Los ataques a la infraestructura digital ocupan un lugar destacado en la lista de preocupaciones de los CISO en todos los sectores. Afectan a gigantes del comercio minorista como M&S, fabricantes de automóviles como Jaguar Land Rover, hospitales e incluso guarderías. Los informes de incidentes cibernéticos graves parecen llegar con una regularidad inquietante, aumentando un 50% en el último año.
Se ha hablado mucho sobre los riesgos que enfrentan las empresas, generalmente centrados en malware impulsado por IA, días cero y las últimas técnicas de ataque: amenazas con las que constantemente intentan mantenerse al día. Pero la verdad más incómoda es que los atacantes también están explotando a empresas que no lo hacen en absoluto.
Flexon es el director ejecutivo y fundador de la marca X-PHY.
Muchos entornos todavía funcionan con miles de cuentas cuyas contraseñas nunca caducan y cuentas de usuarios “fantasmas” inactivas que todavía están activas: un caso clásico de acceso de configuración única y olvido para siempre. Paralelamente, existe un punto ciego físico: memorias USB, discos externos y tarjetas microSD repletas de datos confidenciales.
Rara vez se utilizan, pero son perfectamente legibles y pueden utilizarse indebidamente fácilmente si los recoge la persona equivocada.
Sin embargo, el viejo dicho “la pereza oxida la mente” no tiene por qué aplicarse a los datos: el nuevo almacenamiento seguro está diseñado para fortalecerse cuando está inactivo, convirtiendo la inactividad de una vulnerabilidad a parte de su defensa.
Cómo la pereza se convierte en violación
Los ciberdelincuentes rara vez hacen un solo movimiento dramático. Funcionan por etapas y un punto de entrada pasivo hace que el primero sea casi sin esfuerzo.
Esto puede comenzar con un acceso que aún no debería ser válido: una cuenta de contratista que nunca fue revocada, una cuenta de servicio heredada con credenciales vigentes o una excepción de administrador “temporal” que fue más allá del proyecto para el que fue creada. A partir de ahí, los atacantes pueden actuar como un usuario normal, que es exactamente la razón por la que son tan difíciles de detectar desde el principio.
El mismo patrón se presenta con el almacenamiento físico. Las empresas son notoriamente malas copiando archivos confidenciales en dispositivos (computadoras portátiles, unidades externas, memorias USB, tarjetas microSD) sin considerar las implicaciones de seguridad.
Piense en el USB cifrado que quedó en el tren, el disco duro en una bolsa robada, el dron estrellado con la tarjeta de memoria aún irrecuperable o el disco portátil que pasó del escritorio al cajón y a la caja a lo largo de los años. El hardware se pierde, los empleados siguen adelante y, aun así, los datos siguen ahí, legibles por cualquiera que los encuentre.
El resultado final puede variar desde una filtración silenciosa de información que se produce meses después hasta una abierta extorsión.
Compensaciones entre usabilidad y seguridad (y cómo se convierte en arma)
La mayoría de las empresas no se vuelven vulnerables porque no les importa. La fricción es cara porque llegan allí. Las credenciales no cambian porque rotarlas una vez provoca un tiempo de inactividad. El acceso sigue siendo generalizado porque nadie quiere tickets y bloqueadores interminables.
Los archivos se copian a tarjetas USB y SD porque la forma más rápida de mover datos suele ganar
Sí, estas opciones hacen que las operaciones sean más fluidas, pero también allanan el camino para los atacantes. Sus equipos dependen de los mismos procesos simples todos los días, así como de cualquier dispositivo no seguro que contenga datos confidenciales, que un atacante utiliza para ingresar y alcanzar sistemas de alto valor.
Otro problema es que los esfuerzos de seguridad siguen lo que es visible. Es fácil estandarizar los datos en tránsito y mostrar el progreso: cifrar conexiones, reforzar el acceso remoto, monitorear sesiones.
Los datos en reposo es donde la gobernanza se complica: no solo en las unidades compartidas, los depósitos en la nube y los años de almacenamiento en red heredado, sino también en el hardware que la gente usa para mover los datos. Las computadoras portátiles, memorias USB y tarjetas SD quedan fuera de la red de seguridad de la red: transportadas entre sitios, extraviadas y posiblemente sin cifrar.
Esta proliferación se convierte en un riesgo obvio: demasiados lugares para almacenar datos confidenciales, demasiadas rutas de acceso, muy pocas reglas consistentes para mantenerlos seguros.
La respuesta no es hacer que el uso de los sistemas sea complicado. Se trata de diseñar valores predeterminados que no dependan de un mantenimiento manual constante ni del uso de hardware inteligente.
¿Qué puede hacer la empresa ahora?
El primer paso es simple: determinar qué dispositivos nadie posee activamente y cuáles contienen datos valiosos ante un actor malicioso.
Cuentas que no han sido autenticadas en meses pero permanecen activas, las contraseñas están configuradas para no caducar nunca y las cuentas de servicio aún tienen permisos amplios porque cambiarlos una vez provoca tiempo de inactividad.
Haga lo mismo con la infraestructura: revise los sistemas heredados que no están en uso pero que aún están conectados a la identidad, la red o el almacenamiento y aíslelos, desmantelelos o protéjalos con autenticación adecuadamente actualizada, permisos y cifrado más estrictos.
A continuación, reduzca el radio de la explosión. Separe las funciones críticas del flujo de trabajo y limite lo que las cuentas de administrador estándar y los puntos finales pueden ver, y mucho menos acceder. De manera similar, considere los datos pasivos como una decisión del ciclo de vida. Si no está en uso, guárdelo de forma segura con controles de acceso estrictos o retírelo.
Dejar datos confidenciales “en una partición en algún lugar” es la forma en que los archivos olvidados se convierten en incidentes costosos.
Y, por último, no pase por alto la capa física de la resiliencia. El almacenamiento extraíble y sin conexión debe ser parte de su plan de resiliencia, y debe resistir robos, manipulaciones, calor, humedad y mal manejo, e implementar seguridad cuando no esté enchufado.
Ahí es donde el almacenamiento sólido y seguro por defecto marca la diferencia: está diseñado para permanecer bloqueado cuando está inactivo, de modo que “sin conexión” no se vuelva “no seguro”.
Funciones como el cifrado de hardware integrado, la autenticación en el punto de acceso y la protección contra manipulaciones ayudan a garantizar que una copia de recuperación permanezca segura y utilizable bajo estrés, incluso cuando no se puede confiar en el resto del entorno.
Por ejemplo, si un atacante obtiene credenciales de administrador y luego obtiene acceso a un dispositivo o medio de respaldo, el cifrado más la autenticación en el momento del acceso pueden evitar que esto se convierta en un compromiso total del sistema.
El cibercrimen prospera gracias a lo que las organizaciones descuidan. La solución es tratar la pereza como parte de tu estrategia de defensa y no como una puerta olvidada.
Hemos presentado los mejores navegadores personales.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
