{"id":31755,"date":"2025-12-29T12:28:47","date_gmt":"2025-12-29T10:28:47","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31755"},"modified":"2025-12-29T12:28:47","modified_gmt":"2025-12-29T10:28:47","slug":"forsaken-servers-apis-apps-accounts-find-and-protect","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/forsaken-servers-apis-apps-accounts-find-and-protect\/31755\/","title":{"rendered":"Infraestructura de TI olvidada: mucho peor que la TI en la sombra"},"content":{"rendered":"

Los atacantes suelen buscar cuentas de prueba desactualizadas y sin usar<\/a> o se topan con almacenamientos en la nube de acceso p\u00fablico que contienen datos cr\u00edticos que est\u00e1n un poco olvidados<\/a>. A veces, en un ataque se aprovecha una vulnerabilidad de un componente de la aplicaci\u00f3n que, en realidad, se hab\u00eda revisado hace dos a\u00f1os, por ejemplo<\/a>.<\/p>\n

Al leer estos informes de filtraciones, hay un tema com\u00fan que surge: los ataques han aprovechado algo que estaba desactualizado, como un servicio, un servidor, una cuenta de usuario\u2026 Son partes de la infraestructura de TI corporativa que a veces quedan fuera del radar de los equipos de seguridad y de TI. B\u00e1sicamente, dejan de estar administrados, se vuelven in\u00fatiles y simplemente quedan olvidados.<\/p>\n

Estos zombis de TI crean riesgos para la seguridad de la informaci\u00f3n y el cumplimiento de la normativa, y provocan costes operativos innecesarios. Por lo general, este es un aspecto de la TI en la sombra, pero con una diferencia clave: nadie quiere ni conoce estos activos y tampoco se beneficia de ellos.<\/p>\n

En esta publicaci\u00f3n, intentamos identificar qu\u00e9 activos requieren atenci\u00f3n inmediata, c\u00f3mo identificarlos y c\u00f3mo se deber\u00eda responder ante ellos.<\/p>\n

Servidores f\u00edsicos y virtuales<\/h2>\n

Prioridad: alta.<\/strong> Los servidores vulnerables son puntos de entrada para los ciberataques y contin\u00faan consumiendo los recursos al mismo tiempo que crean riesgos para el cumplimiento de la normativa.<\/p>\n

Predominio<\/strong>: alto<\/strong>. Los servidores f\u00edsicos y virtuales suelen quedar hu\u00e9rfanos en las infraestructuras grandes despu\u00e9s de proyectos de migraci\u00f3n o de fusiones y adquisiciones. Con frecuencia, tambi\u00e9n se suelen olvidar los servidores de prueba que ya no se usan despu\u00e9s de que se lanzan los proyectos de TI, al igual que los servidores web para los proyectos desactualizados que se ejecutan sin un dominio. Las estad\u00edsticas de Let\u2019s Encrypt<\/a> han demostrado la magnitud del problema: en 2024, la mitad de las solicitudes de renovaci\u00f3n de dominio proven\u00edan de dispositivos que ya no estaban asociados con el dominio solicitado. Y existen aproximadamente un mill\u00f3n de estos dispositivos en el mundo.<\/p>\n

Detecci\u00f3n: <\/strong>el departamento de TI tiene que implementar un proceso de detecci\u00f3n y conciliaci\u00f3n autom\u00e1ticas (AD&R) que combine los resultados del an\u00e1lisis de la red y el inventario de la nube con los datos de la base de datos de la administraci\u00f3n de la configuraci\u00f3n (CMDB). Permite la identificaci\u00f3n oportuna de la informaci\u00f3n desactualizada o en conflicto sobre los activos de TI y ayuda a ubicar los activos olvidados.<\/p>\n

Estos datos se deben complementar con an\u00e1lisis de vulnerabilidades externas que abarquen a todas las IP p\u00fablicas de la organizaci\u00f3n.<\/p>\n

Respuesta:<\/strong> establece un proceso formal y documentado para el desmantelamiento o retirada de los servidores. Este proceso debe incluir la verificaci\u00f3n de la migraci\u00f3n completa de los datos y la posterior destrucci\u00f3n verificada de los datos en el servidor. Despu\u00e9s de seguir estos pasos, el servidor se puede apagar, reciclar o reutilizar. Hasta que se completen todos los procedimientos, el servidor se debe trasladar a una subred aislada y en cuarentena.<\/p>\n

Para mitigar este problema en los entornos de prueba, implementa un proceso automatizado para su creaci\u00f3n y desmantelamiento. Se debe crear un entorno de prueba al inicio de un proyecto y se debe desmantelar despu\u00e9s de un per\u00edodo establecido o tras cierto tiempo de inactividad. Para reforzar la seguridad de los entornos de prueba, aplica su aislamiento estricto del entorno principal (de producci\u00f3n) y proh\u00edbe el uso de los datos reales y no anonimizados de la empresa en las pruebas.<\/p>\n

Cuentas olvidadas del usuario, servicio y dispositivo<\/h2>\n

Prioridad: cr\u00edtica.<\/strong> Las cuentas inactivas y privilegiadas son los principales objetivos de los atacantes que buscan establecer la persistencia de la red o expandir su acceso dentro de la infraestructura.<\/p>\n

Predominio:<\/strong> muy alto.<\/strong> Las cuentas de servicio t\u00e9cnico, las cuentas de contratistas y las cuentas no personalizadas suelen ser las que se olvidan con m\u00e1s frecuencia.<\/p>\n

Detecci\u00f3n:<\/strong> realiza an\u00e1lisis peri\u00f3dicos del directorio de usuarios (Active Directory en la mayor\u00eda de las organizaciones) para identificar todos los tipos de cuentas que no han tenido ninguna actividad durante un per\u00edodo definido (un mes, un trimestre o un a\u00f1o). Al mismo tiempo, es recomendable revisar los permisos asignados a cada cuenta y quitar los que sean excesivos o innecesarios.<\/p>\n

Respuesta:<\/strong> despu\u00e9s de haber comprobado con el propietario del servicio correspondiente en el \u00e1rea empresarial o con el supervisor de los empleados, solo hay que desactivar o eliminar las cuentas desactualizadas. Un sistema integral de administraci\u00f3n de identidades y accesos (IAM)<\/a> ofrece una soluci\u00f3n escalable para este problema. En este sistema, la creaci\u00f3n, eliminaci\u00f3n y asignaci\u00f3n de permisos para las cuentas est\u00e1n estrechamente integradas con los procesos de RR.\u00a0HH.<\/p>\n

Para las cuentas de servicio, tambi\u00e9n es esencial revisar de forma rutinaria tanto la seguridad de las contrase\u00f1as como las fechas de caducidad de los tokens de acceso, por lo que hay que alternarlas seg\u00fan sea necesario.<\/p>\n

Almacenes de datos olvidados<\/h2>\n

Prioridad: cr\u00edtica.<\/strong> El control deficiente de los datos en las bases de datos accesibles desde el exterior, el almacenamiento en la nube junto con las papeleras de reciclaje<\/a> y los servicios corporativos de intercambio de archivos<\/a> (incluso los que son \u201cseguros\u201d) han sido una fuente clave de importantes filtraciones entre 2024 y 2025. A menudo, los datos expuestos en estas filtraciones incluyen an\u00e1lisis de documentos, historiales m\u00e9dicos e informaci\u00f3n personal. En consecuencia, estos incidentes de seguridad tambi\u00e9n dan lugar a sanciones por el incumplimiento de normativas como la HIPAA, el RGPD y otros marcos de protecci\u00f3n de datos que regulan el tratamiento de los datos personales y confidenciales.<\/p>\n

Predominio<\/strong>: alto<\/strong>. Los datos de archivo, las copias de los datos que conservan los contratistas, las versiones heredadas de las bases de datos de migraciones de sistemas anteriores\u2026 Todos estos datos suelen no tenerse en cuenta y permanecen accesibles durante a\u00f1os (incluso d\u00e9cadas) en muchas organizaciones.<\/p>\n

Detecci\u00f3n:<\/strong> debido a la gran variedad de tipos de datos y m\u00e9todos de almacenamiento, es esencial contar con una combinaci\u00f3n de herramientas para su detecci\u00f3n:<\/p>\n