Técnicas de 'hardening' para blindar tu empresa ante los ciberatacantes

Las inversiones en la automatización de los procesos de 'hardening' para configurar y fortalecer la seguridad de los sistemas informáticos y redes, son más eficaces para la reducción del riesgo que las inversiones en otras herramientas más populares de seguridad informática, como los sistemas de filtrado de emails. Es la conclusión de un informe elaborado por el Centro de Análisis de Riesgos Cibernéticos de la firma de servicios profesionales Marsh McLennan.

Según Cybersecurity Ventures, el coste global de los ataques cibernéticos alcanzará los 10,5 billones para 2025. Ante la previsión de que aumenten los riesgos de ciberseguridad y su impacto económico, las empresas buscan las estrategias y técnicas más adecuadas para proteger sus infraestructuras informáticas.

'Hardening' de sistemas: ¿qué es?

Los sistemas de información de cualquier empresa se sustentan en infraestructuras de sistemas y redes. En estas infraestructuras se encuentran los servidores que alojan servicios informáticos como el correo electrónico, bases de datos, servicios web, servicios de gestión, etc. La relevancia de estas estructuras para las organizaciones las convierte en un objetivo común de los ciberatacantes, especialmente debido al valor de la información almacenada por estos servicios. Por este motivo, las empresas definen planes para fortalecerlas, que incluyen el bastionado de sistemas y redes, también conocido como 'hardening'.

El 'hardening' es un término que se utiliza en el contexto de la seguridad de la información y la ciberseguridad para referirse a la práctica de fortalecer un sistema informático o una red con el fin de hacerlo más resistente a ataques, intrusiones y vulnerabilidades. El objetivo del 'hardening' es reducir la superficie de ataque y minimizar las debilidades y vulnerabilidades.

Este proceso para reforzar la seguridad hace hincapié en tres elementos esenciales:

• Fortalecer la seguridad del sistema operativo del servidor.
• Fortalecer la seguridad del 'software' del servidor.
• Revisar y mantener la configuración segura mediante parches, actualizaciones y pruebas de seguridad.

El fortalecimiento de los sistemas implica, por tanto, una auditoría constante y planificada de las vulnerabilidades de seguridad potenciales. Sin embargo, no es solo una cuestión de ciberseguridad, también atiende a un cumplimiento normativo. La norma internacional ISO/IEC 27001 se centra en la gestión de la seguridad de la información y está alineada con las técnicas de 'hardening' en sus controles y prácticas recomendados. Por otro lado, aunque no especifica técnicas de bastionado concretas, la nueva Directiva de NIS2  (Network and Information Systems) de la Unión Europea aborda de manera más específica la ciberseguridad en la búsqueda de un nivel elevado y común de seguridad en las redes y sistemas de información.

Bastionado de sistemas para la seguridad corporativa

Fortalecer la seguridad y reducir la exposición a amenazas cibernéticas requiere de estrategias transversales y auditorías periódicas, además de capacitación a los empleados y usuarios con buenas prácticas. En general, son estrategias a aplicar en todas aquellas empresas con presencia de sistemas informáticos, redes y dispositivos tecnológicos en sus operaciones. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda aplicar diferentes técnicas combinadas para proteger los datos y recursos críticos de la empresa.

A la hora de generar un plan de actuación, existen algunos pasos clave:

• Identificación de activos críticos. Esto incluye servidores, estaciones de trabajo, bases de datos y cualquier otro componente importante las operaciones de la empresa.
• Evaluación de riesgos. Para identificar las posibles amenazas y vulnerabilidades que podrían afectar a los sistemas y, así, priorizar las áreas que requieren mayor atención en términos de seguridad.
• Políticas de seguridad. Para abordar aspectos como contraseñas, acceso a sistemas, actualizaciones de 'software', entre otros. Estas políticas deben ser seguidas por todos los empleados y usuarios autorizados.
• Actualizaciones y parches. Es necesario mantener los sistemas operativos y el 'software' actualizados con los últimos parches de seguridad.
• Control de acceso. Como, por ejemplo, la autenticación de dos factores, para garantizar que solo las personas autorizadas tengan acceso a los sistemas y la información crítica.
• 'Firewalls' y filtrado de paquetes. Para controlar el tráfico de red entrante y saliente y evitar la exposición no deseada de tus sistemas.
• Cifrado de datos. Para proteger la información confidencial.
• Plan de respuesta. Para saber cómo actuar en caso de un ataque o una brecha de seguridad. Esto incluye la notificación de incidentes a las autoridades pertinentes.

Una estrategia para cada tipo de 'hardening'

El 'hardening', se realiza de forma diferente en función del elemento tecnológico a proteger, de modo que se pueda enfocar en los aspectos específicos de la seguridad de cada uno de esos elementos. A continuación se muestran algunos ejemplos significativos del bastionado de distintos elementos tecnológicos.

'Hardening' del sistema operativo

Se centra en fortalecer la seguridad del sistema operativo en servidores, estaciones de trabajo y otros dispositivos. Incluye acciones como deshabilitar servicios innecesarios, aplicar políticas de contraseñas fuertes, configurar permisos de archivos y directorios y aplicar parches de seguridad.

'Hardening' de aplicaciones

Se enfoca en fortalecer la seguridad de las aplicaciones específicas que se ejecutan en sistemas. Esto implica asegurarse de que las aplicaciones estén configuradas y actualizadas de manera segura, así como realizar pruebas de seguridad en busca de vulnerabilidades.

'Hardening' de red

Se refiere a las medidas que se toman para fortalecer la seguridad de la infraestructura de red. Esto incluye la configuración de cortafuegos, es decir, barreras de seguridad para evitar que usuarios no autorizados tengan acceso a las redes privadas. Este enfoque también incluye sistemas de detección y prevención de intrusiones, control de acceso a la red y segmentación de redes para limitar el tráfico no autorizado.

'Hardening' de bases de datos

Se aplica a sistemas de gestión de bases de datos para proteger la integridad y la confidencialidad de los datos almacenados en las bases de datos. Incluye la configuración segura de permisos, cifrado de datos, auditorías y medidas para proteger contra inyecciones SQL y otros ataques relacionados con bases de datos.

'Hardening' de servidores web

Se enfoca en proteger los servidores web y las aplicaciones web de posibles amenazas. Incluye la configuración segura de servidores web, la protección contra ataques comunes, como 'cross-site scripting' (XSS) y 'cross-site request forgery' (CSRF), y la gestión segura de 'cookies' y sesiones.

'Hardening' de dispositivos de red y IoT

Para dispositivos de red, como enrutadores, conmutadores y dispositivos de internet de las cosas (IoT), el 'hardening' implica asegurarse de que estén configurados de manera segura, que se hayan cambiado las contraseñas predeterminadas y que no tengan puertos o servicios innecesarios abiertos.

'Hardening' de sistemas embebidos

Los sistemas embebidos, como los que se encuentran en dispositivos IoT, vehículos y electrodomésticos conectados, también deben endurecerse para evitar ataques. Esto puede incluir la actualización segura del 'firmware' y la protección contra vulnerabilidades conocidas. A diferencia del punto anterior, que se refiere a medidas de seguridad específicas para dispositivos y sistemas relacionados con el IoT, el 'hardening' de sistemas embebidos es un enfoque más amplio que abarca sistemas integrados en una variedad de dispositivos, no necesariamente conectados a internet.

'Hardening' de sistemas móviles

En dispositivos móviles, como teléfonos inteligentes y tabletas, el 'hardening' trata de configurar políticas de seguridad, habilitar cifrado de datos, gestionar aplicaciones y permisos, y proteger el dispositivo contra pérdida o robo.

Si la mirada de una organización sobre su propia seguridad informática debe ser integral y transversal, el bastionado de sistemas es un proceso continuo. Ninguna técnica de ciberseguridad puede garantizar una protección del 100% contra posibles ataques, pero las acciones de 'hardening' son aliadas importantes para blindar las empresas.