Cómo la TI en la sombra y el software obsoleto amenazan la infraestructura

Los activos de TI al final de su vida útil exponen potencialmente a las empresas a vulnerabilidades conocidas pero no parcheadas. Y no debemos creer que son inexistentes: según un análisis de datos brutos agregados a partir de la visibilidad de 1,2 millones de activos TI (servidores, estaciones de trabajo, terminales, etc.) de sus clientes y prospectos, Sevco estima que representan 6 % de todos los activos de TI. El estudio del proveedor de soluciones de análisis de riesgos de ciberseguridad también indicó que el 28% de todos los activos de TI no están sujetos a al menos un control crítico, a saber, la protección de endpoints o la gestión de parches. Los expertos externos afirman que los problemas que plantean el software obsoleto y los sistemas informáticos ocultos, es decir, tecnologías no aprobadas utilizadas por los empleados fuera de cualquier administración o control del departamento de TI, son cada vez más numerosos.

"El volumen y la disponibilidad de dispositivos no estándar y no administrados expuestos a Internet y configurados por usuarios que no están preocupados por la seguridad está aumentando exponencialmente", dijo Rik Ferguson, vicepresidente de análisis de negocios. avance de la seguridad en Forescout. “A menudo, estos puntos finales no son tan seguros ni tan visibles como los activos de TI tradicionales y, por lo tanto, siguen siendo particularmente vulnerables. » El mes pasado, un actor malintencionado intentó vender acceso a la empresa de seguridad en la nube Zscaler. Tras una investigación, este proveedor descubrió que un servidor de prueba no estaba alojado en su infraestructura principal. En el ataque Okta de 2023, posible gracias al uso de sistemas de TI no autorizados, las credenciales de la empresa se guardaron en una cuenta personal de Google antes de que una computadora portátil del trabajo fuera infectada con malware. Estos eventos muestran cómo la TI en la sombra puede conducir a accesos no autorizados y posibles violaciones de datos.

Un final riesgoso para el software

El software obsoleto plantea riesgos importantes porque aumenta la superficie de ataque y hace que las empresas sean más vulnerables a los exploits. Por ejemplo, una versión obsoleta de JavaScript contribuyó a una violación de alto perfil contra British Airways en 2018. El riesgo que plantean los sistemas Windows XP obsoletos en hospitales del Reino Unido y en otros lugares quedó expuesto por el infame malware Wannacry en 2017. Activos de TI considerados Fin de Life (EOL) de los proveedores ya no se beneficia de actualizaciones periódicas de software o parches de seguridad como parte de los contratos de mantenimiento estándar, aunque algunos proveedores ofrecen soporte extendido. pagado. Por ejemplo, para beneficiarse de tres años de actualizaciones de seguridad extendidas después de octubre de 2025, fecha de fin del soporte para el sistema operativo, hay que pagar 427 dólares por una sola PC con Windows 10, un poco menos de los 490 dólares solicitados por Microsoft para recibir parches para Windows 7 hasta 2023. Aunque las empresas pueden beneficiarse de precios más bajos, no sorprende que algunas organizaciones con problemas de liquidez decidan correr el riesgo de prescindir de estas actualizaciones.

Según Javvad Malik, director de concienciación sobre seguridad de KnowBe4, "el mayor riesgo de software obsoleto se encuentra en industrias que nunca han estado conectadas a Internet, como hospitales o infraestructuras críticas, que a menudo cuentan con software obsoleto". Ilia Kolochenko, director ejecutivo de ImmuniWeb afirma que los problemas de la TI en la sombra y del software obsoleto están "profundamente vinculados". "Para combatir los riesgos de la TI en la sombra, las empresas deben mantener y actualizar continuamente un inventario completo de todos sus sistemas, software, usuarios, cuentas, datos y terceros que tienen acceso a los datos de la empresa", dijo Ilia Kolochenko. Como mostró el estudio de Sevco. Incluso los sistemas de TI aprobados oficialmente no siempre se mantienen actualizados, ni aquellos que no cuentan con un sistema de administración de parches adecuado. Por ejemplo, fue una versión sin parches, pero eminentemente parcheable, de Apache Struts la que permitió obtener los excelentes datos de Equifax. robo en 2017.

Una respuesta humana, no sólo tecnológica

Los expertos coinciden en que las empresas deben realizar auditorías y evaluaciones de riesgos exhaustivas. Las mejores defensas implican una gestión rigurosa de la configuración, el seguimiento de la lista de materiales del software, la concienciación sobre la seguridad y la limitación de lo que se puede instalar. "Es fundamental conocer la superficie de ataque y realizar ejercicios regulares de mapeo de activos externos", dijo Tim West, director de inteligencia de amenazas de With Secure. “Es importante entender que la respuesta no es sólo tecnológica. Hay un elemento humano detrás de la TI en la sombra y las razones por las que existe. Capacitar y garantizar que los procesos existentes satisfagan las necesidades del personal son igualmente esenciales”, continuó. "Incluso los desarrolladores de software experimentados pueden olvidarse de un contenedor que han implementado en la nube con datos de producción, para experimentar con nuevas funciones, por no hablar de los usuarios no técnicos que utilizan sus ordenadores personales o dispositivos móviles para tareas profesionales", recuerda Ilia Kolochenko. .