Replantear la seguridad en la era del borde: resiliencia, visibilidad y gestión fuera de banda



La advisory del National Cyber Security Centre (NCSC) sobre cómo el actor cibernético ruso APT28 aprovechó routers vulnerables para habilitar el secuestro de DNS destaca un punto ciego peligroso en la seguridad empresarial actual. Los modelos tradicionales de seguridad perimetral están fallando cada vez más en el borde, y esto debería incomodar a cualquier líder de seguridad que aún ancle su estrategia en la defensa perimetral. Esto no es una novedad: en 2024 actores patrocinados por China, vinculados a Volt Typhoon, explotaron un firewall FortiGate 300D desactualizado para comprometer una cuenta de administrador de dominio, escalar privilegios, crear un nuevo usuario y establecer persistencia lo suficientemente profunda como para sobrevivir a un reinicio. Un único dispositivo en el borde, un único vector de brecha, acceso total. El perimetro no solo falló; entregó las llaves. Según el FBI, esta brecha no fue detectada durante más de 300 días y la misma explotación se utilizó para acceder a más de 100 compañías de servicios públicos en Estados Unidos. Estas dos incidencias no son casos aislados. Son un patrón. Y ese patrón dice que el modelo antiguo está terminado. A esto se suma la reciente difusión sobre la potencia y sofisticación de las herramientas de IA de generación experimental, como Claude Mythos de Anthropic, y es hora de actuar con rapidez.

H2: El problema del pensamiento perimetral

La seguridad heredada se basaba en una suposición simple: trazar una línea entre sistemas internos confiables y externos no confiables, defender esa línea y sentirse protegido. Tenía sentido cuando los datos de la empresa residían en centros de datos locales y los empleados acudían a la oficina. El límite era real y defendible. Ese mundo ya no existe. Los nodos de borde están por todas partes: en fábricas, tiendas, subestaciones de utilidad y sucursales de clientes, y las fronteras de red que antes eran limpias se han difuminado o desaparecido por completo. Los dispositivos de borde rara vez cuentan con capacidades de seguridad dedicadas. En particular, los sistemas de IoT y OT suelen carecer de las funciones robustas necesarias para detectar y resistir amenazas avanzadas. Peor aún, la gestión basada en software tiende a fallar exactamente donde más importa. Cuando la capa de software está comprometida o no responde, las organizaciones pierden visibilidad y control en el momento en que menos pueden permitírselo. Luego está el robo de credenciales. Según el Informe de Investigaciones de Brechas de Datos de Verizon 2025, el factor humano interviene en el 60% de las brechas y los atacantes se han vuelto muy eficaces para explotarlo. No necesitan forzar una entrada: su modus operandi es entrar con credenciales legítimas, como si fueran el frente de la ciudad.

Una vez dentro, y cada vez más potenciados por capacidades de IA, se desplazan lateralmente desde un punto de entrada único a través de sistemas operativos, comprometiendo entornos enteros en minutos. Una arquitectura de seguridad basada en la autenticación con contraseñas ofrece casi nada contra este tipo de ataque.

H2: Cómo se ve la resiliencia en la práctica

La conversación de seguridad ha cambiado. Durante años, el enfoque era mantener a los atacantes fuera. Eso sigue siendo necesario, pero ya no es suficiente. Las organizaciones reconocen cada vez más que la resiliencia depende tanto de lo que sucede tras una brecha; específicamente, de si los equipos de seguridad conservan visibilidad y control cuando más se necesita. La pérdida de visibilidad durante un incidente, incluso en una brecha contenida, puede escalar rápidamente. Esto está impulsando una revisión seria de cómo se gestiona la infraestructura distribuida, especialmente a medida que los entornos de borde se extienden por fábricas, ubicaciones minoristas, servicios públicos y una miríada de sitios remotos.

La gestión fuera de banda (OOBM) es una aproximación que está ganando tracción. En lugar de depender del tráfico de la red de producción para la gestión, OOBM opera a través de un camino paralelo completamente separado y altamente seguro. Esto significa que, incluso cuando la red principal está comprometida o caída, los dispositivos de borde siguen siendo manejables, visibles y controllables. Los dispositivos con fallas pueden reiniciarse de forma remota o incluso reconfigurarse. Los dispositivos apagados pueden seguir siendo alcanzados. Y, de forma crítica, el acceso administrativo se mantiene separado de la red de producción objetivo de los atacantes, reduciendo la exposición a los ataques basados en credenciales que dominan las brechas actuales.

Los beneficios operativos también son reales: menos visitas de emergencia a sitio, tiempos de recuperación de datos más rápidos y control preservado durante incidentes de alta presión cuando las herramientas de gestión de software quedan fuera de servicio.

H2: La rendición de cuentas

Lo que se começa a ver es que la seguridad perimetral, por sí sola, ya no es una estrategia viable. El borde se ha expandido demasiado, las credenciales se roban con demasiada facilidad y los atacantes son demasiado rápidos una vez dentro. Las organizaciones que resistirán la próxima ola de incidentes no serán necesariamente aquellas con las defensas perimétricas más sofisticadas. serán las que han aceptado que la brecha ocurrirá y han construido visibilidad, control y capacidad de recuperación para lidiar con ello cuando suceda. El resto está creando puntos ciegos. Y los atacantes, cada vez más, saben exactamente dónde mirar.

Este artículo forma parte de TechRadar Pro Perspectives, nuestra plataforma para presentar las mentes más brillantes de la industria tecnológica. Las opiniones expresadas pertenecen al autor y no necesariamente a TechRadar Pro o Future plc. Si te interesa contribuir, infórmate aquí: https://ift.tt/NYV1h0C

from Latest from TechRadar https://ift.tt/ysNc5Ig
via IFTTT IA