La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y sus colaboradores internacionales han emitido una serie exhaustiva de documentos de orientación. El propósito de esta iniciativa es fortalecer la protección de los dispositivos críticos de red frente a la creciente sofisticación de los ciberataques.
Este esfuerzo colaborativo reúne a las autoridades de ciberseguridad de nueve naciones, incluyendo a Australia, Canadá, el Reino Unido y Japón. Su objetivo es contrarrestar las amenazas cada vez mayores dirigidas a infraestructuras de red expuestas a internet, como firewalls, enrutadores y puertas de enlace VPN.
La guía recientemente publicada comprende cuatro publicaciones complementarias que abordan diferentes aspectos de la seguridad de los dispositivos periféricos.
Consideraciones de seguridad para dispositivos perimetrales
El Centro Canadiense de Seguridad Cibernética (CCCS) documenta cómo los actores de amenazas explotan los dispositivos de borde como puntos de entrada a las redes empresariales.
Por ejemplo, los atacantes aprovecharon recientemente las vulnerabilidades CVE-2024-21762 y CVE-2022-42475 de Fortinet FortiOS para ejecutar código arbitrario y comprometer las cuentas de administrador de dominio.
Grupos patrocinados por el Estado como Volt Typhoon han utilizado fallas similares como armas para infiltrarse en infraestructuras críticas, a menudo manteniendo su persistencia durante meses sin ser detectados.
Los administradores reciben instrucciones de implementar lenguajes de programación seguros para la memoria durante la configuración del dispositivo para reducir los riesgos de día cero, una medida que, según se ha demostrado, reduce las vulnerabilidades de desbordamiento del búfer hasta en un 70 % en las pruebas.
Se enfatiza la segmentación de la red para aislar los dispositivos periféricos de los activos internos, con recomendaciones para implementar LAN virtuales (VLAN) y perímetros definidos por software (SDP).
Los protocolos heredados, como Telnet y SSHv1, deben desactivarse en favor de SSHv2 o TLS 1.3, que proporcionan un cifrado y comprobaciones de integridad más sólidos.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido exige que los dispositivos de borde generen registros con marcas de tiempo ISO 8601 e identificadores únicos globalmente (GUID) para permitir un seguimiento forense preciso en redes distribuidas.
Estos registros deben registrar los intentos de autenticación (tanto exitosos como fallidos), cambios de configuración a través de protocolos Syslog (RFC 5424) y metadatos de tráfico en formato .pcap para un análisis profundo de paquetes.
Las organizaciones deben configurar el registro remoto mediante cifrado TLS 1.2+ con autenticación de certificado mutuo, lo que garantiza la integridad del registro durante el tránsito.
La guía prohíbe explícitamente Syslog basado en UDP debido a riesgos de interceptación, y recomienda en cambio puertos TCP/514 o TLS/6514 para mantener la confidencialidad.
Los registros deben conservarse durante un mínimo de 90 días, y los eventos de seguridad críticos se deben archivar durante 365 días en sistemas de almacenamiento de escritura una vez y lectura muchas (WORM) para evitar manipulaciones. Esto se alinea con los requisitos de GDPR y NIST SP 800-92 para preservar los registros de auditoría.
La guía ejecutiva enfatiza la adquisición informada sobre los riesgos e insta a las organizaciones a priorizar los dispositivos certificados según ISO 15408 (Criterios comunes) para propiedades de seguridad validadas.
Los contratos deben excluir los productos que se acercan al estado de fin de vida útil (EOL), ya que el firmware obsoleto representa el 34 % de los compromisos de los dispositivos perimetrales, según el informe de amenazas de 2024 de ASD.
Se recomienda a los ejecutivos que establezcan equipos de seguridad de borde multifuncionales que incluyan personal de TI, OT y seguridad física para abordar los riesgos multidominio.
Las revisiones trimestrales de la superficie de ataque que utilizan herramientas como Shodan o Censys tienen el mandato de identificar dispositivos expuestos incorrectamente, y ASD informó que más de 212.000 dispositivos perimetrales visibles en escaneos públicos de Internet en 2024.
La guía para profesionales detalla siete mitigaciones principales, comenzando con una gestión integral del inventario utilizando scripts NMAP para mapear todos los dispositivos perimetrales y aplicar la autenticación de puertos 802.1X.
Se deben aplicar líneas de base de configuración segura derivadas de los puntos de referencia STIG, deshabilitando servicios de alto riesgo como HTTP/SNMPv1 que carecen de cifrado.
Para el acceso administrativo, se requiere MFA resistente al phishing a través de tokens FIDO2 o PIV/CAC para evitar el robo de credenciales.
Las interfaces de administración deben restringirse para saltar a los hosts detrás de túneles IPsec, aislándolos del tráfico general de la red.
Las listas de control de acceso (ACL) deben bloquear las conexiones entrantes desde los nodos de salida de Tor y los proveedores de alojamiento a prueba de balas, que el análisis de ASD vincula con el 89% de los intentos de ataque de fuerza bruta.
Estas pautas establecen colectivamente un enfoque de defensa en profundidad para la seguridad de los dispositivos perimetrales, abordando configuraciones técnicas, preparación forense y gobernanza organizacional.
Al implementar programación con seguridad de memoria, registros cifrados con TLS y MFA resistente al phishing, las organizaciones pueden reducir significativamente su superficie de ataque.
