¿Qué es el análisis de vulnerabilidades?

¿Qué es el análisis de vulnerabilidades?

El análisis de vulnerabilidades es el proceso de utilizar herramientas automatizadas para examinar sistemas, redes y aplicaciones en busca de debilidades de seguridad conocidas. Estas herramientas comprueban cosas como software obsoleto, configuraciones inadecuadas, parches no aplicados y exploits conocidos que un atacante podría usar para obtener acceso no autorizado.

Piénselo como una revisión médica de su infraestructura de TI. Igual que un médico hace análisis rutinarios para detectar problemas antes de que se agraven, el análisis de vulnerabilidades identifica brechas de seguridad antes de que se exploten.

Cómo funciona el análisis de vulnerabilidades

Un escáner de vulnerabilidades funciona sondeando sus sistemas frente a una base de datos de vulnerabilidades conocidas. Estas bases (como la lista Common Vulnerabilities and Exposures, CVE) se actualizan constantemente conforme se descubren nuevos fallos.

El proceso suele seguir estos pasos

• Descubrimiento: el escáner identifica todos los dispositivos, servicios y aplicaciones de la red.
• Enumeración: cataloga puertos abiertos, servicios en ejecución, versiones de software y configuraciones.
• Detección de vulnerabilidades: compara lo que encuentra con su base de vulnerabilidades conocidas.
• Evaluación de riesgo: a cada hallazgo se le asigna una severidad (normalmente con el Common Vulnerability Scoring System, CVSS).
• Informe: los resultados se compilan en un informe con lo encontrado, su gravedad y los pasos de remediación recomendados.

Análisis externo frente a interno

Hay dos perspectivas principales:

• Escaneos externos: ven sus sistemas desde fuera, la misma perspectiva de un atacante en internet. Se centran en sus direcciones IP públicas, servidores web, servidores de correo y cortafuegos.
• Escaneos internos: examinan su red desde dentro, buscando vulnerabilidades explotables por alguien que ya tiene acceso, ya sea un interno malicioso o un atacante que haya superado el perímetro.

Análisis de vulnerabilidades y PCI DSS

PCI DSS hace obligatorio el análisis de vulnerabilidades para cualquier negocio que almacene, procese o transmita datos de tarjeta. El estándar exige dos tipos de escaneo:

Escaneos externos trimestrales por un ASV

El requisito 11.3.2 de PCI DSS exige escaneos externos al menos trimestrales realizados por un Approved Scanning Vendor (ASV). Los ASV son organizaciones cualificadas por el PCI SSC para realizar estos escaneos. El escaneo debe resultar en un informe de paso para satisfacer el requisito.

Un escaneo aprobado significa que no se encontraron vulnerabilidades con una puntuación CVSS de 4,0 o superior. Si se detectan vulnerabilidades graves, debe remediarlas y reescanear hasta obtener un resultado de paso.

Escaneos internos trimestrales

Los escaneos internos también deben realizarse trimestralmente (requisito 11.3.1). No tienen que hacerlos un ASV: pueden realizarlos personal interno cualificado o un servicio externo. Sin embargo, deben ser exhaustivos y las vulnerabilidades de alto riesgo deben abordarse y reescanearse.

Escaneos tras cambios significativos

Más allá del calendario trimestral, PCI DSS exige escaneos cuando se realizan cambios significativos en el entorno: instalación de nuevos sistemas, cambios de topología de red o modificaciones en las reglas del cortafuegos.

Vulnerabilidades habituales en entornos de pago

• Configuraciones SSL/TLS obsoletas que ya no cumplen los estándares de seguridad.
• Sistemas operativos o software de servidor web sin parches.
• Credenciales por defecto dejadas en dispositivos o aplicaciones de red.
• Puertos abiertos no necesarios para la operación del negocio.
• Fallos de cross-site scripting (XSS) o inyección SQL en aplicaciones web.
• Cortafuegos o listas de control de acceso mal configurados.

Análisis de vulnerabilidades frente a pruebas de penetración

Estos dos términos se confunden, pero sirven a propósitos distintos. El análisis de vulnerabilidades es automatizado, amplio y diseñado para identificar debilidades conocidas en todo su entorno. La prueba de penetración es manual, dirigida e implica que un profesional cualificado intenta explotar las vulnerabilidades para demostrar su impacto real.

PCI DSS exige ambos: análisis trimestrales y pruebas de penetración anuales. Se complementan: el análisis lanza una red amplia para hallar problemas, y la prueba de penetración profundiza para comprobar cómo de explotables son.

Cómo elegir un Approved Scanning Vendor

El PCI SSC mantiene una lista de ASV cualificados en su web. Al elegir un ASV, considere factores como coste, calidad de informes, soporte y si ofrecen guía de remediación. Algunos ASV conocidos son Qualys, Trustwave y Tenable.

Para los negocios que gestionan pagos por teléfono, asegúrese de que el alcance del escaneo cubra todos los sistemas implicados en el procesamiento de tarjetas, incluida la infraestructura telefónica, los sistemas IVR o las plataformas de pago que formen parte de su entorno de datos del titular.