El tráfico sin cifrar sigue socavando la seguridad Wi-Fi

Incluso los profesionales de la ciberseguridad necesitan mejorar su postura de seguridad.

Esa es la lección de la Conferencia RSA de febrero, donde el centro de operaciones de seguridad (SOC) dirigido por Cisco y NetWitness capturó 55,525 contraseñas de texto sin cifrar de 2,210 cuentas únicas, declararon las empresas en un informe publicado la semana pasada. En un caso investigado por el SOC, un director de seguridad de la información tenía un cliente de correo electrónico mal configurado que enviaba contraseñas y textos claros, incluidos documentos confidenciales como el pago de una certificación profesional.

Si bien la cantidad de contraseñas de texto sin cifrar es una mejora en comparación con las 96,361 contraseñas expuestas en 2020 y las más de 100,000 enviadas sin cifrar en 2019, todavía hay margen de mejora, dice Jessica Bair Oppenheimer, directora de alianzas técnicas de Cisco Secure.

"Dado que a la Conferencia RSA asisten principalmente profesionales de la ciberseguridad y roles de apoyo dentro de la industria de la seguridad, generalmente consideramos que el grupo demográfico representa más bien el nivel de conciencia de seguridad del 'mejor caso'", afirma. "Sorprendentemente, en 2022 se seguirá utilizando correo electrónico no cifrado".

El reporte anual presenta una visión del uso de la red entre un grupo de usuarios centrado en la seguridad. Cisco y NetWitness enfatizaron que la red inalámbrica en la Conferencia RSA no está configurada de la manera más segura, sino que está configurada para ser monitoreada con fines educativos. Por ese motivo, la red tiene una arquitectura plana, lo que permite que cualquier dispositivo contacte con cualquier otro dispositivo de la red. El aislamiento del host, que permite a los dispositivos una ruta a Internet pero no a otros dispositivos en la red, sería más seguro pero menos interesante.

Credenciales de usuario en riesgo

Con aproximadamente 19,900 asistentes, la Conferencia RSA de 2022 solo contó con aproximadamente la mitad de personas que la conferencia anterior en 2020, pero aproximadamente la misma cantidad de usuarios en la red, según el informe.

El principal problema fue no utilizar el cifrado para el paso de autenticación cuando se utiliza el correo electrónico y otras aplicaciones populares. Casi el 20% de todos los datos pasaron a través de la red de forma clara, según el informe.

"Cifrar el tráfico no necesariamente hace que uno sea más seguro, pero sí impide que las personas revelen sus credenciales y que las organizaciones revelen información de activos corporativos de forma clara", afirma el informe.

Sin embargo, la situación no es tan mala como podría ser. Debido a que la red inalámbrica incluye tráfico desde la sala de exhibición, muchos de los nombres de usuario y contraseñas probablemente provienen de sistemas y entornos de demostración, según el informe. Además, la mayoría de los nombres de usuario y contraseñas en texto claro (casi el 80%) en realidad fueron filtrados por dispositivos que utilizaban la versión anterior del Protocolo simple de administración de red (SNMP). Las versiones 1 y 2 del protocolo se consideran inseguras, mientras que SNMP v3 agrega importantes capacidades de seguridad.

"Esto no es necesariamente una amenaza de alta fidelidad", afirma el informe. "[Sin embargo] filtra información sobre el dispositivo y sobre la organización con la que intenta comunicarse".

Además del uso continuo de nombres de usuario y contraseñas en texto plano, el SOC descubrió que la cantidad de aplicaciones en línea continúa creciendo rápidamente, lo que sugiere que los asistentes dependen cada vez más de los dispositivos móviles para realizar su trabajo. El SOC, por ejemplo, capturó el tráfico de cámaras de vídeo no cifrados que se conectaban a los sistemas de seguridad del hogar en el puerto 80 y los datos no cifrados utilizados para configurar llamadas de voz sobre IP.

Error del CISO

En su mayor parte, el tráfico no cifrado probablemente provenga de usuarios de pequeñas empresas, afirmaron las empresas en el informe. "Es difícil enviar correos electrónicos en texto claro hoy en día y el análisis de estos incidentes encontró similitudes", afirma el informe. “La mayor parte de este tráfico iba hacia y desde dominios alojados. Esto significa servicios de correo electrónico en dominios que son nombres de familias o pequeñas empresas”.

Sin embargo, en un caso, un director de seguridad de la información había configurado mal su cliente de correo electrónico y finalmente expuso su nombre de usuario y contraseña de correo electrónico al enviar los datos sin cifrar. El SOC descubrió el problema cuando encontró un recibo de un pago CISSP enviado en claro desde un cliente de correo electrónico basado en Android.

"El descubrimiento provocó una investigación que confirmó que docenas de correos electrónicos de y hacia la persona fueron descargados a través de la red abierta en un protocolo no seguro", afirma el informe.

Las empresas deben verificar que las tecnologías utilizadas por los empleados hayan creado conexiones cifradas de extremo a extremo y deben aplicar principios de confianza cero para comprobar, en los momentos adecuados, que el cifrado todavía se está aplicando.

"Hemos encontrado aplicaciones y sitios web que se autentican cifrados y luego pasan los datos sin cifrado a través de redes abiertas", afirma Oppenheimer de Cisco Secure. “Alternativamente, algunos pasarán credenciales no cifradas a través de redes abiertas y luego cifrarán los datos. Ambos escenarios no son ideales”.

Las redes privadas virtuales no son una panacea, pero pueden fortalecer la seguridad de las aplicaciones no cifradas. Finalmente, las organizaciones deberían utilizar la capacitación en ciberseguridad y concientización para educar a sus trabajadores híbridos sobre cómo estar seguros cuando trabajan desde ubicaciones remotas.