Vulnerabilidades, amenazas y riesgo

en texto claro
by Patricia Prandini (CISA y CRISC) y Marcela
Pallero 25/05/2013 0 Comments

La evolucin constante de las

nuevas tecnologas suele generar un gran inters para quienes las utilizan
como eje de su trabajo, lo cual los lleva a tratar de conocer y aprovechar
cada avance y cada nuevo dispositivo que aparece. Por otro lado, el trabajo
diario muchas veces los obliga a focalizarse en la solucin de cuestiones
especficas, provocando a menudo la degradacin de una visin ms amplia
de todas las aristas que acompaan las soluciones que es factible
implementar.

En el campo de la seguridad de la informacin esta realidad se refleja tambin en la

necesidad de comprender las fallas que se presentan en el da a da, junto a la
presin cotidiana que sienten los profesionales para solucionarlas. Este panorama
dificulta la posibilidad de una visin integral de la proteccin de la informacin y los
sistemas. Muchas veces no se dimensionan ciertos conceptos fundamentales como
son los de amenaza, vulnerabilidad y riesgo, los cuales constituyen la base de la
gestin de riesgos y de cualquier programa o actividad que se lleve adelante
respecto a la proteccin de la informacin.

En efecto, cualquiera que sea el tamao, finalidad, complejidad del negocio o de la

plataforma tecnolgica, ninguna organizacin debe desconocer los riesgos que se
plantean para cada uno de los procesos que constituyen su actividad y, una vez
identificados, no debe dejar de gestionarlos. Si esto ltimo ocurriera,
irremediablemente se afectara su desempeo pudiendo, inclusive, verse obligada
a cesar su actividad.

Por consiguiente, y para una efectiva gestin del riesgo, necesariamente debern
conocerse las situaciones que pueden afectar a la organizacin, es decir de qu
debe protegerse, cul es su informacin y sus recursos crticos, y si las medidas
que ha implementado para preservarlos evitarn o minimizarn cualquier impacto
negativo. Al desarrollar su actividad en un escenario cambiante, el profesional se
ver obligado a evaluar de modo permanente la situacin en la que se encuentra y
a asegurarse de que las medidas de proteccin establecidas siguen siendo
efectivas.

En esta lnea, el presente artculo se propone rescatar ciertos conceptos bsicos,

comprender sus implicaciones y plantear las relaciones que existen entre ellos, para
lograr una gestin segura de la informacin.

Vulnerabilidades

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la

dimensin que ha cobrado en la actualidad. En efecto, las vulnerabilidades se han
vuelto una materia en s misma, ya que su bsqueda, desarrollo de pruebas de
concepto, explotacin y publicacin de las actualizaciones que las corrigen son
parte de un ciclo que involucra mltiples actores interesados, entre los que pueden
citarse instituciones acadmicas, investigadores independientes, empresas
especializadas, gobiernos y hasta organizaciones supranacionales.

Una vulnerabilidad es una debilidad de un bien o de un control, que puede ser

aprovechada por una amenaza. Se trata de una caracterstica negativa del bien,
tambin conocido como activo o recurso de informacin, o de un control que se
implement sobre l, que lo hace vulnerable. En efecto esa vulnerabilidad es
susceptible de ser aprovechada y vara de acuerdo con los cambios en las
condiciones que dieron origen a su existencia o a las acciones que se tomen con el
fin de evitar su explotacin o aprovechamiento.

De esta definicin se desprende que las vulnerabilidades afectan a los bienes de

una organizacin, pero tambin pueden darse sobre un procedimiento destinado a
protegerlo. En cada uno de estos casos, corresponder analizar las posibilidades
de que las vulnerabilidades sean aprovechadas, sus caractersticas y su ciclo de
vida.

Un caso particular lo constituye el software utilizado masivamente, como por

ejemplo las aplicaciones Web, los sistemas operativos y la ofimtica, para el cual el
tema de las vulnerabilidades constituye adems una prdida de confianza en
productos y proveedores. Su origen y las causas por las cuales aparecen, su
divulgacin, los vectores de ataque, sus posibles impactos y su alcance, entre otros
factores, vuelven al tema complejo y en continuo avance, resultando motivo tanto
de grandes especulaciones como de alarma real en algunos casos.

En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseo, por
una codificacin deficiente o insegura, por errores en la implementacin o por falta
de mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementacin
y mantenimiento de una pieza de software es susceptible de poseer una debilidad
que es factible usar para alterar su funcionamiento. Un ejemplo significativo es el
protocolo utilizado para el envo de correos electrnicos, que no fue diseado
pensando en la seguridad[1] y que provoca que hoy suframos la consecuencia de
este problema de diseo, por citar un caso, cuando se usa para distribuir phishing,
suplantando identidades.

Un tipo especial de vulnerabilidad es la conocida como da cero o zero-day. Recibe

esta calificacin desde el momento en que es descubierta y hay evidencias de que
existe un cdigo que puede aprovecharla, denominado como exploit, hasta que se
hace pblicamente conocida y el fabricante del producto afectado no la corrige.
Mientras no aparezcan soluciones o medidas de mitigacin, este tipo de
vulnerabilidades abre una ventana de tiempo que puede utilizarse para infectar una
gran cantidad de sistemas, con una alta probabilidad de xito. Esto genera la
existencia de un mercado de compra-venta de vulnerabilidades[2], en el cual se les
asigna un valor monetario.

Las vulnerabilidades que logran ser aprovechadas impactan a usuarios hogareos,

organizaciones gubernamentales y empresas de todo tamao. Valen como ejemplo
los casos ocurridos en febrero de este ao con Java[3], cuando las redes internas
de Facebook, Twitter y Apple fueron infectadas por cdigo malicioso.

En el campo de la seguridad de la informacin, el problema de las vulnerabilidades

ha dado lugar a un nuevo escenario. Ya no resultan suficientes las soluciones
simples o aisladas sino que se hace necesario implementar seguridad en
profundidad, que proteja todos los activos de acuerdo con su criticidad, y tambin
contemple la capacitacin y la concientizacin a los empleados sobre las nuevas
amenazas.

Respecto a la forma en que se da tratamiento a estas vulnerabilidades, existe un

fuerte debate en el que las partes parecen nunca ponerse de acuerdo, mientras las
derivaciones negativas del mercado de compra-venta de fallas contina su
desarrollo, con consecuencias negativas para todos los damnificados. Por este
motivo, en estos ltimos tiempos, varias de las grandes empresas de TI han
implementado programas de incentivos para que se les reporten los
descubrimientos de fallas, demostrando con ello que han entendido el riesgo que
significa que los delincuentes las aprovechen

Cabe mencionar finalmente que otro aspecto, no menor, si bien no tratado

especficamente en este artculo por su complejidad, es el de las vulnerabilidades
sobre las personas, de las cuales se benefician los malhechores a travs de la
ingeniera social.

Amenazas

El trmino amenaza, en contraposicin al de vulnerabilidad, requiere pensar los

posibles problemas que nos pueden afectar en un futuro cercano, por lo que plantea
un posicionamiento anterior a un hecho, que representa algn grado de probabilidad
de materializarse. A manera de ejemplos de amenazas reales pueden citarse los
virus, los delincuentes informticos o las intrusiones.

No existe una terminologa uniforme en el campo de la informtica al respecto, ya

que se habla de amenazas cibernticas, ciberamenazas, amenazas a la seguridad
de la informacin o a la informtica. El concepto hace referencia a una situacin
potencial que supone un dao para un activo o para un control implementado en
una organizacin, con cierta probabilidad de ocurrencia. La ITU (International
Telecommunication Union) define una amenaza como una violacin potencial a la
seguridad y, en ese sentido, para el contexto informtico debe interpretarse para la
seguridad de la informacin.

Dicho lo anterior se aprecia que es un trmino que generaliza y enuncia los

problemas a los que se encuentra expuesta una organizacin, a travs de los
denominados agentes de amenazas, que son las entidades que aprovechan una
vulnerabilidad.

Otra definicin es aquella que la caracteriza como cualquier accin o acontecimiento

no deseado e inesperado con la capacidad de ocasionar consecuencias adversas.
En este caso, se habla de ella como origen de un incidente no deseado, que podra
causar daos a un sistema u organizacin, segn la define el estndar ISO/IEC-
27002, si cualquiera de ellos presentara alguna debilidad o falla.

Existen amenazas relacionadas con fallas humanas, catstrofes naturales o

ataques deliberados. Las fallas humanas pueden ser con intencin o sin ella, debido
a negligencia, impericia o mal uso. Tambin se clasifican como internas o externas
dependiendo de su origen: desde dentro de la propia organizacin o desde un punto
remoto. Dentro de las amenazas naturales son ejemplos los terremotos o las
inundaciones.
En rigor de la verdad, en el contexto de la interaccin de los individuos a travs de
medios electrnicos y la diversificacin de las tecnologas utilizadas en la actualidad,
las clasificaciones sirven para orientar y segmentar el estudio de los problemas,
aunque no siempre los modelos conceptuales se ajustan a la realidad.

Las amenazas varan en el tiempo. Los factores que contribuyen a un panorama de

amenazas siempre cambiante son el constante crecimiento de la cantidad y el
tamao de las redes y del nmero de usuarios interconectados, la profusin de las
bases de datos en lnea, la inmadurez de las nuevas tecnologas que se lanzan al
mercado sin haber sido probadas en forma exhaustiva, la alta disponibilidad de
herramientas automatizadas de ataque y las tcnicas de ingeniera social.

Los distintos escenarios que plantean las amenazas deben contemplarse dentro de
planes de continuidad del negocio y siempre deben identificarse y estimarse
debidamente al gestionar los riesgos.

Riesgo

La materializacin de una amenaza que aprovecha una vulnerabilidad expone a las

organizaciones y sus sistemas informticos a lo que se conoce como riesgo. El
riesgo puede ser definido como la posibilidad de que algo que ocurra impacte
negativamente sobre la informacin o sobre los recursos para gestionarla. La Norma
ISO/IEC-27002 lo define como la combinacin de la probabilidad de ocurrencia de
un determinado hecho y sus consecuencias. La probabilidad de ocurrencia es el
producto del anlisis sobre datos histricos respecto a cuntas veces sucedi un
hecho similar en un periodo de tiempo que se tomar como unidad. Se entiende por
consecuencias, el impacto, es decir, los hechos o acontecimientos que resultan de
uno o varios eventos evaluados para esa organizacin.

La determinacin de la probabilidad de ocurrencia y la valoracin del impacto tienen

lugar en el proceso de gestin del riesgo, que dar como producto la decisin de
distribuir o aplicar los controles, sobre la base de una ecuacin de costo/beneficio,
dando como resultado la determinacin del nivel de riesgo aceptable y la
identificacin del riesgo a mitigar.

Los riesgos en las organizaciones pueden ser de todo tipo: ambientales, de

mercado, financieros, estratgicos, operacionales, de cumplimiento, etctera. Los
riesgos vinculados al uso de tecnologas de informacin son transversales a todos.

Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que
permita prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una
amenaza especfica. Se trata de medidas dirigidas a producir un efecto sobre la
probabilidad de ocurrencia de una amenaza determinada o sobre su impacto.

Los controles pueden ser de naturaleza tcnica, de gestin o legal, de acuerdo con
la definicin dada en la Norma ISO/IEC antes citada.

En el rubro de controles tcnicos, el mercado de software y de equipamiento es

basto, y los ajustes para su puesta en marcha deben adems efectuarse acorde a
estndares de seguridad, que muchas veces brindan los fabricantes o las buenas
prcticas de organizaciones especializadas como OWASP (The Open Web
Applications Security Project), por citar un ejemplo.

Para los aspectos funcionales, la industria brinda hoy normas que ayudan a
identificar y mitigar muchos de los riesgos, as como certificaciones para
profesionales interesados en aspectos particulares. Sin embargo, el punto a resaltar
es que ms all de los mltiples enfoques es importante no perder una visin global.

En efecto, la visin estratgica de la seguridad debe ser reflejada en herramientas

aplicadas de manera planificada con objetivos claros y revisados de manera
peridica, para que sean implementadas en los procesos de toda la organizacin.
Estos procesos se definen como aquellos que buscan la identificacin y evaluacin
de los riesgos, as como tambin adoptar los pasos para su reduccin a un nivel
aceptable y devendrn en programas que sern la base para la adopcin de
medidas de gestin, controles tcnicos, procedimentales y normativos, que mitiguen
los riesgos a los que se encuentra expuesta la informacin.

.
Interaccin entre vulnerabilidades, amenazas y riesgos

El cuadro precedente muestra en forma grfica la interaccin entre los distintos

elementos analizados. Vemos que las amenazas se vinculan con causas
potenciales con posible impacto negativo sobre la informacin, en la medida en que
los bienes a los que sea factible que afecten posean debilidades o se registren fallas
en los controles que los protegen. Este ltimo concepto se resume en el trmino
vulnerabilidad, que al ser explotada por la amenaza expone a la organizacin al
riesgo. Dicho riesgo surgir del anlisis de su probabilidad de ocurrencia y del
impacto sobre el bien a proteger.

Este esquema en constante cambio por la incorporacin de nuevos bienes, la

aparicin de amenazas y el descubrimiento de vulnerabilidades requiere la
constante atencin del profesional dedicado a la seguridad de la informacin y
plantea un desafo permanente para el logro de una proteccin efectiva de la
informacin.

Conclusin
El escenario en el que hoy desarrollan su actividad las organizaciones presenta
mltiples amenazas de caractersticas cambiantes. Algunas son preexistentes y
otras surgen a partir de nuevos avances. Por otra parte, muchos productos en el
mercado tecnolgico se liberan para su venta sin una adecuada verificacin de su
seguridad. Esta peligrosa combinacin requiere una permanente consideracin de
las vulnerabilidades que puedan afectar la informacin y los recursos que la
gestionan. Lo cierto es que el riesgo en las organizaciones aparece desde el
momento en que inician sus actividades. A lo largo de su existencia podrn
identificarse y reducirse pero nunca se eliminarn en su totalidad. Es por ello que
puede afirmarse que las organizaciones se encuentran siempre en riesgo, en mayor
o menor medida, cuando aprovechan los beneficios de las tecnologas de la
informacin.

Por consiguiente, el profesional que se dedica a cualquiera de las reas de la

seguridad de la informacin deber tener en cuenta estos conceptos frente a cada
paso que d, identificando las amenazas, las vulnerabilidades y riesgos que afectan
a los procesos en los que se desempea, para as estar en condiciones de definir
los controles a implementar. Esta responsabilidad no debe evadirse para cumplir
adecuadamente su tarea.

Finalmente, cabe agregar que la seguridad no es un concepto del que se pueda

hablar en trminos absolutos. En materia informtica se presenta una situacin
particular, dado que se requiere aplicar un conocimiento tcnico y funcional muy
especfico y nuevo, en comparacin con otras disciplinas. La diversidad de
plataformas, la masividad de las aplicaciones, el crecimiento de las tecnologas
mviles y la interaccin social de los individuos en Internet se establecen hoy como
caractersticas que afectan desde el punto de vista de la seguridad a las
organizaciones modernas a lo largo de toda su actividad. Sin embargo, la buena
noticia es que en la actualidad existen herramientas como la gestin de riesgos, que
permiten entender aquellas situaciones que pueden causar un dao real sobre la
informacin, redes y procesos, y que brindan una adecuada proteccin. No es tan
simple como incorporar un equipo o una pieza de software, pero el esfuerzo vale la
pena.

patriciaprandini@yahoo.com