martes, 31 de marzo de 2026

Vulnerability Scanning: Guía Fácil (9)

 

Introducción

Este capítulo gira alrededor de una idea clave: no puedes proteger lo que no ves y no puedes defender lo que no analizas regularmente. La organización necesita saber qué activos tiene, qué vulnerabilidades existen y cómo escanearlas de forma ordenada y sin romper nada.


Ideas principales

  • Importancia de descubrir e inventariar activos (asset discovery).

  • Marcos y estándares que obligan o guían la gestión de vulnerabilidades (PCI DSS, CIS, OWASP, ISO/IEC 27000, SCAP).

  • Vulnerabilidades y particularidades de infraestructuras críticas (ICS, OT, SCADA).

  • Conceptos y tipos de escaneo de vulnerabilidades (pasivo/activo, mapeo, escaneo de puertos, interno/externo, con/sin credenciales, con/sin agentes, web app scanners).

  • Parámetros clave de configuración de escaneos: frecuencia, calendario, alcance, feeds de vulnerabilidades, limitaciones técnicas, workflow, actualizaciones y plug‑ins.

  • Riesgos y consideraciones especiales al escanear (rendimiento, impacto en negocio, segmentación, regulaciones, criticidad y sensibilidad de activos).

  • Informes de vulnerabilidades: qué contienen, quién los debe ver y cómo distribuirlos.

  • Técnicas de análisis de vulnerabilidades en software: análisis estático, dinámico, ingeniería inversa y fuzzing.

Explicación de conceptos clave con ejemplos y analogías

1. Descubrimiento de activos y mapeo de red

Idea básica: antes de escanear vulnerabilidades, tienes que saber qué máquinas, software y servicios existen en la red.

  • Las herramientas de descubrimiento (como nmap) envían diferentes tipos de tráfico (ICMP, ARP, TCP a puertos típicos) y observan quién responde.

  • Esto permite “mapear” la red (topología) y “fingerprint” los dispositivos: sistema operativo, puertos abiertos, servicios, IP, MAC, etc.

Analogía:
Imagina que eres el responsable de seguridad de un edificio enorme. Antes de mejorar la seguridad, necesitas un plano: cuántas habitaciones hay, qué puertas existen, qué ventanas se pueden abrir. El escaneo de red es como caminar con una linterna por todos los pasillos anotando cada puerta y ventana.

Punto importante:
Los escaneos de descubrimiento deben hacerse de forma periódica para detectar nuevos dispositivos o “rogue devices” no autorizados.

2. Marcos y estándares de vulnerabilidades

Varios marcos definen cómo debe gestionarse la vulnerabilidad en una organización.

PCI DSS

  • Se aplica a cualquier organización que procese pagos con tarjeta.

  • El Requisito 11 exige escaneos de vulnerabilidades internos y externos como mínimo trimestralmente y tras cambios significativos.

  • Las vulnerabilidades críticas deben corregirse y volver a escanear para demostrar que se han mitigado.

Analogía:
Es como la ITV de los coches, pero obligatoria para sistemas que procesan tarjetas: revisiones periódicas y revisión extra si haces una modificación importante.

CIS Controls

  • Conjunto de 18 controles críticos de seguridad con “safeguards” más detallados (por ejemplo, Control 7: Continuous Vulnerability Management).

  • Clasifica organizaciones en tres Implementation Groups (IG1, IG2, IG3) según tamaño y madurez, para priorizar qué salvaguardas aplicar primero.

OWASP Top Ten

  • Lista de los 10 riesgos más comunes en aplicaciones web (Broken Access Control, Cryptographic Failures, Injection, etc.).

  • Se usa como referencia para entender qué tipos de vulnerabilidades buscar con escáneres de aplicaciones web.

Analogía:
Piensa en OWASP Top Ten como la “lista de los 10 delitos más frecuentes” en una ciudad. Si eres policía, vas a diseñar tus patrullas pensando en esos delitos.

ISO/IEC 27001 y serie 27000

  • ISO/IEC 27001 define cómo montar un sistema de gestión de seguridad de la información (ISMS): objetivos, riesgos, controles, monitorización y mejora continua.

  • Incluye controles relacionados con gestión de vulnerabilidades dentro de un programa global de seguridad.

SCAP

  • SCAP estandariza cómo describimos vulnerabilidades, configuraciones y reportes (CVE, CVSS, ARF, etc.) para que distintas herramientas “hablen el mismo idioma”.

  • Permite automatizar cumplimiento de baselines (por ejemplo, requisitos FISMA para Windows 10 usando un SCAP module en un escáner certificado como Nessus).

Analogía:
Es como usar formatos estándar (PDF, DOCX) para que cualquier persona pueda abrir tus documentos, independientemente del software; SCAP hace eso pero con vulnerabilidades y cumplimiento.

3. Infraestructura crítica, ICS, OT y SCADA

ICS (Industrial Control Systems) y OT (Operational Technology)

  • ICS son sistemas que controlan procesos físicos: líneas de montaje, ascensores, HVAC, etc.

  • OT es la parte más cercana al proceso físico: sensores, actuadores, PLC, RTU, etc.

  • Históricamente estaban aislados, pero ahora se interconectan con redes IT y a veces con Internet, aumentando la superficie de ataque.

  • Muchas veces usan firmware difícil de actualizar, con parches manuales y raros; algunos fabricantes ni siquiera publican actualizaciones.

  • Muchos dispositivos antiguos tienen autenticación débil o incluso contraseñas por defecto incrustadas en firmware, a veces en texto claro.

Analogía:
Son como máquinas industriales gigantes que se diseñaron en una época donde nadie pensaba en ciberataques; ahora les han puesto una tarjeta de red y siguen con la misma cerradura vieja de siempre.

SCADA

  • SCADA es un tipo de ICS para controlar dispositivos distribuidos geográficamente (oleoductos, redes eléctricas, agua, etc.).

  • Usa comunicaciones a larga distancia (radio, satélite, enlaces IP) y estaciones remotas poco vigiladas físicamente.

  • Vulnerabilidades añadidas: comunicaciones antes “oscuras” pero ahora entendibles, y estaciones remotas donde un atacante puede acceder físicamente a equipos.

Ejemplo real del capítulo:
El caso Target: atacantes entraron por la red de un proveedor de HVAC que tenía acceso a los sistemas de la tienda; la interconexión entre sistemas “no tradicionales” y la red corporativa no se valoró adecuadamente.

4. Conceptos básicos de escaneo: pasivo, activo, mapeo y puertos

Escaneo pasivo vs. activo

  • Pasivo: escuchas el tráfico que ya circula para deducir puertos, protocolos y servicios sin generar actividad sospechosa.

  • Activo: envías tráfico específicamente diseñado para provocar respuestas (por ejemplo, varios tipos de paquetes con nmap).

Analogía:
Pasivo es como escuchar conversaciones en un bar sin hablar; activo es ir mesa por mesa haciendo preguntas.

Mapeo / Enumeración

  • Se busca entender la topología: qué dispositivos hay, qué roles tienen (firewalls, routers, DMZ, etc.).

  • Un “sweep” envía mensajes (ICMP, TCP SYN/ACK a puertos específicos) a cada IP y anota quién responde.

Escaneo de puertos

  • Un port scanner (como nmap) prueba puertos conocidos (80, 25, 443, etc.) para ver cuáles están abiertos.

  • Según el tipo y tiempo de respuesta, puede inferir qué servicios y hasta qué sistema operativo se está usando (OS fingerprinting, con limitaciones).

Analogía:
Escanear puertos es como ir probando todas las puertas de un edificio: puerta 80 (HTTP), 443 (HTTPS), 25 (correo). Si una puerta cede, sabes que hay algo detrás.

5. Tipos de escaneo de vulnerabilidades

Escaneos con credenciales vs. sin credenciales

  • No credencial (noncredentialed): el escáner se comporta como un atacante externo sin cuentas. Es más rápido y sencillo, pero ve menos cosas.

  • Credencial (credentialed): el escáner inicia sesión con una cuenta en el sistema y puede revisar “por dentro” (registro, paquetes instalados, configuración detallada). Es más lento pero mucho más completo.

  • Normalmente no hace falta usar credenciales con privilegios máximos (evitar Domain Admin salvo necesidad real).

Analogía:
Sin credenciales es mirar una casa desde la calle: sólo ves lo que se ve por la ventana. Con credenciales es que el dueño te abra la puerta y te deje revisar habitación por habitación.

Escaneo con agentes vs. agente‑less

  • Agentless (server‑based): uno o pocos servidores de escaneo lo hacen todo vía red, consumiendo más ancho de banda y recursos en los dispositivos.

  • Agent‑based: instalas un agente ligero en cada host; este recoge la información localmente y sólo envía resultados, reduciendo tráfico y permitiendo escanear equipos móviles incluso fuera de la red.

Analogía:
Agentless es como mandar un inspector central a visitar todas las sucursales físicamente; agent‑based es como tener un mini‑inspector residente en cada sucursal que envía informes al central.

Escaneo interno vs. externo

  • Interno: se hace desde dentro de la red corporativa (appliance interno), con más visibilidad de hosts internos.

  • Externo: simula el punto de vista de Internet; útil para ver qué puede ver un atacante desde fuera.

Escáneres de aplicaciones web

  • Herramientas específicas para probar vulnerabilidades de web: SQL injection, XSS, command injection, mala configuración de servidor, etc.

  • Suelen basarse en una base de datos de exploits conocidos, por lo que es importante mantenerlas actualizadas.

Analogía:
Un escáner de red es como revisar la estructura del edificio; un escáner web es como revisar cada formulario, botón y enlace de la web corporativa buscando formas de colarse o robar datos.

6. Parámetros clave de configuración de escaneos

Calendario (schedule)

  • No conviene escanear “a lo loco”; se planifican escaneos rutinarios, normalmente automatizados.

  • Se evitan horas de máxima carga de servidores críticos; se escanean grupos distintos en momentos distintos para no saturar la red.

  • También hay escaneos ad hoc (para troubleshooting o incidentes).

Analogía:
Es como programar limpiezas profundas en un hospital: no las vas a hacer mientras hay cirugías críticas en marcha.

Alcance (scope)

  • Define qué activos se escanean: toda la red, sólo un segmento, sólo servidores críticos, etc.

  • Es clave para gestionar impacto, permisos, y cumplimiento de regulaciones.

Feeds de vulnerabilidades y plugins

  • Los escáneres dependen de feeds actualizados (listas de nuevas vulnerabilidades) y plug‑ins para detectar fallos específicos.

  • Deben actualizarse con frecuencia (diaria e incluso horaria) para no quedarse atrás respecto a los atacantes.

  • Si aparece una vulnerabilidad crítica fuera de ciclo, puede requerirse un escaneo ad hoc específico.

Limitaciones técnicas y workflow

  • Recursos limitados: ancho de banda, potencia de CPU, personal cualificado.

  • Hay que integrarlo en el flujo de trabajo: por ejemplo, que el SOC revise informes todos los martes y abra tickets de remediación.

7. Riesgos, rendimiento y consideraciones especiales

Impacto en red y sistemas

  • Escanear puede causar latencia, consumir ancho de banda y, en casos extremos, provocar que algunos sistemas lentos se cuelguen o reinicien.

  • Soluciones: cambiar horario del escaneo, limitar el alcance, ajustar la agresividad del escaneo.

Analogía:
Hacer un TAC (escáner médico) a un paciente muy débil puede empeorar su estado; tienes que ajustar la intensidad y el momento de la prueba.

Criticidad de activos y sensibilidad de datos

  • Activos críticos (por ejemplo, sistemas de pagos, web de comercio, bases de datos de clientes) requieren escaneos más frecuentes y rigurosos.

  • Datos sensibles (PHI bajo HIPAA, datos de tarjetas, datos financieros) exigen que el escaneo no exponga ni copie información de forma insegura.

Dispositivos de red y seguridad

  • Firewalls, IDS/IPS, HBSS pueden bloquear o detectar el tráfico del escáner si no se planifica y se configura correctamente.

  • Es buena práctica coordinar con equipos de red y seguridad, publicar calendarios de escaneos y orígenes de IP.

Segmentación de red

  • Segmentar la red permite escanear por partes (VLANs, segmentos físicos) para limitar impacto y priorizar grupos de activos.

Entornos regulados

  • En entornos regulados, hay reglas sobre qué se puede escanear, cuándo, quién puede ver los resultados, y cuándo hay que notificar a organismos externos.

8. Informes de vulnerabilidades

  • Los informes deben contener sólo la información necesaria para el público objetivo (admins de web, admins de BD, gestión, equipo de cumplimiento, etc.).

  • Es importante automatizar plantillas y distribución: por ejemplo, informe específico para admins de servidores web, otro para DBAs, etc.

  • Los informes son información muy sensible; si un atacante los consigue, tiene un mapa perfecto de qué explotar.

Analogía:
Un informe de vulnerabilidades es como entregar a un ladrón el plano de tu casa con todas las puertas sin cerradura marcadas; hay que protegerlos como si fueran secretos de estado.

9. Evaluación de vulnerabilidades en software

Análisis estático

  • Revisa el código sin ejecutarlo, normalmente con herramientas automáticas que buscan patrones de inseguridad (como concatenación sin validar en SQL, uso inseguro de funciones, etc.).

  • No detecta errores de lógica o problemas que sólo aparecen en tiempo de ejecución.

Analogía:
Es como revisar la receta de cocina en papel sin cocinarla: puedes ver ingredientes peligrosos o pasos mal definidos, pero no sabes si el plato final se quemará.

Análisis dinámico

  • Ejecuta el binario en un entorno controlado (sandbox) para ver qué hace: archivos que abre, conexiones que realiza, memoria que usa.

  • Útil también para analizar malware; rápido y requiere menos conocimiento de código.

Analogía:
Es como observar al cocinero preparando el plato para ver su comportamiento, aunque no entiendas cada línea de la receta.

Ingeniería inversa

  • Desensamblar o decompilar el binario para entender a bajo nivel su funcionamiento.

  • Permite ver todas las rutas de ejecución posibles, no sólo las observadas en pruebas dinámicas.

Analogía:
Es desmontar un motor pieza a pieza para entender cómo funciona, incluso si nunca viste los planos originales.

Fuzzing

  • Enviar grandes cantidades de datos malformados o aleatorios a la aplicación para provocar fallos.

  • Identifica problemas como buffer overflows, DoS, validaciones débiles e inyecciones.

  • Fuzzers modernos no suelen usar entrada 100% aleatoria; parten de entradas válidas y las mutan gradualmente.

Analogía:
Es como apretar todos los botones del ascensor en secuencias raras para ver si en algún momento se bloquea o se comporta de forma extraña.

Conclusión / recordatorio para el estudio

  • Recuerda siempre el orden lógico:

    1. Descubre e inventaría activos.

    2. Clasifica por criticidad y sensibilidad.

    3. Define una política de escaneos (frecuencia, alcance, herramientas).

    4. Ejecuta escaneos (tipo adecuado según objetivo: interno/externo, con/sin credenciales, con agentes, web, etc.).

    5. Analiza resultados, prioriza remediación y vuelve a escanear.

  • Ten presentes los marcos de referencia (PCI DSS, CIS, OWASP, ISO/IEC 27001, SCAP) porque aparecen en el examen CySA+ y en la vida real sirven para justificar tu programa de vulnerabilidades.

  • Nunca olvides el impacto en el negocio: un buen escaneo es el que mejora la seguridad sin romper la operación.

Glosario básico

  • Activo (asset): cualquier cosa de valor para la organización: hardware, software, datos, personas, reputación, etc.

  • Vulnerabilidad: debilidad técnica o de proceso que puede ser explotada por una amenaza para causar daño.

  • Escaneo de vulnerabilidades: proceso automatizado para buscar vulnerabilidades conocidas en sistemas, redes o aplicaciones.

  • Fingerprinting: técnica para identificar características de un sistema (OS, servicios, versión) a partir de cómo responde al tráfico.

  • ICS (Industrial Control System): sistema que controla procesos físicos industriales (fábricas, plantas, etc.).

  • OT (Operational Technology): tecnología que interactúa directamente con procesos físicos (sensores, actuadores, PLCs).

  • SCADA: tipo de ICS usado para controlar infraestructuras distribuidas geográficamente (energía, agua, gas, etc.).

  • PCI DSS: estándar de seguridad para organizaciones que procesan pagos con tarjeta.

  • CIS Controls: conjunto de 18 áreas de control de seguridad con salvaguardas concretas.

  • OWASP Top Ten: lista de los 10 riesgos de seguridad más críticos en aplicaciones web.

  • ISO/IEC 27001: estándar para implementar un sistema de gestión de seguridad de la información (ISMS).

  • SCAP: conjunto de estándares para describir y reportar vulnerabilidades de forma automatizada y compatible entre herramientas.

  • Escaneo con credenciales: escaneo en el que el escáner dispone de cuentas para autenticarse en los sistemas objetivo.

  • Escaneo sin credenciales: escaneo que analiza sistemas desde fuera, sin autenticarse, como lo haría un atacante externo.

  • Escaneo agent‑based: escaneo donde un agente instalado en cada host recoge la información local y la envía al servidor.

  • Escaneo agentless: escaneo realizado íntegramente desde uno o varios servidores de escaneo, vía red, sin agentes en los hosts.

  • Fuzzing: técnica que envía datos malformados o inesperados a una aplicación para descubrir fallos de seguridad.


at
Labels: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Vulnerability Scanning: Guía Fácil (9)

  Introducción Este capítulo gira alrededor de una idea clave: no puedes proteger lo que no ves y no puedes defender lo que no analizas reg...