida vale por dos es el país que realiza más evaluaciones de vulnerabilidad y el más informado en cuanto a la seguridad de sus sitios web. El porcentaje de encuestados que califican a sus sitios web de «muy seguros» es mayor que en los otros tres países, aunque el número de empresas que reconocen no saber si están protegidas es superior a la media. El 44 % de las cincuenta empresas encuestadas piensan que sus sitios web son muy seguros, un porcentaje que se eleva al 56 % si se suman las que los consideran muy seguros o totalmente seguros. No obstante, una proporción bastante elevada (el 28 %, frente a una media del 23 %) no sabe lo seguros que son sus sitios web. En general, está más informada y mejor preparada que otros países europeos, aunque las empresas que aún no realizan evaluaciones deberían ponerse a la altura de sus competidores. Las empresas alemanas son las que más evaluaciones realizaron en el mes anterior a la encuesta o en los seis últimos meses, y también es el país con menos empresas que no han hecho ninguna evaluación Las empresas alemanas consideran bastante probables varias de las vulnerabilidades señaladas, aunque muchas respondieron «no lo sé» a la hora de valorar su probabilidad. también es el país con más empresas que consideran probable o muy probable sufrir tres de las seis categorías de vulnerabilidad: ataques de secuencias de comandos entre sitios, filtraciones de información y acceso de personas no autorizadas. Sin embargo, en la categoría de falsificación de peticiones entre sitios, un abrumador 60 % admite que no sabe si este problema podría afectar a sus sitios web. En general, el país está muy concienciado sobre los riesgos, como demuestran los porcentajes de empresas que hicieron evaluaciones de vulnerabilidad en el mes anterior a la encuesta (un 20 %) y en los últimos seis meses (un 26 %). Además, también es el país donde hay menos empresas (un 42 %) que nunca han realizado una evaluación. El 58 % restante sí había llevado a cabo evaluaciones durante el último año, mientras que la media de los cuatro países es del 47 %. En la mayoría de los casos (un 69 %, frente a una media del 44 %), las evaluaciones se realizaron de forma interna. Las empresas alemanas también son menos reticentes que las de los demás países a admitir los ataques que sufren. Ocho de las encuestadas (el 16 %) los reconocieron. Estudio realizado por un colaborador externo Evaluacion interna Analisis automatizado a distancia De otro modo 3% 14% 38% 69%

10 : ojos que no ven, corazón inconsciente A diferencia de las empresas alemanas, que están muy informadas, las suecas no comprenden bien los riesgos que corren sus sitios web. De todas ellas, solo el 38 % consideran sus sitios web muy seguros o totalmente seguros: una cifra que se encuentra diez puntos porcentuales por debajo de la media de los cuatro países encuestados. Además, el 32 % no saben lo seguros que son sus sitios web, frente a la media de los cuatro países, que es del 23 %. Esta falta de información se refleja también en la valoración que hacen de las distintas vulnerabilidades. En todas las categorías, las empresas suecas son las que más responden «no lo sé». En tres de las seis categorías (filtraciones de información, falsificación de contenidos y acceso de personas no autorizadas), es el país donde más empresas admiten que no saben si sufren estas vulnerabilidades. Solo el 22 % de las empresas suecas han hecho una evaluación de vulnerabilidad en el mes anterior a la encuesta o en los últimos seis meses Hace poco, el mes pasa d o 12% Las empresas suecas también cometen el error de considerar muy infrecuentes todas las vulnerabilidades. Las filtraciones de información son el problema al que atribuyen una probabilidad más alta, con un 16 % que las considera muy probables. En los Ultimos seis meses 10% Esta desinformación es comprensible, puesto que solo el 22 % de las empresas habían realizado una evaluación de vulnerabilidad en el mes anterior a la encuesta o en los últimos seis meses: el porcentaje más bajo de los cuatro países. El 56 % no habían hecho nunca ninguna evaluación, una proporción que supera la media de los cuatro países, y de las que declararon usar este método, casi un tercio (el 32 %, frente a una media del 23 %) lo hicieron una sola vez. Sin esta información, las empresas suecas no tienen forma de cuantificar el peligro que corren ni de tomar medidas que les permitan solucionar riesgos concretos. Recurrir a instrumentos sencillos como el análisis automatizado es una buena forma de empezar a abordar estos problemas. En el Ultimo ano Nunca lo he hecho 22% 56%

11 La información: un arma eficaz contra las vulnerabilidades La encuesta que realizamos a doscientas empresas europeas pone de manifiesto que muchas desconocen si sus sitios web son seguros y si presentan vulnerabilidades. Pero qué consecuencias tiene esta desinformación y cómo puede subsanarse? Aunque muy pocos participantes admitieron haber sufrido brechas de seguridad y los datos sobre la naturaleza de estas son insuficientes, varias empresas afectadas reconocieron la gravedad de sus consecuencias. En general, el 9 % de las empresas (19 en total) declararon haber sufrido un incidente de este tipo en los últimos seis meses. A las más grandes les cuesta mucho menos admitirlo que a las demás. Más de un quinto (el 21 %) de las 58 empresas con más de 1000 empleados no dudaron en reconocerse afectadas. La falta de información sobre las brechas de seguridad es natural, ya que en la mayoría de los casos no llegan a hacerse públicas o pasan inadvertidas. Las infecciones con malware de sitios web legítimos cada vez son más frecuentes, y los responsables pueden dejar páginas fuera de servicio, robar los datos de los usuarios e incluso realizar transacciones fraudulentas sin que las empresas lleguen a darse cuenta. Según el informe de Symantec sobre las amenazas para la seguridad, el 61 % de los sitios web dañinos son sitios legítimos que han sido objeto de un ataque. Para los encuestados, las brechas de seguridad más graves fueron los casos de acceso de personas no autorizadas, seguidos de la intrusión en el sistema de correo electrónico y, en tercer lugar, de la falsificación de contenidos. Seis empresas se negaron a divulgar la naturaleza del incidente más grave. A la luz de todo esto, cuál es la mejor manera de determinar si su sitio web ha sido objeto de un ataque o si podría serlo debido a las vulnerabilidades que presenta? Si su empresa no quiere realizar una evaluación exhaustiva ni encargársela a terceros por considerarla costosa o inadecuada, hacer un análisis automatizado y a distancia es el punto de partida perfecto para detectar vulnerabilidades. Los clientes de Symantec lo tienen fácil, ya que el servicio se incluye de forma gratuita con la compra de la mayoría de los certificados SSL. 9 El análisis determina si existen vulnerabilidades graves que, al dar vía libre a los cibercriminales, les permitan insertar malware en los sitios web y acceder a los datos confidenciales de los clientes. Tras el análisis, también se elabora un informe de amenazas con posibles soluciones sencillas, como la actualización del software o el sistema de seguridad, la concienciación de los usuarios u otras recomendaciones. Quienes analizan sus sitios con frecuencia para detectar vulnerabilidades están más protegidos y mejor informados. cada mes 0% 30% 52% 14% 4% 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. VeriSign y otras marcas relacionadas son marcas comerciales o registradas de VeriSign, Inc. o sus empresas asociadas o filiales en los EE. UU. y en otros países, y Symantec Corporation tiene licencia para su uso. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. Symantec Spain S.L. Parque Empresarial La Finca Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España 9 Symantec ofrece a sus clientes servicios de evaluación de vulnerabilidad gratuitos con la compra de certificados Extended Validation Secure Sockets Layer (EV SSL), Premium y Secure Site Pro. Todos los certificados SSL de Symantec y los productos Secured Seal también incluyen un análisis diario