Introducción
La ciberseguridad se ha convertido en un tema de creciente preocupación a nivel global. En América Latina y España, por ejemplo, se ha experimentado un aumento significativo en ataques e incidentes cibernéticos.
Fortinet registró 137 mil millones de intentos de ciberataques en América Latina en la primera mitad del año, mientras que ESET reportó 151 millones de ataques en España. En muchos casos, estos ataques se deben a fallas en los sistemas de seguridad provistos por los mismos fabricantes de soluciones de ciberseguridad.
En este informe, nos referiremos a este problema. Cabe preguntarse si vivimos con una falsa sensación de ciberseguridad y si el hecho de que una solución esté en Gartner es garantía suficiente o simplemente un deslinde de responsabilidad para quienes toman las decisiones.
Objetivo Principal de la Investigación
La investigación presente, titulada «CronUp analiza las vulnerabilidades y Zero-Day en los fabricantes TOP de Ciberseguridad«, tiene como objetivo principal analizar la fiabilidad de las marcas de ciberseguridad más reconocidas y utilizadas en la región. A pesar de su popularidad, estas marcas podrían presentan fallas de seguridad de forma recurrente generando riesgos a clientes debido principalmente por el tiempo que transcurre entre que la falla se conoce, la liberación del parche y la aplicación de este por las empresas, generando una ventana de exposición al riesgo que es aprovecha por actores de amenazas que están pendientes de estas fallas.
Nuestra investigación busca generar conciencia acerca de la falsa sensación de ciberseguridad que puede resultar al entregar confianza ciega en estas marcas sin un proceso que esté de forma continúa validando la existencia de vulnerabilidades y fallas de configuración. Destacamos la importancia de complementar su uso con estrategias de prevención y respuesta adecuadas a nivel individual y organizacional. De esta manera, esperamos en incentivar una cultura de ciberseguridad más sólida y efectiva.
Es crucial no dejarse llevar por los posibles conflictos de interés que pueden existir entre algunas marcas y los socios tecnológicos que las promocionan. Cuando se descubren vulnerabilidades críticas o de «día cero», las comunicaciones al respecto suelen ser escasas y limitadas por quienes la representan, similar a publicar anuncios en una esquina de un periódico con letra Arial 7, cuando eso debería ser un titular y con el mismo énfasis que se dan a conocer en las distintas ferias y eventos del sector.
Resultado del Estudio
Vulnerabilidades Explotadas Conocidas
En este análisis, se compararon los resultados obtenidos por CISA (Cybersecurity and Infrastructure Security Agency), una entidad gubernamental de Estados Unidos, con muestras de CVE recopiladas entre Enero de 2020 y Diciembre de 2022 por el departamento de Alerta Temprana de Riesgos Cibernéticos (ATRc®) y el Departamento de Ciberinteligencia de CronUp.
Se identificó que los productos de SonicWall son los que prestaron mayor cantidad de fallos de seguridad conocidos y explotados con siete vulnerabilidades. Citrix le sigue de cerca con una tasa de explotación activa de cinco. F5, Fortinet y Sophos ocupan posiciones iguales en cuanto a índices de explotación. Para luego pasar con Palo Alto, McAfee y Windows Defender. Dando un total de 28 vulnerabilidades explotadas conocidas en el estudio.
| Marcas | Número de Vulnerabilidades Explotadas Conocidas |
| SonicWall | 7 |
| CITRIX | 5 |
| Sophos | 4 |
| Fortinet | 4 |
| F5 | 4 |
| Palo Alto | 2 |
| McAfee | 1 |
| Windows Defender | 1 |
| Check Point | 0 |
| ESET | 0 |
| IBM Security | 0 |
| Kaspersky | 0 |
| TOTAL | 28 |
Vulnerabilidades de Severidad Crítica
Dentro del espectro del universo estudiado en las marcas de ciberseguridad, se ha llegado a detectar qué F5 ha sido la marca con mayor tasa de publicaciones de CVEs registradas bajo la categoría de “Críticas”, con 20 CVEs identificados hasta la fecha de realizar esta investigación. Seguido posteriormente por la marca Fortinet con 19 CVEs, SonicWall con 14 CVEs, Sophos con 9 CVEs, Citrix con 8 CVEs y así sucesivamente. Algo que se presenta en el siguiente gráfico de manera visual.
🔎 Dato curioso: Check Point fue la única marca del estudio en no presentar una vulnerabilidad crítica en sus productos.
Vulnerabilidades de Severidad Alta
La marca con más vulnerabilidades de categoría «Alta» fue F5, que ha registrado 160 CVE. Le sigue Fortinet con 94 CVE, después McAfee con 80 CVE, IBM Security con 59 CVE, Palo Alto con 58 CVE, SonicWall con 39 CVE, Citrix con 37 CVE, Windows Defender con 31 CVE, Check Point con 11 CVE, Sophos con 10 CVE, Kaspersky con 8 CVE y ESET con 6 CVE.
🔎 Dato curioso: F5 y Fortinet son las dos marcas del estudio que se repiten de igual forma entre las vulnerabilidades críticas y Altas en tema de ranking.
Vulnerabilidades de Severidad Media
En la categoría de vulnerabilidades de severidad «Media», IBM Security es quien lidera en esta oportunidad, con una tasa récord de 179 CVE. Le sigue Fortinet con 144 CVE, luego F5 con 99 CVE, McAfee con 72 CVE, Palo Alto con 39 CVE, Citrix con 28 CVE, SonicWall con 15 CVE, Windows Defender con 10 CVE, Sophos con 10 CVE, Check Point y ESET con 6 y Kaspersky con 3.
Vulnerabilidades de Severidad Baja
Las vulnerabilidades de la severidad «Baja» no se tendrán en cuenta en la comparación, pero se incluirán en el recuento final de la investigación.
Total de CVEs Identificadas por Marca y Severidad CVSS v3
De acuerdo con la investigación realizada por el equipo de Ciberinteligencia de CronUp Ciberseguridad, se han identificado un total de 1399 vulnerabilidades en las 12 marcas seleccionadas. Estas vulnerabilidades se pueden clasificar en cuatro niveles de gravedad y se ordenan de la siguiente manera:
- Vulnerabilidades Críticas: 90
- Vulnerabilidades Altas: 601
- Vulnerabilidades Medias: 629
- Vulnerabilidades Bajas: 79
Sí clasificamos las marcas estudiadas con el número de vulnerabilidades registradas, se ha determinado que IBM Security es marca con más fallas de seguridad identificadas hasta la fecha, seguido luego por F5, Fortinet McAfee, Palo Alto, CITRIX, SonicWall, Windows Defender, Sophos, Check Point, ESET y finalmente, Kaspersky.
| Marcas | Número de Vulnerabilidades |
| IBM Security | 294 |
| F5 | 286 |
| Fortinet | 277 |
| McAfee | 159 |
| Palo Alto | 114 |
| CITRIX | 75 |
| SonicWall | 68 |
| Windows Defender | 45 |
| Sophos | 37 |
| Check Point | 19 |
| ESET | 13 |
| Kaspersky | 12 |
| TOTAL | 1399 |
Vulnerabilidades y los Actores de Amenazas
Conforme a los hallazgos de la investigación, se ha observado que la explotación de las vulnerabilidades mencionadas es una práctica recurrente en el modus operandi de diversas organizaciones delictivas a nivel global. Específicamente, los grupos de Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) y aquellos dedicados a la distribución de Ransomware encabezan el uso de estas debilidades en los sistemas de seguridad. Su objetivo principal es obtener privilegios elevados y/o eludir los mecanismos de protección, lo que les permite desplegar sus cargas maliciosas en el interior de las organizaciones afectadas.
Algunos de los casos son los siguientes:
- Los investigadores de ciberseguridad de Cyble, han observado que los corredores de acceso inicial (IAB) venden acceso a redes empresariales probablemente comprometidas a través de una vulnerabilidad crítica recientemente parcheada en los productos de Fortinet. La falla de seguridad fue rastreada como CVE-2022-40684.
- Fortinet advirtió que la vulnerabilidad rastreada como CVE-2022-41328, fue explotado por un actor de amenazas sofisticado en ataques altamente dirigidos a entidades gubernamentales o relacionadas con el gobierno. La compañía inició una investigación después de que fallará una verificación de integridad del firmware en un dispositivo. Mandiant reveló que el ataque fue realizado por un grupo de ciberespionaje Chino, rastreada como UNC3886.
- En diciembre de 2022, se ha detectado que el grupo APT5 (aka. KEYHOLE PANDA, MANGANESE, BRONZE FLEETWOOD), estaría explotando de manera activa, la vulnerabilidad rastreada como CVE-2022-27518. Los responsables del descubrimiento fue la Agencia Nacional de Seguridad, NSA en sus siglas en ingles.
- En Julio de 2020, Germán Fernández (Líder Red Team & Cyber Threat Intelligence para CronUp), dio a conocer de que la vulnerabilidad CVE-2020-5902 para F5 BIG-IP, estaría siendo usada de manera activa. Como también logra identificar más de 10.000 servidores potencialmente vulnerables. Entre los cuales 160 estaban en Chile. Acá un buen ejemplo respecto a la responsabilidad de las marcas, sus partner y el propio cliente de estar al tanto de las vulnerabilidades de sus plataformas, en especial a las que se les confía la seguridad de la operación del negocio.
Número de Vulnerabilidades por año
Durante los años de investigación analizados, se observó que en 2020 se alcanzó el pico más alto en cuanto a vulnerabilidades detectadas, con aproximadamente 509 CVE identificadas. No obstante, en 2021 y 2022 se registró una disminución significativa en estos números. Tal reducción podría estar relacionada con la relajación de las restricciones pandémicas y sus consecuencias, lo que posiblemente haya llevado a que numerosos investigadores no permanezcan en sus estaciones de trabajo de manera constante para identificar nuevas vulnerabilidades. Aunque es difícil determinar esta relación con total certeza.
Los datos presentados en la investigación subrayan el creciente número de riesgos a los que se enfrentan las organizaciones, lo cual debe impulsar la adopción de medidas para fortalecer las defensas actuales. Entre estas medidas se incluyen incrementar la concienciación, emplear herramientas y recursos disponibles, y mantener una vigilancia constante sobre los posibles puntos vulnerables de nuestros sistemas.
Es fundamental mantenernos un paso adelante para protegernos eficazmente contra las actividades delictivas de los actores de amenazas y su explotación de estas vulnerabilidades.
Gartner: ¿El cuadrante mágico definitivo?
La confianza en marcas líderes de ciberseguridad es esencial para proteger nuestros activos digitales. Aunque el Cuadrante Mágico de Gartner es una herramienta útil para evaluar proveedores de seguridad, no garantiza que una empresa sea la mejor opción para nuestras necesidades específicas de ciberseguridad.
Además del Cuadrante Mágico, es relevante considerar la experiencia del proveedor o integrador. Es común observar un debilitamiento de la protección después de cierto tiempo, debido a cambios y actualizaciones en el sistema y es una de muchas tareas cuando se analiza la superficie de ataque el evaluar cualquier cambio que pueda significar una oportunidad para el adversario. Esto destaca la importancia de contar con un equipo de seguridad que revise y evalúe constantemente la superficie de ataque y las tecnologías de ciberdefensa.
En CronUp, implementamos la Alerta Temprana de Riesgos Cibernéticos (ATRc®) para anticipar al adversario y detectar en el menor tiempo posible (T0+1) en la estrategia de ciberdefensa, incluyendo los servicios de SOC o Cyber SOC o cualquiera que el cliente le haya entregado la misión de velar por la seguridad.
Es fundamental reconocer que cada empresa presenta necesidades y riesgos únicos. Por ello, es esencial llevar a cabo una evaluación de riesgos y una selección meticulosa de proveedores para garantizar que la tecnología implementada se ajuste a sus requerimientos específicos. Además, es crucial incluir pruebas continuas en el proyecto para mantener un óptimo nivel de protección y detectar rápidamente cualquier disminución en la confiabilidad, ya sea por limitaciones tecnológicas o por la gestión de las soluciones.
Cabe destacar que poseer la tecnología más avanzada y costosa no garantiza necesariamente una protección superior frente a las amenazas de ciberseguridad. Las amenazas evolucionan de manera constante y los ciberdelincuentes emplean métodos cada vez más sofisticados. En consecuencia, es primordial adoptar un enfoque holístico en ciberseguridad que contemple no solo la tecnología, sino también la educación y concientización de los usuarios, la gestión de vulnerabilidades y la respuesta ante incidentes.
«Informar y Parchear» – Una tarea pendiente en la post-venta
La investigación revela que muchas organizaciones no actualizan sus tecnologías de seguridad regularmente, volviéndose vulnerables a riesgos cibernéticos. Esta situación puede deberse a la falta de información por parte de los proveedores y al rol crucial de los responsables de tecnología en las empresas.
Es fundamental que las organizaciones actualicen periódicamente sus tecnologías de seguridad y trabajen en colaboración con sus socios tecnológicos y de ciberseguridad, implementando políticas proactivas de seguridad para prevenir riesgos y garantizar el cumplimiento y protección de la empresa.
El conocimiento del panorama de amenazas basada en una estrategia de Alerta Temprana de Riesgos Cibernéticos – ATRc® se adecuada a una muy amplia gama de industrias y problemáticas, donde siempre la necesidad del cliente es parte estrategia de la orquestación del servicio.
Conclusiones de la Investigación
Este estudio concluye que las marcas de tecnología en ciberseguridad proveen herramientas adecuadas para iniciar la protección eficiente de las organizaciones, según su tolerancia al riesgo. Sin embargo, la seguridad absoluta es utópica y se basa no solo en adquirir productos o servicios, sino en su uso efectivo. Es fundamental realizar evaluaciones periódicas de vulnerabilidades, capacitar al personal y mantener actualizaciones y parches de seguridad. Así, se fomenta la concienciación en torno a la ciberseguridad y se evita una falsa sensación de seguridad. Es posible obtener el mayor valor de las tecnologías cuando son correctamente configuradas y mantenidas en el tiempo; EDR – XDR – MDR -MXDR – Next Generation – Cyber cualquier cosa y el problema sigue siendo el mismo, no cumplir los controles básicos de seguridad.
Además, dispositivos y tecnologías obsoletos representan un gran riesgo para las empresas. La actualización y comunicación de vulnerabilidades es esencial para evitar consecuencias graves. La responsabilidad recae en las organizaciones y sus proveedores de ciberseguridad, quienes deben mantener informados a sus clientes sobre nuevos fallos y soluciones. Con una comunicación efectiva, podremos prevenir incidentes costosos y mejorar la seguridad en general.
Recomendaciones de Seguridad
- Administración de la superficie de ataque: Asegúrese de contar con habilidades para analizar y evaluar sus activos digitales e información, en cualquier lugar donde su marca esté presente de forma digital. Detecte cambios en tiempo real y realice un análisis para determinar si estos cambios representan condiciones de riesgo.
- Actualización de software: Verifique que todos los dispositivos en la red estén actualizados con las últimas versiones y parches de seguridad, para prevenir la explotación de vulnerabilidades conocidas.
- Contraseñas seguras: Asegúrese de que todas las cuentas de usuario cuenten con contraseñas robustas, únicas y seguras para evitar ataques de fuerza bruta. No utilice credenciales predeterminadas y no emplee contraseñas de la empresa en servicios ajenos a la misma.
- Autenticación multifactorial (MFA): Configure la autenticación multifactorial en todos los dispositivos, para prevenir el acceso no autorizado, incluso si un atacante ya cuenta con las credenciales.
- Configuración segura: Asegúrese de que los dispositivos estén configurados correctamente para evitar vulnerabilidades causadas por configuraciones débiles o inseguras.
- Monitoreo de red: Implemente monitoreo continuo para detectar actividad maliciosa no identificada por sus controles de seguridad. La monitorización permite interrumpir el proceso de ataque de grupos de amenaza avanzados e incluya procesos de Threat Hunting continuos dirigidos por Ciberinteligencia para que valide las hipótesis.
- Análisis de vulnerabilidades: Realice análisis periódicos en todos los dispositivos para identificar y mitigar debilidades en su sistema de seguridad, evitando así la fatiga de alerta al validar cual de las vulnerabilidades que las herramientas son posible explotar.
- Capacitación y actualización: Proporcione formación a los responsables de la seguridad tecnológica en su organización, comparta información de incidentes pasados y manténgalos al tanto de nuevas vulnerabilidades que podrían ser explotadas por actores maliciosos.
- Alerta Temprana de Riesgos – ATRc®: Adopte un enfoque de servicio integral para análisis continuos y persistentes de sus servicios, activos y controles de seguridad, igualando o superando las capacidades del adversario. Asegúrese de que las pruebas de seguridad estén dirigidas por un proceso de Ciberinteligencia.
- Auditoría de seguridad: Realice auditorías de seguridad periódicas para validar que sus proveedores cumplan con los objetivos acordados en sus propuestas y acuerdos de nivel de servicio (SLA). Asegúrese de que su SOC o Cyber SOC y otras tecnologías tengan las capacidades adecuadas para permitir el funcionamiento óptimo de su negocio y canales digitales. Proteja e invierta en la seguridad de los datos de su organización y clientes, que son el oro para los grupos de amenazas.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
