El abrupto incremento de las actividades en línea causado por el confinamiento puso una gran presión sobre los equipos de TIC de las universidades. Estos se vieron obligados a implementar plataformas y protocolos en un tiempo récord para posibilitar la continuidad de las clases y actividades administrativas en el ciberespacio. Naturalmente, ello incrementó también los desafíos para la ciberseguridad.

De hecho, se ha reportado un acusado aumento de ataques cibernéticos que aprovechan la emergencia sanitaria por el COVID-19. Destacan, particularmente, los correos electrónicos y sitios web con phishing. También han proliferado aplicaciones engañosas que dicen ofrecer información sobre la pandemia cuando en realidad constituyen malware. Inclusive han surgido supuestos antivirus que son, en realidad, malware que convierten en bots a las computadoras infectadas.

Debilidades al descubierto

Seguridad universitaria con pruebas de penetración automatizadas

Entre las herramientas disponibles para contrarrestar dichos riesgos se cuenta las pruebas de penetración. Conocidas como hacking ético o pentesting, son realizadas por un hacker o grupo de hackers, quienes simulan ciberataques a la red de una organización o un departamento individual, tales como aplicaciones o dispositivos móviles. Para ello, imitan las tácticas usadas por verdaderos criminales. Se utilizan para detectar las fallas o debilidades de un sistema. Eso permite determinar la probabilidad de que sean explotadas por un pirata informático.

Se realizan por varios motivos, incluyendo:

●Responder a una falla de seguridad en una organización similar.

●Cumplir con regulaciones o normatividad.

●Garantizar la seguridad de nuevas aplicaciones o cambios significativos a procedimientos de negocio.

●Manejar los riesgos de usar un mayor número y variedad de servicios tercerizados.

●Evaluar el riesgo de que los datos o sistemas críticos se vean comprometidos.

●Al probar nuevas aplicaciones en el momento del go live.

●En un momento de actualización mayor.

Tipos de pentesting

Seguridad universitaria con pruebas de penetración automatizadas

●Externas de red, que incluyen todos los servicios de red, servidores, hosts y dispositivos que conectan a la Internet o a sistemas externos.

●Internas de red para asegurar que la red esté segura tanto contra usuarios internos como de ataques no autorizados.

●Aplicaciones web para identificar vulnerabilidades de seguridad que resulten de un desarrollo inseguro de software.

●Penetración de red inalámbrica para detectar puntos de acceso o dispositivos no autorizados dentro del entorno de la organización.

●Ingeniería social, cuya meta es evaluar la factibilidad de que los empleados rompan reglamentos de seguridad o den acceso involuntario a información.

Pruebas de penetración automatizadas: el siguiente paso

La mayoría de las organizaciones, incluidas las universidades, suelen programar pruebas de penetración si acaso una o dos veces al año. Adicionalmente, la duración de las pruebas es limitada, lo que a su vez acota la utilidad de sus resultados. El motivo: las pruebas exigen un gran número de horas-hombre para realizarlas y evaluar los datos arrojados.

Una manera de contrarrestar este problema es realizar pruebas de penetración automatizadas. Denominadas por la consultora ESG como Continuous Automated Penetration and Attack Testing (CAPAT), consiste en una nueva técnica que simula ataques a través de campañas controladas de correos electrónicos con phishing, ingeniería social o la explotación de debilidades en aplicaciones.

Entre las ventajas de esta técnica radica la posibilidad de configurar las herramientas para que ataquen con ritmos variados e incorporen las tácticas y procedimientos adoptados por los cibercriminales conforme se vayan dando a conocer. Eso permite adaptar las defensas de las instituciones con mucha más velocidad y solidez que mediante los métodos tradicionales. Inclusive, se pueden utilizar algoritmos de machine learning para variar los ataques y adaptarlos a las particularidades de cada red analizada.

Consideraciones para implementarlas

Seguridad universitaria con pruebas de penetración automatizadas

●¿Es conveniente el momento? Es aconsejable fortalecer primero la seguridad de la información. El objetivo de una prueba de penetración es evaluar y mejorar las estrategias y tácticas implementadas, no crearlas.

●Establecer límites para la prueba. Esto resulta especialmente importante si hay dispositivos, sistemas o infraestructura que no deben ser atacados.

●Conocimiento de la institución. Las instituciones educativas suelen contar con equipo muy heterogéneo. Asimismo, las universidades gestionan una cantidad considerable de datos delicados y confidenciales. Por lo tanto, es importante que el proveedor esté familiarizado con las realidades de cada institución. También es aconsejable que se tenga la suficiente disponibilidad y flexibilidad para trabajar con el equipo interno de TIC.

Tomar en cuenta los hallazgos para realizar mejoras. Las pruebas de penetración automatizadas arrojan información continua sobre las debilidades encontradas. Para aprovecharla al máximo, conviene asegurarse de que resulten en cambios a los planes de seguridad informática. Para ello, es necesario realizar un inventario de los hallazgos, priorizarlos e implementar mejoras.

ARTÍCULOS RELACIONADOSMÁS ARTÍCULOS DEL AUTOR