A raíz de la invasión rusa de Ucrania, los gobiernos de todo el mundo impusieron sanciones económicas contra Rusia. Después de esto, se hizo evidente que las organizaciones privadas debían tomar medidas, lo que llevó a muchas empresas a boicotear a Rusia cerrando sus instalaciones locales, evacuando a los empleados y negándose a comerciar en el país. Aunque el enfoque de este artículo está en las sanciones contra Rusia, es igualmente aplicable a las sanciones relacionadas contra el aliado cercano de Rusia, Bielorrusia.
La necesidad de boicotear a Rusia fue impulsada tanto por el pragmatismo como por la ética. Las organizaciones debían ser vistas como algo más que simplemente enviar “pensamientos y oraciones”. Existía la posibilidad de un daño significativo a la reputación si se veía que continuaba comerciando en y/o con Rusia. Sin embargo, en la prisa por boicotear a Rusia, y para que se vea que lo están haciendo, existe un riesgo significativo de que las organizaciones se hayan vuelto vulnerables a los ataques al cerrar indebidamente sus activos regionales.
“Las organizaciones multinacionales enfrentaron múltiples desafíos cuando se mudaron fuera de Rusia, desde evacuar a su personal hasta desocupar sus edificios”, dice Ran Nahmias, cofundador y director comercial de Cyberpion, especialista en gestión de superficie de ataque.
“También necesitaban cerrar su operación de TI local, desconectando los activos digitales y cortando las conexiones de la cadena de suministro digital. Esto requiere atención y un plan de acción detallado”.
Para comprender la escala del problema, Cyberpion realizó una investigación a principios de este año y mostró que el tamaño de la superficie de ataque externa suele ser exponencialmente mayor que el entorno empresarial interno.
El informe demostró el nivel de riesgo involucrado: el 60 % de las empresas de Fortune 500 tenían una vulnerabilidad conocida en la que los actores de amenazas podían infiltrarse para acceder a datos confidenciales de empleados o clientes. De estos, ya se había abusado de una proporción significativa de las vulnerabilidades. Con la rápida salida de Rusia, esto solo ha exacerbado el problema.
“Verificamos Fortune Global 1000 y el 60 % todavía tenía conexiones activas a infraestructuras con sede en Rusia”, dice Nahmias.
Una de las cuestiones clave tanto para las empresas privadas como para las organizaciones gubernamentales es que se han convertido en entidades masivamente distribuidas. Algunas de las organizaciones multinacionales más grandes a menudo tendrán múltiples plataformas en la nube y múltiples dominios en línea, así como activos regionalizados para los diversos teatros en los que operan.
La naturaleza distribuida de la infraestructura en línea significa que las organizaciones esencialmente han abandonado los activos digitales dentro de las fronteras rusas, lo que puede representar un riesgo significativo para las organizaciones si estos activos no se han cerrado correctamente.
“Sistema de nombres de dominio [DNS] es la base de las interacciones en Internet y, a menudo, los equipos de seguridad lo pasan por alto”, dice Nahmias. “Al igual que la plomería, los equipos de seguridad dan por sentado el DNS, al menos hasta que algo se rompa o sea secuestrado, entonces se convierte en un gran problema de seguridad”.
Activos abandonados
En lugar de desmantelar o eliminar estos activos regionales, a menudo simplemente se han dejado inactivos. La suposición es que, eventualmente, la situación se enfriará y que el comercio con Rusia volverá a ser viable. Por lo tanto, la planificación para reactivar los activos regionales existentes, en lugar de crearlos de nuevo, tiene sentido desde el punto de vista económico.
Sin embargo, en la interrupción causada por su rápida salida del país, existe la pregunta de si las empresas pudieron cerrar y asegurar adecuadamente todos sus activos digitales localizados.
Los peligros que plantean estos activos abandonados son múltiples. Los activos digitales locales se pueden usurpar y utilizar con fines maliciosos, como el robo de identidad y el fraude con tarjetas de crédito. Esto no solo deja a las organizaciones expuestas a multas significativas por incumplimiento de las leyes de protección de datos, sino que también existe el daño a la reputación asociado causado por estos incidentes.
“El riesgo depende de a dónde apunte la conexión y qué medidas de autenticación o seguridad se hayan implementado”, dice Nahmias. “Los equipos de seguridad tienden a ser más indulgentes con las conexiones a los recursos internos que con las conexiones a los externos”.
La naturaleza distribuida de la empresa moderna significa que las redes ya no son telarañas, sino una malla compleja. Si bien esta es una forma mucho más robusta de conectividad de red, también hay muchas más conexiones que deben administrarse. Como tal, existe un riesgo potencial de que las conexiones de red de los activos abandonados sigan activas, lo que esencialmente permite el acceso al resto de la red corporativa. En muchos sentidos, este es un riesgo mucho mayor para la organización, ya que los actores malintencionados podrían obtener información confidencial a través de estas conexiones no seguras.
“Las empresas operan muchos dominios, en algunos casos, incluso millones, por lo que monitorearlos manualmente simplemente no es una opción”, dice Nahmias. “Hay mucha complejidad involucrada: es un espagueti de DNS. Si bien creemos que la mayoría de las empresas intentaron limpiar sus conexiones de TI rusas, en la mayoría de los casos no lo lograron”.
También existe el peligro de que se pueda acceder a los activos regionales abandonados y piratearlos antes de que finalmente se reactiven. Básicamente, esto actuaría como una puerta trasera, lo que permitiría a los actores maliciosos eludir la seguridad de la red para implementar software malicioso dentro de una red corporativa. Estas tácticas podrían ser explotadas por delincuentes locales, así como por piratas informáticos patrocinados por estados-nación.
“Si una marca global de consumidores con sede en EE. UU. salió de Rusia y cerró su sitio ruso, pero no lo hizo correctamente, un actor malicioso podría revivirlo y potencialmente abusar de clientes inocentes, dañando la reputación de la marca global”, dice Nahmias.
¿Lo que hay que hacer?
Las organizaciones deben asegurarse de que todos sus activos locales abandonados hayan quedado completamente inactivos y de que continúen conservando los derechos de propiedad de sus dominios digitales.
Del mismo modo, las organizaciones deben revisar las conexiones entre estos activos locales abandonados y la red corporativa más amplia para asegurarse de que se hayan conectado correctamente, ya sea eliminando estas conexiones por completo o enviando las conexiones a una página de destino que no conduce a ninguna parte. Sin embargo, la cantidad de conexiones que existen ahora es tal que esto ya no es manejable por medios convencionales.
“Si tienes un millón de dominios o ID, o 100 000 PC, ya no es un trabajo humano. AI [artificial intelligence] tendrá que entrar”, dice Nahmias. “Alguien debe proporcionar una forma de entender cuando algo se rompe. El tiempo para detectar y responder será la clave del éxito”.
Desde una perspectiva más amplia, especialmente para las organizaciones multinacionales que tienen una red distribuida masivamente, esta situación ha demostrado la necesidad de un rol único de supervisión. En lugar de tener una serie de administradores de red y sus equipos, centrados en sus áreas de especialización con una coordinación limitada entre ellos, los eventos de los últimos meses han puesto de relieve la necesidad de un rol de supervisión único, que pueda coordinar y controlar toda la infraestructura digital.
“La PKI, la nube, el DNS y la web generalmente son administrados por diferentes equipos que a veces se conectan solo al nivel del CIO. Eso significa que hay cuatro personas en una organización que examinan la relación con Rusia y luego colaboran en los resultados”, dice Nahmias.
Algunos pueden preguntarse si las organizaciones abandonan los activos regionales y reducen la cantidad de regiones en las que operan, si los modelos de red centralizados volverán a predominar. Si bien esto minimizaría la superficie de la amenaza, no anularía el riesgo por completo y las organizaciones no podrían aprovechar los beneficios de una red híbrida distribuida robusta. Por lo tanto, en lugar de minimizar la superficie de ataque, las organizaciones deberán centrarse en proteger las conexiones.
“No creo que cerrarlo sea la forma de abordar el problema”, dice Nahmias. “Es posible que tenga una superficie de ataque más pequeña, pero aún está allí. También podría buscar evitar que los actores maliciosos abusen de la superficie de ataque, pequeña o grande”.
Conclusión
En lugar de destruir sus activos al boicotear a Rusia y Bielorrusia, las organizaciones han tomado una visión a largo plazo y, en cambio, los han desmantelado. Cuando la situación se haya calmado, si las organizaciones están dispuestas a reanudar el comercio, querrán reactivar sus activos previamente abandonados para permitir un rápido regreso al mercado.
“La relación entre el DNS y la seguridad es algo que vemos evolucionar en muchas áreas de las empresas en la actualidad”, dice Nahmias. “Me gustaría creer que la mayoría de las empresas han hecho algún tipo de mejor esfuerzo, pero no creo que necesariamente puedan dedicar toda su atención a los riesgos potenciales. Parte del riesgo es inmediato y presente, pero hay otra gran pieza que es una caja de Pandora en Rusia, que algún día se abrirá”.
Una revisión adecuada de los dominios abandonados de una organización resaltará cualquier vulnerabilidad potencial en la postura de seguridad de su red. Por ejemplo, podría ser un proceso automatizado que marque cualquier discrepancia, junto con sus conexiones de red asociadas, para revisión humana. La situación también ha puesto de relieve la necesidad de una función de supervisión de la red, en lugar de depender de la colaboración entre una serie de equipos de redes especializados, para garantizar que se cumplan los objetivos corporativos generales.
“La seguridad tendrá que estar identificando las anomalías en un espectro mucho más amplio”, concluye Nahmias. “La seguridad tendrá que evolucionar para aceptar algún riesgo e identificar las infracciones cuando ocurran para minimizar el efecto”.
