REVISTA AUDITORÍA PÚBLICA / 86






         En el servidor principal del sistema que gestiona la ma-  funcionando para que los investigadores pudieran empe-
         trícula un parche de seguridad crítico llevaba semanas   zar cuanto antes.
         pendiente de instalarse. No era mala fe ni descuido gra-
         ve: simplemente, “no había tiempo” y el sistema era   Nadie se fijó en que el servidor tenía la configuración por
         demasiado sensible como para apagarlo unos minutos   defecto: Usuario “admin” y contraseña “1234”, servicios
         en ese momento. El equipo de TI pensaba: “lo haremos   innecesarios abiertos, puertos sin restricción.
                                         .
         después del periodo de matriculación”
                                                             Todo funcionaba y los investigadores empezaron a tra-
         Aparece un nuevo riesgo: una vulnerabilidad sin corregir.   bajar, ya podían subir sus datos. Pero lo que no sabían
         Puede no pasar nada, pero basta con que algún ciberde-  es que ese servidor era ahora la puerta más débil de la
         lincuente la detecte y decida explotarla.           universidad. Bastaba con que un atacante escaneara la
                                                             red para encontrarlo, probar la contraseña por defecto y
         La amenaza se hizo real cuando, esa misma mañana,   acceder a información crítica.
         apareció un intento de conexión desde el exterior que
         trataba de explotar precisamente esa brecha conocida.   Tenemos un nuevo riesgo: configuraciones inseguras,
         El ataque falló, pero dejó al descubierto la fragilidad de   descuidos que convierten un sistema en una entrada li-
         la situación.                                       bre para los atacantes.

         Para evitar situaciones como esta disponemos del tercer   Aquí entra en juego el quinto control: las configuracio-
         control: la gestión de vulnerabilidades.            nes seguras. Ningún equipo debe ponerse en producción
                                                             sin aplicar medidas de fortalecimiento de la configura-
         El auditor deberá comprobar que existen procedimien-  ción (hardening). Existen guías específicas, basadas en
         tos y herramientas que permitan la identificación, prio-  las normas del CCN-STIC, muy útiles para apoyar este
         rización y corrección de las vulnerabilidades que puedan   control.
         afectar a los sistemas de la universidad.
                                                             El papel del auditor no será reconfigurar este equipo a un
         CBCS 4. LA LLAVE MAESTRA OLVIDADA.                  estado más seguro, sino comprobar que existen procedi-
                                                             mientos (y que se siguen) de bastionado del hardware y
         En la secretaría de alumnos, el equipo administrativo ce-  software antes de su puesta en producción.
         rraba expedientes y procesaba notas. Durante el alta de
         permisos de un nuevo trabajador, alguien se percata de la   CBCS 6. EL REGISTRO QUE NADIE REVISÓ.
         existencia de una cuenta de usuario cuyo propietario se
         había jubilado meses atrás. Además, era una cuenta con   Era viernes por la noche en la universidad. Los edificios
         acceso completo a expedientes académicos, nóminas y   estaban vacíos, pero los sistemas seguían vivos: servi-
         servidores de datos.                                dores de matrícula, nóminas, correo electrónico… todos
                                                             trabajando en silencio.
         El riesgo era enorme: una “llave maestra” olvidada que
         podía abrir todas las puertas digitales de la universidad.   A  las  23:47,  alguien  desde  una  dirección  IP  extranjera
         Si un atacante la encontraba, podría manipular calificacio-  intentó acceder al sistema de nóminas. Introdujo con-
         nes, robar información confidencial o paralizar sistemas   traseñas al azar, una y otra vez. El sistema lo anotó en
         enteros.                                            sus registros (logs), pero no saltó ninguna alerta. Nadie
                                                             estaba mirando. El intento pasó desapercibido. Al día si-
         Para estos casos tenemos el cuarto control: el control de   guiente, todo seguía funcionando y nadie se dio cuenta
         privilegios. Una gestión continua de las cuentas de usua-  de lo ocurrido.
         rio, sobre todo las que disponen de privilegios elevados.
         La labor del auditor consistirá en asegurar que las cuen-  Ese es el riesgo: registros que existen, pero que no se
         tas con permisos de acceso “elevados” están bajo con-  revisan. Como cámaras de seguridad que graban todo,
         trol, que se usan solo en caso necesario y que la activi-  pero cuyas cintas nunca son observadas.
         dad de estos usuarios queda registrada.
                                                             Para evitar este riesgo tenemos el sexto control: la su-
         CBCS 5. EL SERVIDOR MAL CONFIGURADO.                pervisión de registros y monitorización continua.

         El grupo de investigación de bioquímica acababa de reci-  El área de TI implantó un SIEM (Security Information and
         bir un servidor nuevo, potente, que iba a almacenar datos   Event Management): un sistema que centraliza y analiza
         de experimentos financiados con proyectos europeos. El   todos los logs. Configuraron alertas: si alguien intentaba
         técnico lo instaló rápido: enchufar, encender y dejarlo   entrar al sistema de nóminas fuera del horario laboral, el



          184