La transformación digital ha provocado un aumento en el uso de proveedores externos para encargarse de tareas como migrar datos a la nube. Si bien estas relaciones representan numerosos beneficios (rapidez, funcionalidad empresarial, reducción de costes…), el riesgo de una brecha de datos viene de serie también.
Según Gartner, en 2025 el 45 por ciento de las organizaciones en todo el mundo habrán sufrido ataques contra su cadena de suministro. El riesgo proveniente de los sistemas de terceros ha de ser una prioridad, ya que solo se necesita un punto débil en estos sistemas para que los ciberdelincuentes puedan filtrar y explotar datos e información críticos de la organización. De hecho, en un estudio de 2022 realizado por Venafi, el 82 por ciento de los CIO consideraban que su cadena de suministro era vulnerable. Por ejemplo, la brecha en los sistemas de Solarwinds a finales de 2019, que afectó a numerosas empresas y organismos públicos de Estados Unidos, resuena aún como uno de los ataques más graves vividos recientemente.
Así las cosas, a la hora de utilizar sistemas de terceros para la operativa diaria, o bien tras procesos de fusión o adquisición, ejecutar pruebas es esencial para evitar que activos provenientes de estos sistemas se conviertan en vulnerabilidades para la superficie de ataque de la organización.
Es ahí donde entra en juego el pentesting (o «pruebas de penetración»), que consiste en simular un ataque tras haber establecido todos los sistemas de seguridad de la organización con objeto de investigar la red y las aplicaciones en busca de vulnerabilidades y utilizar los resultados para solucionar o abordar problemas antes de que comprometan los sistemas.
‘Pentesting’ avanzado: priorización de activos y equipo humano
Si bien algunas organizaciones recurren a soluciones de pentesting automatizadas (por ejemplo, escaneo de vulnerabilidades), lo cierto es que los sistemas de terceros, a nivel de riesgos, deben ser tratados como una extensión de la superficie de ataque propia.
Mientras el pentesting tradicional, basado por completo en procesos automatizados, utiliza conjuntos predeterminados de vulnerabilidades conocidas, los nuevos modelos permiten utilizar el ingenio humano para pensar como un atacante, analizando la actividad de penetración y ajustando las estrategias. En pocas palabras, son metodologías que no dependen exclusivamente de un dashboard.
Los pentesters son profesionales de seguridad experimentados y fiables, con un amplio conocimiento de los sistemas de ciberseguridad y de cómo poder eludirlos. A menudo, estos «ciberdelincuentes éticos» trabajan para empresas del sector. En el caso de Synack, por ejemplo, el Synack Red Team (SRT) está formado por una comunidad de más de 1.500 investigadores de todo el mundo. Trabajando en conjunto con sistemas automáticos, estos profesionales realizan escaneos en profundidad, priorizan los activos a proteger y luego realizan un seguimiento para fines de remediación y verificación.
‘Pentesting’ a nivel API: protección de integraciones
En los últimos años, las API se han vuelto cada vez más populares en los entornos empresariales como medio de integración, y también para los ciberdelincuentes por el acceso que proporcionan a información y datos críticos. La lista de riesgos a nivel API es muy amplia, pero los más importantes pueden consultarse en OWASP Top Ten API Security Risks.
Entre los riesgos más importantes, el que figura en primer lugar es la rotura de las autorizaciones a nivel de objeto. Este permite que un usuario pueda acceder a recursos a los que no debería poder acceder utilizando una funcionalidad de entrada (formulario, cookies, URL…), con solo cambiar un parámetro de ID, porque la API no verifica si el usuario posee un recurso antes de que pueda modificarlo o eliminarlo.
Debido a la naturaleza compleja y en evolución de las API éstas vienen con sus propios desafíos de seguridad. Además, dependen de soluciones tradicionales como los firewalls de las aplicaciones web, lo que puede provocar brechas.
Asimismo, las nuevas plataformas de pentesting avanzado permiten realizar un chequeo continuo de las API para probar continuamente todas las API existentes, incluyendo API aplicaciones web y API headless. Como mencionábamos anteriormente, a diferencia de las soluciones basadas únicamente en procesos automatizados, estas nuevas plataformas están gestionadas por humanos, lo que significa menos ruido y un enfoque más definido.
En definitiva, cuando hablamos de seguridad en relación a sistemas de terceros, lo mejor es saber exactamente a qué nos enfrentamos. El coste de una filtración de datos a menudo supera el coste de una infraestructura de seguridad adecuada. Tanto en lo que se refiere a la cadena de suministro a nivel global, como en concreto como consecuencia de fusiones y adquisiciones, es necesario contar con una solución completa y fiable de pentesting, también para estos sistemas.