70 / 84
70 red seguridad segundo trimestre 2016
control de acceso
opinión
Jorge Marcos
CTO de Simarks
Gestión de privilegios en aplicaciones:
clave en la protección contra ciberataques
C
erca
del
90
por
ciento
de los ata-
ques por
malware
utilizan la técnica
de inyección de código o similares
para lograr infectar cualquier tipo de
dispositivo, desde ordenadores per-
sonales y servidores hasta dispositi-
vos móviles. La inyección de código
se realiza normalmente explotando
una vulnerabilidad en el sistema ope-
rativo o en la aplicación. La capaci-
dad de infección del
malware
está
estrechamente relacionada con las
credenciales de la cuenta bajo la que
se ejecuta el elemento atacado (nave-
gador, cliente de correo electrónico,
etc.). Cuantos más privilegios ostente
dicha cuenta mayor será el daño
ocasionado, ya que el
malware
se eje-
cutará con esas mismas credenciales.
Las consultoras especializadas
recomiendan encarecidamente apli-
car el “Principio de Menor Privilegio”,
o POLP (de sus siglas en inglés), y
restringir al máximo posible las cuen-
tas con permisos de administrador.
Pero, en la práctica, es un objetivo
difícil de alcanzar debido a la gran
variedad de aplicaciones que nece-
sitan de privilegios de administrador
para su correcta ejecución.
en 'listas negras' han demostrado ser
eficaces ante este tipo de amenazas.
Privilegios en aplicaciones
El método que se ha mostrado más
eficaz para el mayor tipo de
malware
es el control del contexto de segu-
ridad bajo el que se ejecuta cada
aplicación, complementado con un
sistema de 'listas negras' basado en
reglas, en lugar de los tradicionales
basados en patrones.
El mayor grado de eficacia se con-
sigue aplicando POLP y eliminando
el mayor número de administrado-
res posible. Con esta medida, más
del 90 por ciento de las amenazas
actualmente en circulación no ten-
drán efecto alguno, ya que es el pro-
pio sistema operativo el encargado
de denegar el acceso a los recursos.
Las excepciones se resuelven apli-
cando soluciones de gestión de privi-
legios a nivel de aplicación, capaces
de otorgar o restringir permisos a las
aplicaciones en lugar de a los usua-
rios, independientemente de los per-
misos que ostenten éstos. Además
permiten bloquear la ejecución de
aquellas aplicaciones que cumplan
determinadas reglas, como por ejem-
plo impedir la ejecución de cualquier
programa descargado de Internet o
que esté ubicado en una determina-
da carpeta.
Existen soluciones en el mercado
con estas funcionalidades que ofrecen
ediciones dirigidas tanto a empresas
con cualquier número de usuarios,
como a usuarios domésticos.
La gestión de privilegios tradicional
para el usuario no es suficiente dado
que su capacidad de actuación se
limita a otorgar privilegios durante
un tiempo limitado a lo largo del cual
la exposición a los ciberataques es
completa.
Ransomware y Zero-Day
Además, la última generación de
amenazas (el denominado
ran-
somware
que tantos dolores de
cabeza provoca en la actualidad) no
necesita privilegios de administrador
para conseguir la infección, por lo
que las herramientas actuales resul-
tan insuficientes. Incluso los antivirus
se han demostrado ineficaces ante
este tipo de
malware
debido a su
gran capacidad de mutación.
La oferta actual de soluciones,
aparte de los tradicionales antivi-
rus, está principalmente enfocada a
impedir que los ataques atraviesen
la "seguridad del perímetro", y logren
acceder a la red interna, ya sea cor-
porativa o doméstica.
Pero la realidad es muy distinta. Este
nuevo tipo de amenazas logra atrave-
sar todas las barreras y termina llegan-
do al usuario final. Utilizando diversas
técnicas de ingeniería social, su obje-
tivo es lograr que el usuario realice
doble-click
sobre un fichero adjunto
para realizar la infección. Una vez infec-
tado el sistema intentará propagarse
hasta donde las credenciales bajo las
que se ha ejecutado le permitan.
Ninguno de los métodos basados
en 'listas blancas' ni aquellos basados
El propio sistema operativo es el
encargado de denegar el acceso
a los recursos