Los hackers pueden penetrar en una organación en tan solo 30 minutos

Una nueva investigación de Positive Technologies ha arrojado luz sobre lo fácil que es para los hackers violar las redes locales de las organizaciones mediante la explotación de vulnerabilidades de software conocidas.

Para compilar su nuevo informe de pruebas de penetración de sistemas de información corporativas, los expertos de la firma realizaron “pentests externos” sobre organizaciones de las industrias de finanzas, TI, combustible y energía, gobierno, hospitalidad, entretenimiento y telecomunicaciones.

Lograron al 93% de organizaciones probadas

En sus pruebas, Positive Technologies pudo acceder a la red local al 93 por ciento de las organizaciones probadas, siendo el número máximo de vectores de penetración detectados en una sola empresa. Además, en una de cada seis empresas probadas, encontró rastros de ataques anteriores como rastros webs en el perímetro de la red, enlaces maliciosos en sitios oficiales o credenciales válidas en volcados de datos públicos, lo que indica que la infraestructura puede haber sido ya infiltrada por piratas informáticos.

Los expertos de la firma también encontraron que la penetración de una red local suele tardar entre 30 minutos y 10 días. Sin embargo, en la mayoría de los casos, la complejidad del ataque era baja, lo que significa que el ataque estaba bien dentro de las capacidades de incluso un hacker con habilidades básicas.

Pruebas de penetración

La investigación de Positive Technologies también encontró que los ataques de fuerza bruta eran una manera efectiva de descifrar las credenciales al lanzar ataques en aplicaciones web en el 68 por ciento de las empresas en las que su equipo realizaba “pentests externos”.

Si un atacante puede forzar correctamente la contraseña de al menos una cuenta de dominio, puede detectar identificadores para otros usuarios descargando la libreta de direcciones sin conexión que contiene todas las direcciones de correo electrónico de los empleados de una empresa. De hecho, en una de las organizaciones probadas, los pentesters de la firma obtuvieron más de 9.000 direcciones de correo electrónico utilizando este método.

La directora de investigación y análisis de Positive Technologies, Ekaterina Kilyusheva proporcionó más información sobre cómo las organizaciones pueden realizar sus propias pruebas de penetración en un comunicado de prensa, diciendo:

"Las aplicaciones web son el componente más vulnerable en el perímetro de la red. En el 77 por ciento de los casos, los vectores de penetración implicaban una protección insuficiente de las aplicaciones web. Para garantizar la protección, las empresas deben realizar evaluaciones de seguridad de las aplicaciones web con regularidad. Las pruebas de penetración se realizan como un análisis de "caja negra" sin acceso al código fuente, lo que significa que las empresas pueden dejar puntos ciegos a algunos problemas que podrían no detectarse con este método. Por lo tanto, las empresas deben usar un método de prueba más exhaustivo como análisis de código fuente (caja blanca). Para la seguridad proactiva, se recomienda utilizar un firewall de aplicaciones web para evitar la explotación de vulnerabilidades, incluso aquellas que aún no se han detectado."