Un portátil en un flotador sobre un mar de código binario. Análisis y reducción de la superficie de ataque en ciberseguridad.
Protege tu sistema: Analiza y reduce tu superficie de ataque para una mejor ciberseguridad.
Junior Geeks·
Seguridad Defensiva
·11 Minutos de lectura

Superficie de Ataque: Análisis y Reducción en Ciberseguridad

Cuando se aborda la seguridad de un sistema de información, la noción de superficie de ataque es muy importante. En este artículo, trataremos de comprender qué es la superficie de ataque, cómo analizarla y, finalmente, cómo reducir su tamaño.

Tabla de Contenido

¿Qué es una superficie de ataque?

La superficie de ataque de un sistema de información puede describirse de la siguiente manera: se trata de todos los puntos de entrada y comunicación que un sistema de información tiene con el exterior. Veamos algunos ejemplos:

  • Un sitio web comercial con un formulario disponible para los clientes para solicitar presupuestos;
  • Un puerto VPN abierto en la puerta de enlace de red;
  • Un montaje de un sistema de archivos externo en un servidor de archivos;
  • Los servicios activos de un servidor;
  • La interfaz de administración de cualquier aplicación;
  • etc.

Todo lo que interactúa con los visitantes o usuarios forma parte de la superficie de ataque. Es una noción que también se puede encontrar en el ámbito militar. La superficie de ataque es simplemente el conjunto de puntos que pueden ser atacados, porque un atacante puede estar en contacto con ellos.

También se describe la superficie de ataque como la exposición del sistema de información (arquitectura, servidores, servicios, aplicaciones e incluso personas), es lo que se puede alcanzar, por lo tanto, potencialmente vulnerable.

Es común, cuando se habla de la superficie de ataque, distinguir cuatro tipos:

  • Superficie de ataque de software: Se trata de todos los puntos de entrada/salida de una aplicación con su entorno (sistema operativo, bibliotecas, acceso de lectura/escritura, etc.).
  • Superficie de ataque de red: Aquí hablamos de puertos abiertos, IP activas, flujos de red y protocolos utilizados, etc.
  • Superficie de ataque humana: Se trata de todos los puntos (humanos) vulnerables al phishing y a las técnicas de ingeniería social, por ejemplo, el recurso humano es un elemento central de la seguridad del SI y a menudo se omite en el diseño de la política de seguridad y su implementación.
  • Superficie de ataque física.

¿Por qué es importante la superficie de ataque?

El tamaño o la extensión de la superficie de ataque reflejará simplemente su exposición a posibles ataques. Cuanto más extensa e importante sea una superficie de ataque, más habrá que trabajar para asegurar a fondo todos los puntos que la componen.

Esquema ilustrativo de una superficie de ataque no controlada, mostrando puntos débiles y dispersos. Ideal para entender la seguridad informática.
El esquema ilustra la complejidad de defender una superficie de ataque no controlada. Comprender esto es clave en seguridad informática.

En el caso de que la superficie no se reduzca, o no haya sufrido un análisis y corrección, como ocurre en muchos SI, nos encontramos con una gran superficie de ataque. Entonces, la defensa y los medios de filtrado y control son más complejos de implementar y organizar. Un ataque a una superficie de gran tamaño se caracteriza por numerosos puntos de entrada al sistema de información, por lo que un atacante tendrá muchas posibilidades de ataque y mayores probabilidades de encontrar una vulnerabilidad para acceder al SI.

Esquema de superficie de ataque reducida, mostrando una defensa más centrada y robusta. Concepto clave en seguridad informática.
La imagen ilustra la importancia de reducir la superficie de ataque ciberseguridad. Defensa más efectiva y fácil de gestionar.

En este caso, la superficie de ataque está controlada y reducida, por lo que tenemos una cantidad menor de puntos de entrada. El atacante tiene, por lo tanto, menos posibilidades de ataque y menos probabilidades de encontrar una puerta de entrada vulnerable al SI.

Además, los puntos de defensa, filtrado y control cubren un área menor y, por lo tanto, son más fáciles de gestionar y, en última instancia, más eficaces.

También hay que tener en cuenta que si la superficie de ataque es más pequeña y mejor definida, los puntos de defensa pueden ser menos numerosos, lo que significa menos mano de obra para implementarlos, pero también menos compras de software y hardware de protección como routers o módulos de filtrado.

¿Cómo analizar una superficie de ataque?

El análisis de la superficie de ataque consiste simplemente en elaborar un mapa preciso y documentado de todos los puntos de entrada del sistema de información. Se puede realizar el análisis de la superficie de ataque de un sistema operativo, de una máquina específica, de una aplicación, de un simple puerto. La superficie de ataque del sistema de información estará finalmente compuesta por el conjunto de estos elementos.

Una vez que todos estos puntos estén listados e identificados, conviene realizar un análisis detallado de los mismos. Entonces, para un puerto 80 abierto, por ejemplo, buscaremos todo lo que un atacante podría utilizar para aprovechar la exposición de este puerto 80. En una aplicación, esto puede ser, por ejemplo, que la aplicación se ejecute con los derechos de un usuario privilegiado del sistema. Para un análisis de la superficie de ataque humana, puede bastar con que un usuario “normal” tenga suficientes privilegios para realizar modificaciones en algunos sistemas o aplicaciones.

Hay que saber que una vulnerabilidad será necesariamente perjudicial cuando esté presente en un punto de entrada del sistema de información. Así, cuanto más pequeña sea la superficie de ataque (poco extensa), menos numerosas serán las vulnerabilidades, y por lo tanto las posibilidades de ataque e intrusión (¡pero no necesariamente de menor impacto!).

Una vez analizada y mapeada la superficie de ataque se pueden destacar e identificar diferentes puntos que parecerán más críticos en función de su impacto potencial en el sistema de información. También se podrá prestar más atención a algunos puntos de entrada de la superficie de ataque observando la probabilidad de que sean atacados. Un puerto 22 en un servidor abierto en Internet es un punto de entrada muy crítico, por ejemplo. Sin embargo, cada punto de entrada tiene su importancia y no se debe descuidar ninguno.

Te puede interesar: Cómo Hacer un Escaneo de Puertos a un Sitio Web

Durante el análisis de la superficie de ataque, se puede establecer una jerarquía y una secuencia en los puntos de entrada.

Diagrama que muestra la superficie de ataque de un servidor, donde un puerto 80 puede ocultar múltiples puntos de entrada como WordPress o Webmin.
Un solo puerto puede representar múltiples puntos de entrada. Analiza tu superficie de ataque.

Aquí, el análisis de la superficie de ataque comienza por el punto de entrada que es la IP y el puerto de la máquina. No hay que olvidar aquí el sistema operativo del servidor, que ya puede contener vulnerabilidades. En este punto de entrada se ejecuta un servicio Apache2 que también puede ser atacado; en este servidor Apache2, dos aplicaciones distintas que también pueden contener sus propias vulnerabilidades y que contienen puntos de entrada adicionales; en un servicio web, puede tratarse, por ejemplo, de la posibilidad de cargar archivos, introducir texto almacenado en el servidor o de la posibilidad de realizar búsquedas… Cada uno de estos puntos es parte de la superficie de ataque.

El análisis de la superficie de ataque permite finalmente orientar y definir lo que hay que defender y proteger. Este análisis debe estar claramente documentado para saber qué hay en el sistema de información; también hay que revisar y analizar periódicamente la superficie de ataque para ver si se han realizado cambios.

Preguntas a considerar:

  • ¿Qué servicios he implementado desde mi último análisis de la superficie de ataque?
  • ¿Qué han abierto estos servicios al exterior o al entorno de mi aplicación?
  • ¿Mi superficie de ataque es mayor o menor que antes?
  • ¿Las vulnerabilidades de tal punto de entrada de mi superficie de ataque son más o menos numerosas o peligrosas?

Una vez que la superficie de ataque esté cartografiada y conocida, hay que trabajar en la reducción de su tamaño.

Reducción y supervisión de la superficie de ataque

El sistema de información de una empresa es un elemento vivo, por lo que constantemente ocurre que algunos servicios dejan de utilizarse o solo se utilizan con poca frecuencia. Otros servicios se actualizan poco porque se consideran poco críticos. La reducción de la superficie de ataque (o ASR por “Attack Surface Reduction”) permite tener un mejor control sobre lo que está expuesto y así mejorar la seguridad global del SI o de una aplicación, pero ¿cuáles son las acciones que hay que llevar a cabo para reducir el tamaño de la superficie de ataque y controlarla? Aquí exploraremos varias posibilidades:

Una vez que se hayan identificado todos los puntos de la superficie de ataque, generalmente se podrán distinguir puntos más críticos que otros. Entonces será posible implementar herramientas de supervisión o protecciones avanzadas en estos puntos (tanto los puntos críticos como los menos críticos). Por ejemplo, se puede implementar una centralización y un análisis de los registros con la ayuda de Rsyslog y de un IDS como Snort o Suricata. Los sistemas de análisis de registros, como los IDS, permiten detectar antes las intrusiones o los comportamientos anormales, lo que contribuye a una mayor supervisión de un punto de entrada.

También se puede proceder, para los sistemas muy expuestos, a un análisis de seguridad regular, utilizando herramientas como los scripts Lynis y LBSA en Linux, que permiten implementar las verificaciones de diferentes puntos de seguridad y, en última instancia, garantizar una seguridad mínima.

El control del tamaño de su superficie de ataque también pasa por la gestión de su evolución. Una vez que la superficie de ataque esté definida e identificada, es importante mantener este control incluso cuando el sistema evolucione. Por lo tanto, en caso de modificación, hay que saber exactamente lo que abre tal o cual herramienta en la superficie de ataque y proceder, si es necesario, a un nuevo análisis de la misma.

En un sistema operativo, la reducción del tamaño de la superficie de ataque o de la exposición a los ataques a menudo pasa por el análisis de lo que no se utiliza o puede utilizarse en el sistema; a continuación, se decide cerrar los servicios y puertos innecesarios para limitar las posibilidades de interacción a distancia con este sistema. Es un principio ampliamente conocido, pero poco aplicado, ya que requiere tiempo y un profundo conocimiento del uso de los servicios y servidores por parte del SI y los usuarios. Este proceso, aplicado al sistema operativo o a las aplicaciones, se denomina hardening o “endurecimiento”: ¿hardening qué es?

Los diferentes procedimientos de autenticación son también un medio para reducir la exposición global de un sistema; de hecho, se intentará “ocultar” la mayor parte de las interacciones posibles tras una o varias autenticaciones. Entonces se reducirá el número de personas que pueden realizar acciones avanzadas o peligrosas, y así se reducirá la superficie de ataque total.

Grandes principios de la seguridad informática permiten reducir el tamaño de la superficie de ataque; por ejemplo, cabe destacar:

  • Control de los accesos a redes y sistemas: Aquí se intentará implementar restricciones y filtrados avanzados para que solo pasen los flujos legítimos a través de un router, por ejemplo. Del mismo modo, los cortafuegos de los sistemas expuestos estarán activos y los filtros se configurarán con mucha precisión.
  • Principio del menor privilegio: Cuando se trata de limitar el impacto de la corrupción de un puesto de usuario o incluso los efectos de un ataque de ingeniería social, el principio del menor privilegio puede permitir reducir la superficie de ataque. Entonces se dará a un usuario o grupo el mínimo de privilegios en relación con sus necesidades; por lo tanto, se podrá saber con precisión a qué sistemas e información tiene acceso tal usuario y tener una idea más precisa del tamaño de su superficie de ataque, pero también del impacto potencial que puede tener un ataque en este elemento humano. El principio del menor privilegio también se aplica a la parte de la aplicación; entonces se evitará ejecutar un servicio que tenga una interacción con el exterior como root, por ejemplo; el hecho de ejecutarlo con los derechos de un usuario con menos privilegios reducirá el tamaño de la superficie de ataque del sistema en relación con esta aplicación.

Hemos visto anteriormente que la superficie de ataque también está compuesta por las personas que utilizan y actúan sobre el sistema de información; la formación de los usuarios del SI es también un medio para reducir la superficie de ataque; además del principio del menor privilegio, se sensibilizará a los usuarios sobre los diferentes ataques, pero también se les enseñará a desconfiar de algunas llamadas o correos electrónicos que puedan parecer sospechosos (ingeniería social).

En el caso de las aplicaciones, así como de las arquitecturas de sistemas y redes, se encuentra el interés del “secure by design“; se trata entonces de pensar en la seguridad desde la fase de diseño y no al final o cuando el tiempo lo permita. Esto a menudo permite evitar errores, olvidos o fallas de seguridad de diseño.

En este artículo hemos visto qué es una superficie de ataque, cómo iniciar su análisis y algunas pistas para reducir su tamaño; no dudes en compartir tus métodos de defensa y análisis de la superficie de ataque en los comentarios o dinos si ya estabas familiarizado con este principio de la seguridad informática.

Etiquetas
0 1 2 0

🤞 ¡El Gran Hermano te vigila, pero sabemos cómo detenerlo!

¡No enviamos spam! Lee nuestra Política de Privacidad para más información.

Junior Geeks
Junior Geeks es un colectivo de profesionales de la ciberseguridad y hacking ético con certificaciones de élite como OSCP (Offensive Security Certified Professional) y CEH (Certified Ethical Hacker).Nuestra misión en esgeeks.com es democratizar el conocimiento, proporcionando trucos y guías prácticas sobre sistemas operativos, seguridad y el mundo digital en general. Con más de una década combinada de experiencia, nuestro objetivo es darte las herramientas para que tú tengas el control.
Relacionado

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda