Mitigación de vulnerabilidades: ¿Éxito o Fracaso? Un punto de partida para hacer exitoso este proceso


El contexto actual de la Seguridad Informática

Se define seguridad como la ausencia de peligro, sin embargo, al pensar en Seguridad Informática, seria utópico pensar en la ausencia de vulnerabilidades o de distintos vectores de ataque. En consecuencia, la Seguridad Informática nace y se define ligada al cuidado de tres pilares fundamentales básicos: la confidencialidad, la integridad y la disponibilidad de los activos de información de una organización.

En los últimos años, hemos sido testigos de numerosas brechasde seguridad, fuga de información y su demostrado impacto negativo en el negocio. Por este motivo, no debiera sorprender que se generen día a día pérdidas millonarias relacionadas a fallas de seguridad.


“Una brecha de seguridad implica un impacto directo sobre la confidencialidad, integridad y disponibilidad de la información”.


En este sentido, es licito reflexionar… las organizaciones, ¿Se encuentran realmente seguras ante ataques informáticos?

Una problemática que se inicia en las propias organizaciones

Mas de una vez hemos escuchado una frase que ejemplifica el problema del cual debemos reflexionar: “Una vez que se anuncia una vulnerabilidad y está disponible su parche para remediarlo, comienza la carrera” … una realidad inminente, dado que

 la amenaza latente se presenta de forma inoportuna y el peligro de una explotación se hace presente. Imaginemos cuantos “hackers” existen en el mundo, y qué tan rápido uno de ellos podría armar un exploit y aprovecharlo antes que su organización pueda aplicar el parche. Para reafirmar esta situación, revelaremos un dato es alarmante, el tiempo que transcurre desde que un parche es informado hasta que aparece un exploit que se aprovecha de esa vulnerabilidad ha disminuido de 45 días a 15 días en la última década. Estaremos de acuerdo, en que este lapso es mucho menor al tiempo que demora en promedio una organización, para implementar el parche en un entorno productivo.[1]


“El tiempo desde que un parche es publicado hasta que aparece un exploit se redujo a 15 días”.


La explotación de vulnerabilidades conocidas, pero no mitigadas es la forma principal en que se materializan la mayoría de las amenazas: casi el 60% de las organizaciones que sufrieron ataques en los últimos años citan como culpable a una vulnerabilidad conocida para la cual aún no se habían preparado [2]. Esto es preocupante si consideramos que mayormente, cuando se divulga una vulnerabilidad, ya está disponible el parche para remediarla. En el siguiente mapa se representa una clara imagen actual de cuáles son las vulnerabilidades mayormente explotadas y su distribución a nivel mundial.


” El 60% de las organizaciones atacadas fue por una vulnerabilidad conocida no solucionada”.


Los atacantes no suelen utilizar medios muy sofisticados para lograr sus objetivos. Naturalmente, la causa de esta problemática está ligada a ley del menor esfuerzo. En otras palabras, como no se trabaja en forma consistente y efectiva en la remediación o mitigación de las vulnerabilidades conocidas, los atacantes no deben esforzarse demasiado para lograr resultados, es decir, que no se logra cambiar su “modelo de costos”, y pueden seguir haciendo lo mismo sin necesidad de ampliar sus conocimientos o realizar mayores esfuerzos.

No solo los exploits son utilizados para sacar provecho de las vulnerabilidades, existen otros códigos maliciosos como por ejemplo ransomware que también oportunamente facilita su propagación por medio de ellas.

El siguiente grafico [5] demuestra como la vulnerabilidad SMB doblepulsar con su parche disponible desde mitad del 2017 continúa al día de la fecha estando en el top 5 en mayor cantidad detecciones a nivel mundial.

Adicionalmente debemos resaltar que las vulnerabilidades más aprovechadas por los atacantes son aquellas que están presentes en software de amplia base instalada y que son fáciles de explotar. Esto ocurre por dos razones principales: se dispone de más posibilidades para lograr intrusiones a “gran escala”, y se pueden utilizar exploits que se distribuyen a través de diversos foros públicos y privados, y en numerosas herramientas de generación de ataques. Es por esto que la cantidad de ataques aumenta, como así también la cantidad de amenazas que se aprovechan del mismo conjunto de vulnerabilidades.


“Las vulnerabilidades más usadas son las presentes en software con amplia base instalada, confiables distribuidas y fácilmente explotables”.


En muchas organizaciones se pone principalmente el foco en los exploits y códigos maliciosos (malware), es decir, en las amenazas. Desde un punto de vista más proactivo, es importante prestar mayor atención a las causas subyacentes que las provocan, es decir en las vulnerabilidades que son explotables. Aunque no todos los ataques son el resultado de una vulnerabilidad, la mayoría si lo son, y se trata de vulnerabilidades conocidas, en lugar de las vulnerabilidades de “día cero” (no difundidas, o sea sin conocimiento de la empresa desarrolladora). Las vulnerabilidades que se explotan de “día cero” representan menos del 1% del total de las vulnerabilidades explotadas anualmente [3]. En consecuencia, se recomienda enfocarse en remediar las vulnerabilidades conocidas y que se explotan repetidamente, y no tanto en tratar de detectar amenazas de “día cero” por el mínimo riesgo que representan.

Los procesos de evaluación, priorización y mitigación actuales ¿Son efectivos?

El principal problema en la gestión del riesgo es que las organizaciones no están priorizando la remediación o mitigación de las vulnerabilidades en función de su impacto para el negocio o para la actividad que desarrolla.

El objetivo de remediar o mitigar todo, o sea el intento de tratar con la totalidad de las vulnerabilidades en su conjunto parecería acertado, ya que se basa en el sentido común, sin embargo, es muy difícilmente aplicable causando fricciones entre el área de Seguridad encargada de la detección, y la Operación de TI, en cuyas espaldas recaen la resolución de las vulnerabilidades. Si ponemos bajo consideración que los generadores de amenazas, suelen mayormente utilizar vulnerabilidades antiguas para realizar una explotación, se vuelve muy evidente que es preciso reajustar las prioridades, mejorar la eficiencia, la efectividad del proceso de remediación y mitigación, centrándose en el riesgo para la organización.


“Es preciso mejorar la eficiencia y la efectividad del proceso de remediación y mitigación priorizando el riesgo en función del impacto en el negocio”.


Las métricas estándares no se relacionan con el negocio

Una clasificación de vulnerabilidades muy difundida para establecer su criticidad es el CVSS (Common Vulnerability Score System), métrica que puede ser eficaz para entender su gravedad en términos de facilidad de explotación, pero no tiene en cuenta el impacto que representa para la organización el activo de información sobre el cual está presente. En el siguiente grafico podemos visualizar un ranking de proveedores con la cantidad respectiva de vulnerabilidades reportadas en 2019 con un CVS mayor a 9, es decir muy críticas.(4)

Sin embargo, es licito preguntarse … ¿Son esta clase de vulnerabilidades el mayor peligro para una empresa?

Es de vital importancia recordar que además existen vulnerabilidades clasificadas según su CVSS como de criticidad “media”, pero que curiosamente resultan ser las más explotadas. Por ejemplo, inyecciones SQL (SQLi) y los scripts entre sitios (XSS) que abundan en aplicaciones desarrolladas “a medida” y que una gran cantidad de organizaciones utilizan para ejecutar sus procesos críticos. Estas aplicaciones web personalizadas, rara vez obtienen sus propias clasificaciones de CVSS. De este modo, se presenta una gran desviación en donde se pone en manifiesto qué tan errada es la lógica tradicional, indicando que se debe mitigar en función de la gravedad de la vulnerabilidad según su CVSS.


“Muchas vulnerabilidades clasificadas como de CVSS “medio” son muy explotadas como los casos de SQLi y XSS”.


Acciones para abordar correctamente la problemática

Curiosamente, las organizaciones están luchando para entender la relación entre “qué podemos arreglar” y “qué marcará la mayor diferencia” a nivel de la protección de activos, considerando el tiempo y los recursos con que disponen. Mientras permanezcan estos debates internos, no se podrán utilizar todos los esfuerzos necesarios en cumplir con el objetivo esencial, el cual es fortalecer los sistemas de información.

Mediante la evaluación periódica del proceso integral actual, se deben considerar aspectos de periodicidad con que se realizan la detección de vulnerabilidades; el volumen y esfuerzo necesario, la forma en que se coordinan las actividades de mitigación y la manera en que se informan las vulnerabilidades a las personas involucradas en la remedición.

Si este proceso actual que se realiza no es metódico, seguramente no será eficiente ni efectivo.

A causa de esto, las organizaciones deben trabajar bajo un enfoque centrado en el riesgo y el impacto considerando las siguientes particularidades:

  • Priorizar las vulnerabilidades basándose ​​en el impacto para el negocio, el riesgo de explotación y el esfuerzo necesario de recursos en la mitigación.

Debido a que no alcanza con solo utilizar el CVSS, hay que considerar otras variables como ser la importancia del activo para la organización, la ubicación del activo (no es lo mismo si está expuesto a internet o si se trata de un servidor interno protegido), si la vulnerabilidad pudo ser explotada en pruebas controladas, si existe un exploit disponible; etc… Todas estas variables posibles o definirán el riesgo y la criticidad para la organización.

  • Comprometer al personal de Seguridad y de TI para que tengan una visión común de las vulnerabilidades, homogeneizando los criterios de análisis y mitigación.

Ejecutando el plan en forma ordenada, siendo el área de Seguridad quien deberá liderar el proceso de remediación y mitigación, realizando periódicamente tareas de detección de vulnerabilidades, centralizando su almacenamiento, y trabajando junto con la Alta Dirección en el análisis del riesgo fijando prioridades a partir del impacto para la organización será la dirección para alcanzar el objetivo de manera positiva.

  • Extender el alcance del área de Seguridad empoderándola para que haga un seguimiento efectivo del proceso de mitigación, no meramente de detección.

En este sentido, es importante que el área de Seguridad se desarrolle articulando en conjunto a la Operación de TI fijándole las prioridades dentro del proceso de remediación y mitigación, pero esta afirmación no debe ser solo discursiva, ya que el área de Seguridad deberá disponer de los medios para cumplir con su trabajo de detección y seguimiento a la mitigación, mientras que la Alta Dirección deberá arbitrar los mecanismos para que esto suceda.

  • Responsabilizar y monitorear a las áreas encargadas de la mitigación, para que tomen una real dimensión de la importancia de su tarea.

El área de Seguridad deberá tener la capacidad de extender sus funciones de control hacía la Operación de TI en lo que respecta a las tareas de remediación y mitigación, otorgándole a las personas involucradas en su resolución la responsabilidad correspondiente a esta importante función, y haciéndolas rendir cuentas de sus actos a través del seguimiento histórico de las vulnerabilidades detectadas. 

  • Revelar abiertamente la información de riesgo a la Alta Dirección, para que se pueda tomar decisiones de inversión basadas en el impacto al negocio.

En el contexto actual el área de Seguridad de la Información, deberá rendir cuentas de sus acciones hacia la Alta Dirección, poniendo a disposición de estos indicadores y métricas claras de su desempeño, tanto el nivel del riesgo actual como la evolución del nivel del riesgo, avance del proceso de detección y mitigación, entre otros. De este modo, se permitirá analizar el ROSI (return on security investment), compararse con otras organizaciones, y medir su estado de madurez, entre otras posibilidades.

El cambio de enfoque es posible, la solución está disponible, solo depende de las organizaciones tomar la decisión correcta e iniciar el camino para conseguirlo.


Acerca de Neuralys Corporation:

Neuralys OverWatch / Neuralys Platform es una plataforma basada en la nube que proporciona visibilidad y control de todo el ciclo de vida de las vulnerabilidades, eliminando las barreras existentes entre las herramientas especializadas de detección y los recursos humanos de TI encargados de la mitigación.

Esto es posible gracias a simplificar el proceso de mitigación basando las decisiones  en el riesgo para la organización, dando visibilidad, otorgando responsabilidad, y orquestando las tareas y el flujo de información desde el área de Seguridad hacia TI y la Alta Dirección.


[1] Gartner: It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats – Published: 09/09/2016

[2] https://www.darkreading.com/vulnerabilities—threats/unpatched-vulnerabilities-the-source-of-most-data-breaches/d/d-id/1331465

[3] Gartner: It’s Time to Align Your Vulnerability Management Priorities With the Biggest Threats – Published: 09/09/2016

[4] https://www.cloudmanagementsuite.com/worst-vendors-of-2019

[5] VirusRadar Septiembre 2019