Equipo obsoleto, contraseñas olvidadas y agujeros para hackers: cómo la CISA planea limpiar los perímetros de las redes de la "basura digital"
Poco a poco llega a su fin la era de acumulación de deudas sistémicas.
El problema de las tecnologías «abandonadas» en el perímetro de las redes corporativas se está convirtiendo cada vez más en un punto de entrada conveniente para los ataques. Los dispositivos y programas sin soporte, que los fabricantes ya no mantienen, permanecen en la infraestructura durante años y dan a los atacantes la oportunidad de afianzarse en la red y acceder a datos sensibles. Según investigadores, son precisamente los dispositivos perimetrales con vulnerabilidades no corregidas los que se convierten en el punto de entrada ideal para los operadores de software malicioso.
La Agencia de Ciberseguridad y Protección de Infraestructura de Estados Unidos (CISA) informó, que se enfrenta de forma regular a incidentes en los que los dispositivos perimetrales con soporte terminado desempeñan un papel clave. Según la evaluación de la agencia, esos componentes se han convertido en una de las fuentes de riesgo sistémico más peligrosas para las redes federales y la infraestructura crítica, y los grupos cibernéticos estatales muestran interés en ellos.
Para reducir la amenaza, CISA emitió la directiva obligatoria BOD 26-02. Exige a las agencias federales civiles identificar y sustituir los dispositivos en el perímetro que ya no tienen soporte, instalar puntualmente las actualizaciones de software y corregir las vulnerabilidades conocidas. Al mismo tiempo, CISA insta a aplicar un enfoque similar fuera del sector federal.
Paralelamente, la agencia junto con OASIS Open promueve OpenEoX — un estándar internacional legible por máquina que describe el ciclo de vida de los productos, incluida la fecha de fin de soporte. El estándar emplea un esquema JSON y está pensado para integrarse con los enfoques y formatos ya extendidos, incluidos SBOM y CSAF. La idea es automatizar el intercambio de datos sobre el estado de soporte, simplificar la inventariación y detectar más rápidamente las tecnologías que se acercan al final de su ciclo de vida o que ya han salido de él.
Los autores de la publicación — Chris Butera, de CISA, y Justin Murphy, que además preside el comité técnico de OpenEoX en OASIS Open — consideran que los fabricantes deberían publicar los datos de OpenEoX de forma abierta y sin barreras como el acceso de pago o los portales cerrados, y que los desarrolladores de escáneres y plataformas de inventario de activos deberían implementar el soporte del estándar.
A las organizaciones, por su parte, se recomienda incluir esa información en los procesos actuales para planificar con antelación el reemplazo de dispositivos obsoletos y corregir a tiempo los problemas críticos con actualizaciones de seguridad.