actualizaciones
Los atacantes suelen buscar cuentas de prueba desactualizadas y sin usar o se topan con almacenamientos en la nube de acceso público que contienen datos críticos que están un poco olvidados. A veces, en un ataque se aprovecha una vulnerabilidad de un componente de la aplicación que, en realidad, se había revisado hace dos años, por ejemplo.
Al leer estos informes de filtraciones, hay un tema común que surge: los ataques han aprovechado algo que estaba desactualizado, como un servicio, un servidor, una cuenta de usuario… Son partes de la infraestructura de TI corporativa que a veces quedan fuera del radar de los equipos de seguridad y de TI. Básicamente, dejan de estar administrados, se vuelven inútiles y simplemente quedan olvidados.
Estos zombis de TI crean riesgos para la seguridad de la información y el cumplimiento de la normativa, y provocan costes operativos innecesarios. Por lo general, este es un aspecto de la TI en la sombra, pero con una diferencia clave: nadie quiere ni conoce estos activos y tampoco se beneficia de ellos.
En esta publicación, intentamos identificar qué activos requieren atención inmediata, cómo identificarlos y cómo se debería responder ante ellos.
Servidores físicos y virtuales
Prioridad: alta. Los servidores vulnerables son puntos de entrada para los ciberataques y continúan consumiendo los recursos al mismo tiempo que crean riesgos para el cumplimiento de la normativa.
Predominio: alto. Los servidores físicos y virtuales suelen quedar huérfanos en las infraestructuras grandes después de proyectos de migración o de fusiones y adquisiciones. Con frecuencia, también se suelen olvidar los servidores de prueba que ya no se usan después de que se lanzan los proyectos de TI, al igual que los servidores web para los proyectos desactualizados que se ejecutan sin un dominio. Las estadísticas de Let’s Encrypt han demostrado la magnitud del problema: en 2024, la mitad de las solicitudes de renovación de dominio provenían de dispositivos que ya no estaban asociados con el dominio solicitado. Y existen aproximadamente un millón de estos dispositivos en el mundo.
Detección: el departamento de TI tiene que implementar un proceso de detección y conciliación automáticas (AD&R) que combine los resultados del análisis de la red y el inventario de la nube con los datos de la base de datos de la administración de la configuración (CMDB). Permite la identificación oportuna de la información desactualizada o en conflicto sobre los activos de TI y ayuda a ubicar los activos olvidados.
Estos datos se deben complementar con análisis de vulnerabilidades externas que abarquen a todas las IP públicas de la organización.
Respuesta: establece un proceso formal y documentado para el desmantelamiento o retirada de los servidores. Este proceso debe incluir la verificación de la migración completa de los datos y la posterior destrucción verificada de los datos en el servidor. Después de seguir estos pasos, el servidor se puede apagar, reciclar o reutilizar. Hasta que se completen todos los procedimientos, el servidor se debe trasladar a una subred aislada y en cuarentena.
Para mitigar este problema en los entornos de prueba, implementa un proceso automatizado para su creación y desmantelamiento. Se debe crear un entorno de prueba al inicio de un proyecto y se debe desmantelar después de un período establecido o tras cierto tiempo de inactividad. Para reforzar la seguridad de los entornos de prueba, aplica su aislamiento estricto del entorno principal (de producción) y prohíbe el uso de los datos reales y no anonimizados de la empresa en las pruebas.
Cuentas olvidadas del usuario, servicio y dispositivo
Prioridad: crítica. Las cuentas inactivas y privilegiadas son los principales objetivos de los atacantes que buscan establecer la persistencia de la red o expandir su acceso dentro de la infraestructura.
Predominio: muy alto. Las cuentas de servicio técnico, las cuentas de contratistas y las cuentas no personalizadas suelen ser las que se olvidan con más frecuencia.
Detección: realiza análisis periódicos del directorio de usuarios (Active Directory en la mayoría de las organizaciones) para identificar todos los tipos de cuentas que no han tenido ninguna actividad durante un período definido (un mes, un trimestre o un año). Al mismo tiempo, es recomendable revisar los permisos asignados a cada cuenta y quitar los que sean excesivos o innecesarios.
Respuesta: después de haber comprobado con el propietario del servicio correspondiente en el área empresarial o con el supervisor de los empleados, solo hay que desactivar o eliminar las cuentas desactualizadas. Un sistema integral de administración de identidades y accesos (IAM) ofrece una solución escalable para este problema. En este sistema, la creación, eliminación y asignación de permisos para las cuentas están estrechamente integradas con los procesos de RR. HH.
Para las cuentas de servicio, también es esencial revisar de forma rutinaria tanto la seguridad de las contraseñas como las fechas de caducidad de los tokens de acceso, por lo que hay que alternarlas según sea necesario.
Almacenes de datos olvidados
Prioridad: crítica. El control deficiente de los datos en las bases de datos accesibles desde el exterior, el almacenamiento en la nube junto con las papeleras de reciclaje y los servicios corporativos de intercambio de archivos (incluso los que son “seguros”) han sido una fuente clave de importantes filtraciones entre 2024 y 2025. A menudo, los datos expuestos en estas filtraciones incluyen análisis de documentos, historiales médicos e información personal. En consecuencia, estos incidentes de seguridad también dan lugar a sanciones por el incumplimiento de normativas como la HIPAA, el RGPD y otros marcos de protección de datos que regulan el tratamiento de los datos personales y confidenciales.
Predominio: alto. Los datos de archivo, las copias de los datos que conservan los contratistas, las versiones heredadas de las bases de datos de migraciones de sistemas anteriores… Todos estos datos suelen no tenerse en cuenta y permanecen accesibles durante años (incluso décadas) en muchas organizaciones.
Detección: debido a la gran variedad de tipos de datos y métodos de almacenamiento, es esencial contar con una combinación de herramientas para su detección:
- Subsistemas de auditoría nativos dentro de las principales plataformas de proveedores, como AWS Macie y Microsoft Purview
- Soluciones especializadas de detección de datos y de administración de la posición de seguridad de los datos
- Análisis automatizado de los registros de inventario, como el Inventario de S3
Lamentablemente, estas herramientas tienen un uso limitado si un contratista crea un almacén de datos dentro de su propia infraestructura. El control de esta situación requiere condiciones contractuales que le concedan acceso al equipo de seguridad de la organización al almacenamiento del contratista correspondiente. También debe estar complementado por servicios de inteligencia contra amenazas que sean capaces de detectar cualquier base de datos que haya sido públicamente expuesta o robada y que esté asociada con la marca de la empresa.
Respuesta: analiza los registros de acceso e integra el almacenamiento detectado a tus herramientas de DLP y CASB para supervisar su uso o para confirmar si está realmente abandonado. Utiliza las herramientas disponibles para aislar el acceso al almacenamiento de forma segura. Si es necesario, crea un depósito de copias de seguridad seguro y, luego, elimina los datos. A nivel de las directivas de la organización, es fundamental establecer períodos de retención para los diferentes tipos de datos, por lo que exige que se archiven y se eliminen automáticamente cuando caduquen. Las directivas también deben definir los procedimientos para registrar nuevos sistemas de almacenamiento y prohibir de manera explícita la existencia de datos sin propietario que sean accesibles sin restricciones, ni contraseñas o cifrado.
Aplicaciones y servicios sin usar en los servidores
Prioridad: media. Las vulnerabilidades en estos servicios aumentan el riesgo de sufrir ataques exitosos, complican los intentos de revisiones y desperdician recursos.
Predominio: muy alto. Los servicios a menudo se activan de manera predeterminada durante la instalación del servidor, se mantienen después de las pruebas y el trabajo de configuración y continúan ejecutándose mucho después de que el proceso empresarial con el que eran compatibles se haya vuelto obsoleto.
Detección: se puede lograr a través de auditorías periódicas de las configuraciones de software. Para lograr una auditoría eficaz, los servidores deben adherirse a un modelo de acceso basado en funciones, y cada función del servidor debe tener una lista correspondiente con el software requerido. Además de la CMDB, existe una amplia gama de herramientas que pueden ayudar en esta auditoría: herramientas como OpenSCAP y Lynis, centradas en el cumplimiento de las directivas y el refuerzo de los sistemas; herramientas de propósito múltiple como OSQuery; analizadores de vulnerabilidades como OpenVAS; y analizadores del tráfico de red.
Respuesta: realiza una revisión programada de las funciones del servidor con sus propietarios empresariales. Se debe desactivar cualquier aplicación o servicio innecesario que esté ejecutándose. Para minimizar estos hechos, implementa el principio del menor privilegio en toda la organización y utiliza imágenes de base o plantillas del servidor reforzados para las compilaciones estándar del servidor. Esto garantiza que no se instale ni active ningún software superfluo de manera predeterminada.
API desactualizadas
Prioridad: alta. Los atacantes suelen aprovechar las API para extraer grandes volúmenes de datos confidenciales y obtener un acceso inicial a la organización. En 2024, la cantidad de ataques relacionados con las API aumentó un 41 % y los atacantes se dirigieron específicamente a las API desactualizadas, ya que suelen proporcionar datos con menos verificaciones y restricciones. Un ejemplo de esto fue la filtración de 200 millones de registros de X/Twitter.
Predominio: alto. Cuando un servicio cambia a una nueva versión de API, la anterior a menudo permanece operativa durante un período prolongado, en particular si los clientes o partners aún la utilizan. Por lo general, estas versiones obsoletas ya no se mantienen, por lo que los fallos de seguridad y las vulnerabilidades en sus componentes no se revisan.
Detección: a nivel del WAF o NGFW, es esencial supervisar el tráfico de las API específicas. Esto permite detectar anomalías que puedan indicar el aprovechamiento o la extracción de datos y también identificar las API que obtienen un tráfico mínimo.
Respuesta: para las API de baja actividad identificadas, colabora con las partes interesadas de la empresa para desarrollar un plan de desmantelamiento y migra los usuarios restantes a las versiones más recientes.
Para las organizaciones con una gran cantidad de servicios, este desafío se puede abordar mejor utilizando una plataforma de administración de API junto con una directiva de ciclos de vida de la API que esté aprobada formalmente. Esta directiva debe incluir criterios bien definidos para discontinuar y retirar las interfaces de software desactualizadas.
Software con dependencias y bibliotecas desactualizadas
Prioridad: alta. Aquí es donde se esconden las vulnerabilidades críticas a gran escala, como Log4Shell, que pueden poner en riesgo la seguridad de la organización y provocar problemas de cumplimiento de la normativa.
Predominio: muy alto, especialmente en los sistemas de administración empresarial a gran escala, los sistemas de automatización industrial y el software personalizado.
Detección: usa una combinación de sistemas de administración de vulnerabilidades (VM/CTEM) y herramientas de análisis de composición de software (SCA). Para el desarrollo interno, es obligatorio utilizar analizadores y sistemas de seguridad integrales que estén integrados en el flujo de proceso de CI/CD para evitar que el software se desarrolle con componentes desactualizados.
Respuesta: las directivas de la empresa deben exigir a los equipos de TI y desarrollo que actualicen sistemáticamente las dependencias de software. Cuando se crea el software interno, el análisis de las dependencias debe formar parte del proceso de revisión del código. Para el software de terceros, es fundamental auditar periódicamente el estado y la antigüedad de las dependencias.
Para los proveedores de software externos, la actualización de las dependencias debe ser un requisito contractual que afecte tanto a las líneas de tiempo de soporte como a los presupuestos del proyecto. Para que estos requisitos sean viables, es esencial mantener actualizada la lista de materiales de software (SBOM).
Puedes leer más sobre la corrección oportuna y eficaz de las vulnerabilidades en otra publicación del blog.
Sitios web olvidados
Prioridad: media. Los atacantes pueden aprovechar los activos web olvidados para cometer actos de phishing, alojar malware o llevar a cabo estafas bajo la marca de la organización, de modo que se daña su reputación. En los casos más graves, pueden provocar filtraciones de datos o usarlos como plataforma de lanzamiento para los ataques contra la empresa en cuestión. Un subconjunto específico de este problema son los dominios olvidados que se utilizaron para actividades puntuales, caducaron y no se renovaron, por lo que quedan disponibles para que cualquier persona los compre.
Predominio: alto, especialmente en el caso de los sitios web creados para campañas a corto plazo o actividades internas únicas.
Detección: el departamento de TI debe mantener un registro central de todos los sitios web y dominios públicos, y verificar el estado de cada uno de ellos con sus propietarios de manera mensual o trimestral. Además, se pueden utilizar analizadores o supervisión de DNS para rastrear los dominios asociados a la infraestructura de TI de la empresa. Los servicios de inteligencia contra amenazas proporcionan otra capa de protección, ya que pueden detectar de forma independiente cualquier sitio web asociado a la marca de la organización.
Respuesta: establece una directiva para el cierre programado de los sitios web después de un período fijo desde el final de su uso activo. Implementa un sistema automatizado de registro y renovación de DNS para evitar la pérdida de control sobre los dominios de la empresa.
Dispositivos de red sin usar
Prioridad: alta. Los routers, firewalls, cámaras de vigilancia y dispositivos de almacenamiento de red que están conectados, pero que no se administran ni se actualizan, son la plataforma de lanzamiento perfecta para los ataques. Estos dispositivos olvidados suelen albergar vulnerabilidades y casi nunca cuentan con una supervisión adecuada (sin integración de SIEM ni de EDR). Sin embargo, ocupan una posición privilegiada en la red, lo que le proporciona a los ciberdelincuentes una puerta de enlace fácil para intensificar los ataques a los servidores y las estaciones de trabajo.
Predominio: medio. Los dispositivos suelen quedar olvidados durante las mudanzas de oficinas, las actualizaciones de la infraestructura de red o las configuraciones temporales de los espacios de trabajo.
Detección: utiliza las mismas herramientas de inventario de la red mencionadas en la sección de servidores olvidados, así como auditorías físicas periódicas para comparar los análisis de red con lo que realmente está conectado. El análisis activo de la red puede dejar al descubierto segmentos de red completos sin rastrear y conexiones externas inesperadas.
Respuesta: por lo general, los dispositivos sin propietario se pueden desconectar de inmediato. Pero ten cuidado: su limpieza requiere el mismo cuidado que cuando se limpian los servidores, para evitar fugas de las configuraciones de red, contraseñas, grabaciones de vídeos de la oficina, etc.
Consejos