Curso completo ciberseguridad gratis Controles CIS. Control 7.7

 Estimados amigos de Inseguros !!!

Seguimos con el control 7 de los CIS, gestión continua de vulnerabilidades, y hoy toca el 7.7: analizar vulnerabilidades en dispositivos de red. Y aquí mucha gente se confía porque piensa: “los switches y los firewalls son appliances, eso ya viene seguro”. Pues no. Los dispositivos de red también tienen software, también tienen CVEs, también se gestionan mal muchas veces, y cuando caen, el impacto es brutal.

Piensa una cosa: si comprometen un servidor, tienes un problema. Si comprometen un firewall, un VPN concentrator, un router de borde, un switch core o un controlador WiFi… tienes un problema de otra liga. Porque ahí estás tocando el tráfico, el perímetro, la segmentación, y en muchos casos el camino hacia todo lo demás.

Qué entra en “dispositivos de red”

Routers. Firewalls. Concentradores VPN. Switches. Controladores WiFi. Balanceadores. WAFs. Proxies.
Y cada vez más, appliances que son “caja” pero llevan Linux dentro y una interfaz web.

Muchos de estos equipos tienen interfaces de administración que se exponen más de la cuenta. A veces directamente a Internet (sí, todavía pasa). A veces a redes internas demasiado amplias. A veces con credenciales heredadas, con cuentas compartidas, o con firmware que no se toca “porque funciona”.

Y eso es justo lo que aprovechan los atacantes: lo que “no se toca”.

Cómo se hace el escaneo sin romper cosas

Aquí hay que tener cuidado. No vas a pasar un escáner agresivo contra un switch de producción a las 12:00 y esperar que no pase nada. Por eso este control no va solo de herramienta, va de proceso (otra vez).

Primero, inventario: qué equipos tienes, dónde están, qué versión de firmware corren, qué módulos tienen, y qué exposición tienen.

Segundo, evaluación por métodos adecuados. En equipos de red muchas veces es mejor combinar:
revisión de versiones y firmware (contra boletines del fabricante),
escaneo controlado (no destructivo),
y chequeos de configuración (porque hay “vulnerabilidades” que son configuración mala, no un CVE).

Tercero, ventanas. Se planifica. Se hace fuera de horas o en ventanas de mantenimiento, sobre todo si hablamos de core o perímetro.

Y cuarto, remediación: actualizar firmware y corregir configuración. Aquí la parte dura es cultural: a mucha gente le da miedo tocar un firewall. Pero si no lo tocas nunca, lo que tienes es un riesgo acumulado. Y ya hemos visto en los últimos años que los equipos de perímetro son objetivos directos (VPNs, firewalls, etc.). No es teoría.

Y ojo con lo que no es CVE

En dispositivos de red, muchas veces el fallo gordo no es “una vulnerabilidad publicada”. Es:
administración expuesta donde no toca, protocolos de administración inseguros, SNMP mal,
credenciales por defecto, ACLs inexistentes, falta de MFA en portales, configuraciones heredadas.

Y eso también forma parte del control. Porque al final lo que quieres es reducir superficie de ataque y detectar lo que está mal antes de que te lo exploten.

Si quieres aprender a gestionar vulnerabilidades de forma real en entornos corporativos (inventario, escaneo interno/externo, cloud, aplicaciones, contenedores y ahora también dispositivos de red), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Esto es lo que separa el “paso un escáner” del “tengo un programa de seguridad que funciona”.

Gracias por leerme !!!