LA ECONOMÍA SE BASA EN LA CONFIANZA - MEDIR LA SEGURIDAD, CREAR CONFIANZA - 2021 SYNACK TRUST REPORT

Página creada Paloma Zumarraga
 
SEGUIR LEYENDO
2021 SYNACK TRUST REPORT

LA ECONOMÍA
SE BASA EN LA
CONFIANZA
MEDIR LA SEGURIDAD, CREAR CONFIANZA
La confianza es fundamental.
La principal plataforma colaborativa de Synack
para la experiencia en seguridad bajo demanda
aprovecha a los hackers éticos con más talento
   del mundo y la tecnología inteligente para
 ofrecer una cobertura continua a la carta, con
            resultados procesables.
Table of Contents
Prólogo                                         4

Principales resultados                         6

El panorama                                    11

Tendencias del sector                          16

Tendencias en la calificación de la
Attacker Resistance Score                      25

Perspectivas ejecutivas: Prioridades en 2021   32

Metodología y resumen del sector               35
FOREWORD

Permitir la transformación a través de las
pruebas y la confianza

En bp, tenemos un objetivo claro: reimaginar la                 Encontrarán la brecha en su sistema que usted creía
energía para las personas y el planeta. Queremos                cerrada hace años pero que se volvió a abrir en una
llegar al cero neto en 2050 o antes y ayudar al                 actualización o lanzamiento reciente del sistema.
mundo a alcanzar el objetivo de cero emisiones. Para
                                                                Además, los resultados de esas pruebas deben
lograr estos objetivos, reevaluamos constantemente
                                                                ser exhaustivos, procesables y estar disponibles a
nuestros procesos y enfoques para asegurarnos de
                                                                través de un portal para que se puedan compartir
que estamos siguiendo el mejor camino posible.
                                                                a través de las organizaciones rápidamente con el
Adoptamos el mismo enfoque cuando se trata de                   fin de ayudar rápidamente a otros equipos que tal
la seguridad. Por ello, nuestros equipos digitales              vez —solo tal vez—estén utilizando el mismo código.
desempeñan un papel fundamental en esta
transformación global, y nuestros equipos de                    C Ó M O T R A N S F O R M A M O S N U E S T R O R É G I M E N
ciberseguridad se encargan de que bp innove de                  DE PRUEBAS
forma segura y mantenga la velocidad y la escala                En bp nos propusimos reinventar nuestro servicio
necesarias para alcanzar nuestros objetivos.                    de pruebas de penetración en los últimos meses
Las pruebas son cruciales para esta misión. Piense              porque nuestros clientes internos nos dijeron que
en esto: cuando lleva a su familia a una cena elegante          querían servicios de seguridad más rápidos.
en un restaurante situado en la planta 45, no se                Ahora, gracias a nuestra asociación con Synack,
lo pensaría dos veces antes de entrar en el primer              lanzamos pruebas en cuestión de horas con un grupo
ascensor que llegue. Sin embargo, ¿qué sucede                   de investigadores de todo el mundo. Pero, lo que
si llegan dos ascensores al mismo tiempo?                       es más importante, obtenemos una inteligencia de
En uno de ellos, se ve un certificado de seguridad              seguridad completa y procesable, clasificada, con
obsoleto. La última prueba se realizó en 2018, y desde          hallazgos confirmados e informes completos casi
entonces ha tenido más de 100 actualizaciones y                 en tiempo real, lo que supone un enorme ahorro de
se desconoce el estado de cualquier problema.                   tiempo y de recursos para los equipos de seguridad
                                                                y desarrollo de bp. Esto significa que estamos
El otro se probó el mismo día en que usted y su                 corrigiendo las vulnerabilidades y verificándolas
familia llegaron al edificio y todos los problemas              antes de que las pruebas hayan terminado.
detectados se han solucionado satisfactoriamente.
                                                                También significa que los desarrolladores de bp
Yo sé por cuál me decantaría. Las pruebas (cuando               y los propietarios de los servicios se dirigen a
se trata de seguridad, protección y resistencia)                nosotros de forma proactiva y nos solicitan pruebas,
marcan toda la diferencia del mundo.                            en lugar de tener que perseguirles nosotros y
                                                                obligarles a realizarlas. Es una victoria increíble
En ciberseguridad, una prueba de penetración
                                                                para cualquier organización. Nos acerca a la
realizada hace años ya no tiene ninguna
                                                                seguridad por diseño. Y también hemos recibido
importancia en la actualidad, simple y llanamente.
                                                                excelentes comentarios de nuestros probadores.
Los atacantes actualizan constantemente sus
                                                                Es muy gratificante oírles decir cosas buenas
métodos y buscan nuevas vulnerabilidades. No se
                                                                sobre nuestra rápida velocidad de parcheo.
toman los fines de semana ni los festivos libres.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                       4
FOREWORD

Esta nueva cadencia de pruebas nos está ayudando a              La seguridad es un esfuerzo de equipo. Implica
establecer una cultura de seguridad más rigurosa en             a todo el mundo dentro de la organización. No
todo bp. Es poner la seguridad en el centro de nuestro          podemos tener éxito solos y para garantizar que
proceso de diseño y desarrollo. Estamos más cerca de            seguimos teniendo la confianza de nuestros
ser seguros por diseño. bp ha adoptado plenamente               clientes, socios y empleados, las pruebas continuas
una innovación segura, lo que significa que la                  y rigurosas forman parte de la ecuación. Sin
ciberseguridad está integrada en todo lo que hacemos.           eso, estaríamos entrando en ese ascensor no
                                                                probado o depositando nuestra fe en sistemas
ENTONCES, ¿QUÉ ES LO SIGUIENTE?                                 vulnerables. Simplemente no podemos operar así.

Medidas como la Attacker Resistance Score (ARS)
mantienen nuestra honradez y nuestro nivel de
                                                                R I T E S H PAT E L
conocimiento sobre lo que ocurre. La ARS nos
                                                                DIRECTOR DE SEGURIDAD DE BP
permite evaluar constantemente nuestros resultados
y comparar nuestra actuación en los distintos
sectores. Es un indicador sólido de que bp está
actuando por encima de la media del sector, lo
que envía un mensaje claro y potente dentro de la
organización de que la seguridad (y la confianza)
son esenciales en todo lo que hacemos en bp.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                          5
PRINCIPALES
RESULTADOS

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM   6
P R I N C I PA L E S R E S U LTA D O S

Los ciberataques han hecho tambalear la confianza de los consumidores en
los últimos meses y han provocado el pánico a varios niveles. Han provocado
encendidos debates sobre el grado de preparación de Estados Unidos para
defender las infraestructuras críticas. El presidente Joe Biden emitió una
Orden Ejecutiva en la que pedía una revisión de las defensas digitales de la
nación, afirmando que Estados Unidos se enfrenta a «campañas cibernéticas
maliciosas persistentes y cada vez más sofisticadas». Todo esto llega después
de un año de agitación y transformación empresarial. La pandemia aceleró
las iniciativas de transformación digital de las operaciones e impulsó los
esfuerzos por implantar la seguridad de confianza cero para los trabajadores a
distancia.

Con demasiada frecuencia, las vulnerabilidades dejan a las organizaciones
peligrosamente expuestas. El año pasado, la base de datos de vulnerabilidad
del US-CERT registró casi 17 500 vulnerabilidades, una cifra récord por cuarto
año consecutivo. Más de un tercio (el 37 %) de las vulnerabilidades detectadas
por el Synack Red Team (SRT), nuestra red global de investigadores de
seguridad altamente cualificados y examinados, entre 2020 y abril de 2021 se
consideraron importantes o críticas. Además, el SRT observó un aumento del
14 % en los últimos dos años en las vulnerabilidades de autorización y permiso,
que pueden dar a los atacantes acceso a las redes y sistemas más sensibles.

La naturaleza de las amenazas actuales hace que el CISO sea todavía
más vital. Además de las transformaciones digitales, las organizaciones se
enfrentaron a importantes ataques realizados a nivel nacional. En el futuro,
el papel del CISO y de los equipos de seguridad seguirá evolucionando y
ampliándose. De hecho el 55 % de los ejecutivos de las empresas planean
aumentar sus presupuestos de ciberseguridad en 2021 y el 51 % está
añadiendo personal cibernético a tiempo completo en 2021. Para determinar
hasta qué punto las organizaciones están preparadas para defenderse frente
a todo tipo de ataques digitales, Synack examinó las tendencias de las
calificaciones de la Attacker Resistance Score™ (ARS) de nuestros clientes1,
una medida propia diseñada para ofrecerle una visión única y valiosa de su
nivel de riesgo.

1   La calificación Attacker Resistance Score (ARS), propiedad de Synack, es una medida del grado de protección de sus activos frente a un ataque. La ARS
    global proporciona una visión completa de la susceptibilidad del activo objetivo a los ataques, basada en un algoritmo patentado desarrollado por el equipo
    de ciencia de datos de Synack. Es una función del coste del atacante, la gravedad de los hallazgos, la habilidad de la TER y la eficacia de la reparación. En
    el apéndice se ofrecen más detalles sobre la calificación ARS.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                                                        7
P R I N C I PA L E S R E S U LTA D O S

AT TA C K E R R E S I S TA N C E S C O R E ( A R S )
                                                                        P U N T U A C I Ó N D E AT TA C K E R R E S I S TA N C E S C O R E
Este informe se basa en los datos de la calificación
patentada Attacker Resistance Score (ARS) y
extrae información directamente de la plataforma                          Una métrica
de seguridad colaborativa de Synack, basada en
miles de pruebas de seguridad realizadas por                           realista basada en
hackers éticos examinados hasta abril de 2021.
                                                                       un modelo robusto
La calificación de la Attacker Resistance Score va de
0 a 100. Las puntuaciones más altas indican que las
organizaciones tienen una mayor resistencia a los
esfuerzos de los atacantes: Son menos vulnerables
a ser derribadas por los delincuentes informáticos
                                                                     Puntuación de Attacker
porque tienen menos vulnerabilidades de alta gravedad,                 Resistance Score
solucionan los problemas de seguridad con mayor
rapidez y tienen defensas reforzadas que requieren
más esfuerzo para los atacantes. Una puntuación                                                       =
más baja significa que las organizaciones tienen una
superficie de ataque que es más fácil y menos costosa
de penetrar, responden con mayor lentitud a las                            Coste del atacante
vulnerabilidades y desconfiguraciones, y se enfrentan a                      El nivel de esfuerzo ejercido por el Synack Red
un mayor riesgo general de un compromiso o violación.                       Team para penetrar en la superficie de ataque y
                                                                                        encontrar vulnerabilidades
Algunas buenas noticias en un año difícil, en 2021: La
calificación media de la ARS en todos los sectores
fue de 57, lo que supone un ligero, pero significativo,
aumento positivo con respecto a la ARS media del año
pasado, que fue de 54. Si bien algunas organizaciones
han recibido una ARS de nada menos que 100, las                                 Gravedad de los
organizaciones que obtienen una puntuación superior
a 70 tienen una indicación sólida de que sus                                      resultados
prácticas de seguridad están dando resultados.                                 La gravedad y la cantidad de vulnerabilidades
                                                                                        descubiertas en un activo
Las empresas que dan importancia a las pruebas de
seguridad y analizan de forma proactiva los nuevos
activos y aplicaciones digitales tendrán, a largo
plazo, defensas más sólidas y menos infracciones.
Incluso los equipos de seguridad más proactivos
verán caer periódicamente la calificación ARS de sus
empresas con una actualización importante o con
                                                                                    Eficacia de la
nuevos productos, pero estas organizaciones pueden                                   reparación
identificar y abordar rápidamente los nuevos problemas
                                                                            La eficacia con la que una organización resuelve
y, por tanto, estar mejor posicionadas para defenderse
                                                                              los problemas identificados en sus entornos
en relación con la competencia. El objetivo no es
conseguir la máxima puntuación y seguir adelante,
sino medir continuamente la capacidad de las nuevas
tecnologías y los activos para resistir los ataques.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                                 8
P R I N C I PA L E S R E S U LTA D O S

La mayoría de los sectores mejoraron su ARS en 2021
En todos los sectores, las puntuaciones se han recuperado de los descensos anteriores y, en 2021,
todos los sectores, excepto dos, mejoraron su promedio de ARS, siendo el comercio electrónico,
el comercio minorista y la sanidad los sectores que registraron las mejoras más significativas
en comparación con el año anterior. Tanto el gobierno federal como el sector sanitario sufrieron
cambios significativos en las operaciones y la presión para mejorar la eficiencia durante la
pandemia, y ambos sectores salieron bastante bien parados. Los dos sectores que no mejoraron
(servicios financieros y administración estatal, local y de la educación [SLED]) vieron caer su ARS
en un solo punto. Aunque el sector de la manufactura y las infraestructuras críticas sufrió una
enorme caída en su Attacker Resistance Score en 2020, el sector recuperó 5 puntos en su ARS
en 2021. Al final, casi todos los sectores avanzaron hacia una mayor resistencia a los ataques
que antes, y la puntuación media de todas las empresas analizadas aumentó de 54 a 57.

Los atacantes necesitan menos tiempo para
encontrar vulnerabilidades
Por término medio, los encargados de las pruebas de penetración solo necesitaron 18 horas
humanas para encontrar una vulnerabilidad en las aplicaciones seleccionadas, frente a las 21
horas humanas de 2020. Sin embargo, algunos sectores endurecieron sus aplicaciones con mucho
más éxito que otras, haciendo que fuera más costoso y más largo encontrar las vulnerabilidades,
lo que se tradujo en una mayor calificación de ARS. El sector sanitario, por ejemplo, tuvo más
facilidades para encontrar vulnerabilidades en 2020, puesto que requirió solo 15,5 horas humanas
de media, pero mejoró esa cifra a 20 horas humanas en 2021. Aunque el sector gubernamental
se mantuvo en el extremo superior de la lista (y empatado con el de la sanidad en 2021), el sector
pasó de una media de 30 horas humanas para encontrar los primeros problemas de seguridad en
2020 a solo 20 horas humanas en 2021, lo que refleja un objetivo más fácil para los atacantes.

Las empresas mejoran la velocidad de remediación,
lo que dificulta la labor de los atacantes
En 2020, Synack descubrió que los equipos de desarrollo de software que integraban la seguridad en
el ciclo de vida del desarrollo mostraban una mejora sustancial de la ARS en un solo año con pruebas
continuas. En el último informe, también encontramos indicios de que la priorización inteligente
de las vulnerabilidades ha dado sus frutos en 2021, ya que los problemas de gravedad crítica se
solucionaron en 32 días de media, un 10 % más rápido que en 2020, mientras que los problemas de
gravedad alta y media tardaron 46 y 61 días de media en solucionarse, respectivamente. Esto es un
fuerte indicador de que las organizaciones son más rápidas a la hora de remediar los problemas
conocidos y han establecido defensas para prevenir la explotación de las vulnerabilidades de día cero.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                             9
P R I N C I PA L E S R E S U LTA D O S

Los CISO se convierten en los guardianes de la
confianza de la empresa
La confianza en todas las instituciones se tambaleó durante la pandemia, según el Edelman
2021 Trust Barometer, una encuesta mundial en la que participaron 33 000 encuestados de
28 países. De hecho, se descubrió que el 68 % de las personas están «preocupadas» y el 35
% «temerosas» ante los delincuentes informáticos y los ciberataques. Esas preocupaciones
(especialmente a la luz de un número creciente de ataques informáticos de alto perfil)
han creado pruebas críticas para los directores generales y especialmente para los CISO
cuando se trata de reconstruir la confianza de sus clientes y garantizar que la falta de
seguridad no se sume a esos desafíos. Los CISO son fundamentales para dar soporte a
ese esfuerzo, y muchas de las acciones más cruciales para la creación de confianza (como
la protección de la calidad de la información) recaen en los equipos de seguridad.

«La confianza es un ethos central para GDIT; de hecho, es uno de nuestros 4 valores
fundamentales junto con la transparencia, la honestidad y la alineación›› dice Michael Baker,
Chief Information Security Officer at General Dynamics Information Technology. “Generar
confianza entre nuestros clientes, nuestros empleados y nuestros equipos cibernéticos es vital
para mi función como CISO de GDIT. Para los clientes, la protección de los datos bajo nuestra
custodia es primordial para ayudarles a alcanzar los objetivos de su misión. Cada empleado
de GDIT confía en nosotros para proteger no solo su información personal, sino también la
información confidencial de la empresa que nos mantiene competitivos en el mercado. Por
último, nuestros equipos cibernéticos confían en nosotros para guiarles y orientarles hacia
trayectorias profesionales satisfactorias en las que se ofrecen diversas experiencias para
aprender y crecer. Medir el riesgo y elegir cuidadosamente las capacidades correctas con
los socios comerciales adecuados que entienden el panorama actual de las amenazas me
ayuda a lograr esos tres objetivos clave que definen el éxito de nuestras partes interesadas».

“         Generar confianza entre nuestros clientes, nuestros
          empleados y nuestros equipos cibernéticos es vital
          para mi función como CISO de GDIT.”
          MICHAEL BAKER
          RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN
          G E N E R A L D Y N A M I C S I N F O R M AT I O N T E C H N O L O G Y

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                     10
EL PANORAMA
Las empresas se han enfrentado a importantes trastornos, no solo
         por los efectos de una pandemia en curso, sino por la creciente
         incidencia de ataques de ransomware y sofisticadas operaciones
         de espionaje, como el compromiso de la cadena de suministro que
         comenzó con SolarWinds, los ataques de día cero a los servidores
         de Microsoft Exchange y, más recientemente, el ataque a Colonial
         Pipeline. Las tendencias indican que las empresas no solo tienen que
         asegurar sus propios activos, sino que también necesitan conocer
         mejor la seguridad de sus proveedores y socios.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM    12
E L PA N O R A M A

La transformación digital despega
Aunque la pandemia perturbó las operaciones comerciales de muchos sectores, hubo
un aspecto positivo: Las empresas tuvieron que acelerar la transformación digital
para seguir operando con una plantilla distribuida y atender a los clientes. Para los
responsables de seguridad, la situación exigía más flexibilidad a la hora de impulsar
nuevos enfoques en su estrategia de ciberseguridad, lo cual aumentó la resistencia y
disminuyó el riesgo de seguridad, al tiempo que se mejoraba la agilidad de la empresa.
El resultado final es que las operaciones se volvieron más ágiles, más eficientes y
mejor preparadas para responder de forma eficaz a las amenazas imprevistas.

En una reciente encuesta de Fortune/Deloitte, el 85 % de los directores generales
coincidieron en que la transformación digital de sus organizaciones se había acelerado
considerablemente durante la crisis. Muchas organizaciones aprovecharon la pandemia
como una oportunidad para repensar su experiencia digital, volver a comprometerse
con los empleados y reevaluar las estrategias de crecimiento. La pandemia les dio el
impulso para aprovechar la tecnología e impulsar la eficiencia y el crecimiento.

El Laboratorio Nacional de Oak Ridge (el mayor laboratorio científico y
energético del Departamento de Energía) tuvo que adaptarse rápidamente,
como tantos otros. De repente, los 6000 empleados del laboratorio, con la
excepción de 1000, tuvieron que realizar su trabajo a distancia. A través de sus
asociaciones con organizaciones como Synack, Oak Ridge ha podido adaptar
su modelo DevSecOps en un entorno virtual. Las pruebas de seguridad
remotas y colaborativas les permitieron obtener una perspectiva adversa de
su riesgo, escalar sus defensas y modernizar su enfoque de seguridad.»

“        Probando aplicaciones o procesos a través
         de Synack, y algunos otros que utilizo,
         pudimos implementar y proporcionar un
         entorno más seguro»
         KEVIN KERR
         RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN
         D E L L A B O R AT O R I O N A C I O N A L D E O A K R I D G E

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM             13
E L PA N O R A M A

La preocupación por la
seguridad se centra en la                                             SOLARWINDS
cadena de suministro y las                                            El ataque informático sufrido por SolarWinds
infraestructuras críticas                                             afectó a una gran variedad de sectores, ya que
Tres grandes compromisos revelados a finales de                       comprometió los sistemas de al menos nueve
2020 y principios de 2021 volvieron a centrar a las                   agencias gubernamentales y más de 100
organizaciones en la creación de defensas más                         empresas privadas, entre ellas Intel, Nvidia y
profundas capaces de atrapar los ataques al software                  Microsoft. La amplitud del ataque puede tardar
de confianza. En diciembre de 2020, la comunidad de                   años en ser comprendida en su totalidad.
seguridad y el gobierno estadounidense descubrieron
                                                                      Es posible que las pruebas no pudiesen
un ataque que modificó una actualización del
                                                                      haber impedido que el sofisticado adversario
software de monitorización de redes de SolarWinds
                                                                      nacional plantara su único vector de
para comprometer miles de sistemas. A principios
                                                                      acceso, porque estaba incorporado en
de 2021, un conjunto de vulnerabilidades de día cero
                                                                      el software, lo que hacía muy difícil su
en los servidores Exchange de Microsoft permitieron
                                                                      detección. Sin embargo, las pruebas de
a agentes de estados nacionales comprometer a
                                                                      seguridad colaborativas continuas podrían
cientos de empresas. Y, en mayo de 2021, la red
                                                                      haber permitido identificar los puntos
de transporte de petróleo y gas, Colonial Pipeline,
                                                                      débiles dentro de las redes y ayudar a
sufrió un ataque de ransomware que perjudicó
                                                                      prevenir la explotación posterior de los
gravemente las operaciones, lo cual interrumpió el
                                                                      sistemas internos. El movimiento lateral
suministro de combustible en el este de Estados
                                                                      de los atacantes, en la mayoría de los
Unidos, aumentó el temor de los consumidores y
                                                                      casos, abusó del acceso privilegiado
provocó el robo de 100 GB de datos. Los incidentes
                                                                      a la red. Las pruebas pueden señalar
subrayan que los proveedores y vendedores se han
                                                                      dónde deben reparar las organizaciones
convertido en la vía más fácil para los atacantes.
                                                                      las redes con exceso de privilegios.
Como resultado de los ataques a la cadena de
                                                                      Además, las pruebas proporcionan una
suministro de software, muchos equipos de seguridad
                                                                      herramienta útil para endurecer los sistemas
esperan que sus presupuestos aumenten, con
                                                                      internos, poner a punto los sistemas de
las prioridades de financiación centradas en la
                                                                      vigilancia y formar a los defensores en el
adquisición de herramientas para la búsqueda de
                                                                      oficio del adversario. El ataque podría dar
amenazas, la respuesta a incidentes y el análisis
                                                                      lugar a operaciones más desconectadas,
forense, la contratación de más personal para llevar a
                                                                      con lo que enviaría algunas cargas de
cabo estas actividades y el despliegue de iniciativas
                                                                      trabajo sensibles a entornos totalmente
de confianza cero. Más de la mitad, el 57 %, de los
                                                                      aislados, lo que supone un giro respecto
profesionales de la seguridad también desean
                                                                      a la confianza cero que depende de los
una mayor inversión en seguridad ofensiva, según
                                                                      controles de autenticación para validar el
el informe 2021 Signals in Security de Synack.
                                                                      acceso de los usuarios. No hay duda de que
                                                                      SolarWinds cambiará las reglas del juego
                                                                      en la industria y la administración pública.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                           14
E L PA N O R A M A

Los equipos multifuncionales son cada
vez más importantes
En 2021, los CIO seguirán impulsando con fuerza la transformación digital, la innovación
empresarial y otras inversiones tecnológicas agresivas, que centrarán a las empresas en
habilitar nuevos modelos de negocio y fuentes de ingresos. Como consecuencia de estos
esfuerzos, el CISO se situará en el centro de las iniciativas empresariales críticas, en las
que el ejecutivo lidera equipos multifuncionales para hacer coincidir la velocidad de las
transformaciones digitales con estrategias de seguridad y privacidad ágiles y con visión
de futuro. Los líderes de seguridad que se centran en la operacionalización de la seguridad
serán los más capacitados para ofrecer un rendimiento seguro del sistema en toda la
organización en medio de la transformación continua y las amenazas cambiantes.

“        El constante impulso de la transformación digital hace
         que el trabajo del CISO sea hoy absolutamente esencial
         como persona que se encuentra en la intersección de la
         innovación y la seguridad. Tenemos que asegurarnos de
         que somos capaces de ayudar a guiar a la organización en
         una trayectoria de crecimiento más inteligente manteniendo
         conversaciones sobre seguridad al principio del proceso
         de desarrollo y adquisición. Las pruebas continuas y
         diferenciadas crearán sistemas y procesos mejores y más
         seguros, y garantizarán que las organizaciones no pierdan la
         confianza que tanto les ha costado ganar en el mercado.»
         J A S O N L E W KO W I C Z
         DIRECTOR GLOBAL DE SEGURIDAD DE LA INFORMACIÓN (CISO)
         COGNIZANT

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                   15
TENDENCIAS
DEL SECTOR
INDUSTRY TRENDS

En general, Synack ha visto cómo los CISO han estado a la altura del desafío durante los
últimos 16 meses y han navegado por un territorio inexplorado, centrándose en permitir
las operaciones empresariales y reduciendo el riesgo de ataques maliciosos. Al analizar
la evolución de las calificaciones de la ARS a lo largo de 2020, las puntuaciones se han
recuperado desde el comienzo de la pandemia en todos los sectores, y muchos sectores
empresariales han avanzado hacia una mayor resistencia al ataque que en los informes
anteriores de 2021.

                            F I G U RA 1 . C A L I F I C AC I Ó N M E D I A E N L A AS R D E L A I N D U ST R I A D U RA N T E COV I D - 19 :
                                                                             MARZO 2020-ABRIL 2021

                                                                Marzo de 2020                Julio de 2020        Abril de 2021

        70
                       68
                            64
        60                           62                 62
                                               61
                                          58                 57 58
                  56                                                                 57                    57            55
                                                                                54
        50                                                                 52
                                                                                                 51                               51        52      52
                                                                                                                 49 49                 49                     50                  49
                                                                                                                                                                             48
                                                                                                      47                                                 45
        40                                                                                                                                                              41

        30

        20

         10

          0
                  Gobierno           Sanidad             Servicios        Tecnología           Comercio         Venta al por    Consultoría/       Fabricación/          SLED
                                                       financieros                            electrónico         menor          Servicios       Infraestructura
                                                                                                                               empresariales          crítica
                                                                                                                                  y de TI

                                 FIGURA 2. CALIFICACIÓN MEDIA EN LA ARS DE CADA SECTOR POR AÑOS
                                                    (PUBLICADA EN ANTERIORES INFORMES DE CONFIANZA)

 Sector                                                                                   Trust Report 20191              Trust Report 20202                       Trust Report 20213

 Gobierno                                                                                             47                               61                                    64
 Sanidad                                                                                              60                               56                                    61
 Servicios financieros                                                                                57                               59                                    58
 Tecnología                                                                                           46                               55                                    57
 Comercio electrónico                                                                                 48                               47                                    57

 Venta al por menor                                                                                   45                               46                                    55
 SLED                                                                                                 46                               50                                    49
 Consultoría/Servicios empresariales y de TI                                                          53                               48                                    52
 Fabricación/Infraestructura crítica                                                                  70                               45                                    50
1. La calificación ARS se basa en los datos del Trust Report: 2019. Datos hasta enero de 2019.
2. La calificación ARS se basa en los datos del Trust Report: 2020. Datos hasta julio de 2020.
3. La calificación ARS se basa en los datos del Trust Report: 2021. Datos hasta abril de 2021.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                                                                            17
INDUSTRY TRENDS

Gobierno—fuerte                                                                       GOBIERNO
El sector gubernamental sigue progresando y

                                                                                       +3
actualmente está a la cabeza de los demás sectores
con la mayor calificación ARS y los tiempos de
solución más rápidos. Aunque el CVSS del sector
es ligeramente superior a la media, los organismos
públicos siguen dando prioridad a la corrección
                                                                                     2020       2021
de las vulnerabilidades con rapidez para evitar su
                                                                                      61         64
explotación, con un tiempo medio de corrección
de 32 días (Figura 3). Es importante probar los
activos con regularidad y de forma continua, pero
hay que dar prioridad a las pruebas de todos los
activos, incluidas las API y los activos de terceros.

El ataque informático sufrido por SolarWinds afectó
                                                                      E S T U D I O D E C A S O D E D A R PA
al menos a nueve agencias federales y demostró la
necesidad de garantizar que todos los componentes                    Las agencias del gobierno federal, como,
de la cadena de suministro digital sean de confianza. Si             por ejemplo, la Agencia de Proyectos de
bien la calificación ARS demuestra la resistencia a los              Investigación Avanzada de Defensa (DARPA),
ataques, la puntuación no refleja las vulnerabilidades               están llevando al límite las pruebas. DARPA
no declaradas y no refleja el sector gubernamental en                utilizó Synack para impulsar las pruebas de
general, sino solo{f1/}los activos que se han probado.               seguridad en una fase más temprana del
Estas pruebas no incluyeron el parche de actualización               ciclo de desarrollo, con el fin de pensar en
del proveedor relacionado con SolarWinds.                            cómo incorporar la seguridad por diseño a
                                                                     los futuros sistemas de hardware. Durante
                                                                     los tres meses que duró el programa, el
                                                                     equipo rojo de Synack probó más de
                                                                     980 procesadores de integración de la
                                                                     seguridad del sistema a través del hardware
                                                                     y el firmware (SSITH) y se descubrieron
                                                                     10 vulnerabilidades válidas (calificadas
                                                                     como altas y críticas según las normas del
                                                                     Sistema de Puntuación de Vulnerabilidad
                                                                     Común 3.0) en todas las implementaciones
                                                                     de la arquitectura segura. En todas las
                                                                     agencias se está hablando de integrar
                                                                     las pruebas en una fase más temprana
                                                                     del ciclo de vida de la adquisición, y
                                                                     DARPA está liderando el camino.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                        18
INDUSTRY TRENDS

Sanidad—resistente                                                                  H E A LT H C A R E
El sector de la sanidad experimentó un trastorno

                                                                                      +5
operativo, con picos regulares en el tráfico de
los centros de llamadas y en el tráfico de los
sitios web. Los ciberataques a las instalaciones
sanitarias no disminuyeron durante la pandemia, y
muchas organizaciones aumentaron la cadencia                                        2020        2021

de las pruebas para reducir su superficie de                                         56          61

ataque. Como resultado, las capacidades de
salud digital y los equipos de seguridad se
han convertido en socios más estratégicos.                      CVSS, un 7,2 (Figura 3). El personal de TI, por ejemplo,
                                                                tuvo que hacer frente al aumento de los servicios
Al igual que otros sectores, el sector de la sanidad            de telesalud y al traslado de empleados no clínicos
también ha experimentado una aceleración de la                  a entornos de trabajo en casa, lo que aumentó la
transformación digital. Antes de la pandemia, la                superficie de ataque. Muchos socios del sector
mayoría de los sistemas de salud tenían objetivos               sanitario aceptaron el reto mejorando rápidamente
para llevar a cabo iniciativas como la telesalud,               la seguridad de los sitios web de COVID o probando
implementar aplicaciones que apoyan la atención                 el software de los nuevos productos y manteniendo
basada en el valor, aumentar la integración entre               su proceso de corrección para minimizar el riesgo.
los entornos de atención y mejorar la experiencia               El sector demostró que podía moverse con rapidez
del paciente a través de la implementación de una               y agilidad sin comprometer la seguridad. De hecho,
«puerta digital». El plazo para llevar a cabo estas             puede ser el ejemplo de la transformación digital y
iniciativas se redujo considerablemente. El sector              demuestra que un cambio rápido a la izquierda no solo
sanitario obtuvo la mayor puntuación promedia de                es eficiente, sino que también puede ser más seguro.

Servicios financieros—                                                         SERVICIOS FINANCIEROS
en peligro

                                                                                          -1
El sector de los servicios financieros ha sido
históricamente uno de los principales objetivos de
los ciberdelincuentes. Al principio de la pandemia, el
sector sufrió una caída de 6 puntos, desde una ARS
de 62 a principios de 2020 (Figura 1), pero empezó                                  2020        2021
a recuperarse en 2021. El cambio a la banca y las                                    59          58
operaciones virtuales generalizadas probablemente
afectó a su superficie de ataque, pero los esfuerzos
por cerrar rápidamente las vulnerabilidades y mantener          tenido que mirar más allá de su enfoque tradicional
un enfoque continuo de las pruebas ayudaron al                  para encontrar estrategias que les ayuden a impulsar
sector a minimizar el impacto en la calificación                la seguridad en toda su organización. El sector
ARS. El sector de los servicios financieros, que es             sigue siendo líder en seguridad, con la tercera
un objetivo frecuente de los ciberdelincuentes, ha              puntuación más alta de la ARS en abril de 2021.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                           19
INDUSTRY TRENDS

El comercio electrónico, ágil                                                  COMERCIO ELECTRÓNICO
en la cresta de la ola
Tanto el comercio electrónico como el sector
minorista han aumentado drásticamente su
calificación ARS desde julio de 2020. Estos
sectores se vieron sometidos a una gran presión
                                                                                   +10
para afrontar cambios masivos en sus modelos                                        2020       2021

operativos. Las empresas que han tenido éxito no                                     47          57

solo han conseguido adaptarse, sino que también
han salido airosas con respecto a sus competidores
al generar una mayor confianza en sus clientes.

Los responsables de seguridad del comercio
electrónico tienen la oportunidad de recalibrar las
inversiones en tecnología y acelerar los planes de                    DOMINO’S PIZZA
transformación digital existentes con la vista puesta en
la seguridad. Aunque el sector ha pasado de ser uno de               Domino's ha sido un líder del sector, ya que
los sectores menos seguros a obtener una media sólida,               ha servido como caso de estudio del sector,
los atacantes siguen necesitando solo 16 horas para                  sobre todo en los espacios de entrega y
encontrar una vulnerabilidad, el segundo tiempo más                  digital, la mitad de su plantilla en la sede
bajo (Figura 4). De cara a 2021, el desplazamiento de                se centra en el software y la analítica. La
la seguridad a la izquierda será una parte importante                organización se transformó con éxito,
para garantizar que los planes de transformación                     pasando de ser una empresa de reparto
acelerados se traduzcan en lanzamientos seguros. Y                   de pizzas a una empresa de tecnología y,
para ello, los CISO tendrán que generar confianza                    como resultado, experimentó un crecimiento
no solo con sus clientes, sino también con sus                       significativo. Sus ingresos superaron los
desarrolladores. Las organizaciones de comercio                      4000 millones de dólares en 2020. Domino's
electrónico pueden utilizar soluciones de pruebas                    emplea pruebas de seguridad colaborativas
de seguridad o servicios de seguridad colaborativos                  porque necesita una solución que refuerce
para generar confianza y acelerar el desarrollo.                     sus activos para protegeros frente al
                                                                     tiempo de inactividad, que pueda integrarse
                                                                     fácilmente en el SDLC y que permita medir
                                                                     y comparar el rendimiento. Las pruebas de
                                                                     seguridad colaborativas han ayudado a su
                                                                     equipo de seguridad a permitir un rápido
                                                                     crecimiento del negocio y la transformación
                                                                     digital, ya que obtienen un 250 % más de
                                                                     actividad y rigor en las pruebas que en
                                                                     pruebas de penetración tradicionales.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                        20
INDUSTRY TRENDS

Tecnología: priorizar la                                                            TECNOLOGÍA
seguridad

                                                                                      +2
El sector tecnológico sigue mejorando su puntuación
de seguridad, ya que ha aumentado su ARS en 2
puntos para empezar el año 2021 empatado con las
empresas de comercio electrónico. El sector de la
tecnología tiene las puntuaciones medias de gravedad                                 2020       2021
más bajas, en comparación con otros sectores, y                                        55         57
su tiempo de remediación está a la par con otros
sectores (Figura 3). Las empresas tecnológicas
también adoptaron tempranamente métodos de                      tecnológica y su equipo. Las métricas como la ARS
desarrollo ágiles y se centraron en la seguridad en             y las plataformas bajo demanda que ofrecen a los
las primeras fases del proceso, lo que ha dado lugar            equipos puntos de datos procesables ayudan a los
a activos reforzados y a que las vulnerabilidades               equipos de seguridad a medir los cambios en su
sean más difíciles de encontrar para los atacantes.             capacidad de respuesta ante las vulnerabilidades
                                                                y las infracciones, lo que les proporciona la
La velocidad es un componente importante                        información que necesitan para seguir protegiendo
que subyace al éxito de un líder de seguridad                   sus organizaciones a la velocidad del desarrollo.

Venta al por menor—		                                                          V E N TA A L P O R M E N O R
rápida respuesta
Junto con el comercio electrónico, el comercio
minorista ha aumentado significativamente su
calificación en la ARS desde julio de 2020, con un salto
de 9 puntos en la ARS del sector, que actualmente se
                                                                                      +9
sitúa en 55. Este aumento sitúa al sector minorista                                  2020       2021

en la mitad del pelotón en cuanto a seguridad,                                        46         55

frente al penúltimo lugar que ocupaba en 2020.

Según los datos del U.S. Retail Index de IBM, la                Las empresas minoristas deben seguir integrando
pandemia ha acelerado en unos cinco años el paso de             la seguridad en el proceso de desarrollo para que
las tiendas físicas a las compras digitales. El cambio ha       los desarrolladores puedan lanzar aplicaciones
ofrecido al sector grandes oportunidades: El porcentaje         y actualizaciones de forma eficiente. Los
de interacciones digitales con los clientes alcanzó             responsables de la seguridad deben aprovechar
el 60 % y se espera que siga aumentando. Algunos                las herramientas de pruebas automatizadas para
minoristas están dando prioridad a las inversiones              obtener visibilidad de la gravedad de los hallazgos
en seguridad de las plataformas de pago digital                 y hacer un seguimiento del tiempo de cierre de las
para satisfacer las necesidades cambiantes de sus               vulnerabilidades. Estas herramientas de comprobación
clientes. Además, según PricewaterhouseCoopers                  deben integrarse en los flujos de trabajo existentes
muchos equipos de ciberseguridad y privacidad se                para garantizar que la seguridad se incorpore
encargan de crear una visión única y completa del               al ciclo de vida del desarrollo y que los fallos se
consumidor en todos los canales de interacción.                 detecten antes de la publicación del software.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                        21
INDUSTRY TRENDS

Fabricación e                                                                    FA B R I C AC I Ó N / C I
infraestructuras críticas:
afrontar los nuevos desafíos
El sector de la fabricación y las infraestructuras
críticas se ha enfrentado a un impacto significativo en
                                                                                      +5
las operaciones empresariales debido a la pandemia                                   2020         2021
y a los ataques maliciosos, pero la peor caída de                                     45           50
la ARS se produjo el año anterior, cuando la ARS
del sector cayó 25 puntos. En mayo, por ejemplo, el
sector sufrió el peor ataque de los últimos tiempos
con el ransomware que comprometió a Colonial
Pipeline, que dejó fuera de servicio la red de transporte
de petróleo y gas durante más de una semana.
                                                                     SECTOR DE LA ENERGÍA
El sector se recupera poco a poco de su caída en la
calificación ARS, ganando 5 puntos en 2021 gracias                   Una empresa de la lista Fortune 500 del
al fortalecimiento de los activos y al aumento de la                 sector energético pudo habilitar el negocio
eficacia de la remediación. Aun así, la calificación                 y reducir el riesgo mediante pruebas
ARS del sector sigue estando por debajo de la                        de seguridad eficientes y efectivas con
media. Con los recientes ataques informáticos a                      los datos necesarios para poder cerrar
infraestructuras críticas como el Colonial Pipeline, el              las vulnerabilidades durante la semana
sector necesita seguir protegiendo su gran superficie                siguiente a que se hayan identificado. El
de ataque con soluciones que proporcionen una                        cliente necesitaba una prueba que pudiera
cobertura continua y permitan a las organizaciones                   ponerse en marcha rápidamente, para ofrecer
descubrir las vulnerabilidades explotables antes que                 garantías sobre los activos y evaluar el
los atacantes. Mantener parcheados y actualizados                    riesgo que conllevaban antes de liberarlos.
los servidores y la infraestructura de red orientada                 Gracias a su asociación con Synack, todo
a Internet puede ayudar a mitigar el riesgo.                         el proceso, lo cual incluye la corrección y la
                                                                     repetición de las pruebas, se ejecutó en una
                                                                     fracción del tiempo que antes se tardaba
                                                                     con los probadores tradicionales. El sector
                                                                     energético protege las infraestructuras
                                                                     críticas y las cadenas de suministro que
                                                                     mantienen operativas a organizaciones de
                                                                     todo el mundo. Con asociaciones como
                                                                     esta, pueden reducir el riesgo y agilizar
                                                                     todo el proceso de pruebas y correcciones
                                                                     a escala de sus organizaciones globales.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                          22
INDUSTRY TRENDS

Administración estatal, local                                                              SLED
y de la educación (SLED):
margen de mejora
La media del sector de la Administración estatal, local
y de la educación (SLED) se ha mantenido estable a
                                                                                         -1
lo largo del último año; sin embargo, a medida que                                   2020         2021
otras industrias han aumentado su puntuación, la                                      50           49
calificación del sector se ha situado por debajo de la
media. Si bien las organizaciones que componen este
sector público han avanzado en la disminución de
sus días para cerrar las vulnerabilidades, todavía hay
una oportunidad para ampliar las pruebas en toda su                   E S TA D O D E C O L O R A D O
superficie de ataque. Al aprovechar a los hackers éticos,
                                                                     Los destacados que lideran la carga: El
las organizaciones de SLED escalan sus pruebas
                                                                     Estado de Colorado forma parte de un
para garantizar que los mejores investigadores de
                                                                     movimiento más amplio hacia los métodos de
seguridad del mundo estén probando sus sistemas
                                                                     pruebas de seguridad colaborativas, como la
para que puedan descubrir las vulnerabilidades
                                                                     divulgación de vulnerabilidades y las pruebas
más impactantes y cerrarlas con rapidez.
                                                                     de penetración colaborativas para asegurar
                                                                     las elecciones y otras infraestructuras
Consultoría y servicios de                                           críticas. En 2020, Colorado lanzó un nuevo

TI—Impulsar la cultura de la                                         programa para ayudar a proteger los
                                                                     sistemas electorales de Colorado como
seguridad                                                            parte de las elecciones presidenciales de
La puntuación del sector de consultoría y servicios de               2020. Colorado es el primer estado del
TI aumentó a 52, ya que sus empresas miembros han                    país que realiza una prueba piloto, y luego
escalado sus pruebas y han implementado procesos                     exige auditorías de limitación de riesgos
para solucionar las vulnerabilidades con mayor rapidez.              a nivel estatal. Colorado es también el
El tiempo de remediación del sector se redujo en un                  primer estado que apoya públicamente la
32 % desde julio de 2020. La realización de estas                    divulgación de vulnerabilidades y las pruebas
grandes mejoras suele requerir la comunicación y la                  de penetración colaborativas en los sistemas
cooperación interfuncionales, así como la adopción                   electorales, y uno de los primeros estados
de una cultura que dé prioridad a la seguridad.                      en participar activamente en DEFCON.

Las organizaciones de consultoría y servicios de TI
suelen impulsar el cambio de cultura con sus clientes.
Lo están demostrando cuando se trata de adoptar                                  C O N S U LT O R Í A / T I
un flujo de trabajo más seguro dentro de sus propias

                                                                                      +4
organizaciones y de adoptar herramientas para apoyar la
transformación. Las pruebas de seguridad proporcionan
a las organizaciones los datos necesarios para reforzar
su cultura de seguridad, lo cual hace posible una
gestión más detallada de las vulnerabilidades reales y                               2020         2021
produciendo métricas que pueden proporcionar a los                                    48            52
líderes empresariales indicadores clave de rendimiento.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                         23
INDUSTRY TRENDS

A P R O V E C H A R A L M Á X I M O L A AT TA C K E R
R E S I S TA N C E S C O R E

La Attacker Resistance Score (ARS) de Synack es                       SYNACK RED TEAM
una medida del grado de protección de sus activos
                                                                      El Synack Red Team (SRT) está formado
frente a los ataques, basada en lo más parecido
                                                                      por los investigadores de seguridad ética
a un ataque real y coordinada por un equipo de
                                                                      con más talento de todo el mundo.
investigadores de seguridad de confianza.
                                                                      El SRT es un grupo diverso de expertos en
La Attacker Resistance Score representa una
                                                                      seguridad altamente cualificados, que incluye
trayectoria. Las empresas que alcanzan una
                                                                      a los mejores investigadores del mundo
calificación ARS de 100 no han «terminado» con la
                                                                      académico, de la administración y del sector
seguridad. Las organizaciones más seguras, como
                                                                      privado. El SRT cuenta con la representación
las que dan prioridad a las pruebas de seguridad
                                                                      de más de 80 países diferentes de todo el
y analizan de forma proactiva los nuevos activos
                                                                      mundo y con cientos de años de experiencia
y aplicaciones digitales, utilizan la calificación
                                                                      combinada en materia de pruebas. Muchos
ARS para cuantificar su postura de seguridad en
                                                                      de los investigadores de Synack son los
diferentes momentos para realizar un seguimiento
                                                                      principales productores de los programas de
de su progreso, priorizar los activos y evaluar su
                                                                      divulgación de vulnerabilidades de la industria,
riesgo. Es normal que las puntuaciones fluctúen,
                                                                      y hablan regularmente en eventos de la
especialmente cuando se actualizan los activos,
                                                                      industria como DefCon, AppSec y Black Hat.
como cuando se lanza una nueva versión de una
aplicación. De hecho, una puntuación baja da a las
organizaciones la oportunidad de entender sus áreas
más débiles y cerrar esas vulnerabilidades antes de
que un atacante malicioso pueda encontrarlas.

He aquí las recomendaciones para mejorar la calificación ARS:

                 Aumentar el coste del atacante
  01             Involucre a sus equipos de desarrollo e infraestructura para reducir la
                 frecuencia de las vulnerabilidades y hacer que estas sean más difíciles
                 de encontrar. Cuanto más tiempo e intentos de ataque se requieran para
                 encontrar una vulnerabilidad, mayor será el impacto positivo en su ARS.

                 Reducir la gravedad de los hallazgos
  02             Trabaje con los desarrolladores para integrar la seguridad en el ciclo
                 de vida del desarrollo y realice pruebas tempranas para reducir el
                 número de vulnerabilidades en la producción. Cuantas menos
                 vulnerabilidades se encuentren, mayor será la calificación ARS.

                 Resolver rápidamente las vulnerabilidades
  03             Cuanto más corto sea el tiempo de remediación, más
                 rápido empezará a recuperarse su puntuación.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                             24
TENDENCIAS EN
LA CALIFICACIÓN
DE LA ATTACKER
RESISTANCE
SCORE
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E

                                                  FIGURE 3. RESUMEN DEL SECTOR

                                                                                         Tiempo medio de
                                                       CVSS medio                                            Incidentes/brechas
                                                                                        remediación (días)

 Gobierno 1                                                    6.9                             32                3,236/885

 Sanidad                                                       7.2                             56                 655/472

 Servicios financieros                                         6.7                             54                 721/467

 Tecnología 2                                                  6.4                             54                2,935/381

 Comercio electrónico                                          6.6                             48                   N/A

 Venta al por menor                                            6.8                             52                 725/165

 SLED3                                                         6.8                             62                1,332/344

 Consultoría/Servicios
                                                               6.8                             56                  194/67
 empresariales y de TI 4

 Fabricación/
                                                               6.8                             53                 633/290
 Infraestructura crítica 5

1. Sector público en el informe DBIR de 2021 de Verizon.
2. Información del sector a partir del informe DBIR de 2021 de Verizon.
3. El sector de la educación a partir del informe DBIR de 2021 de Verizon.
4. Sector de otros servicios del informe DBIR de 2021 de Verizon.
5. Categoría de fabricación y servicios públicos del informe DBIR de 2021 de Verizon.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                      26
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E

Attacker Resistance Score rating trends
C O S T E D E L ATA C A N T E
                                                                                                                                 FIGURE 4. ES HORA DE
El punto de partida de la calificación Attacker Resistance                                                            ENCONTRAR UNA VULNERABILIDAD
Score cuantifica el esfuerzo que se requiere para
intentar penetrar en la superficie de ataque del activo                                                                                                        Media (horas
y descubrir vulnerabilidades utilizando datos de tráfico                                                     Sector                                           para encontrar
de pruebas de penetración específicos de la evaluación                                                                                                       vulnerabilidades)
sobre toda la actividad de pruebas del investigador
para comprender su estructura subyacente. Los datos                                                          Gobierno                                               20
proceden de las pruebas de penetración de Synack
y de los compromisos de seguridad colaborativos.2
                                                                                                             Sanidad                                                19
Si bien el cálculo del coste de los atacantes es más
complejo, ya que incluye la cuantificación del trabajo
y el poder de los atacantes, el tiempo para encontrar                                                        Servicios financieros                                  18
una vulnerabilidad se utiliza en este informe como un
indicador para medir las tendencias y los cambios
                                                                                                            Tecnología                                              24
en el coste de los atacantes de la industria. Un mayor
tiempo para encontrar una vulnerabilidad significa que
la superficie de ataque puede estar más fortalecida                                                          Comercio electrónico                                   18
y ser más resistente a los ataques maliciosos, lo
que equivale a una mayor calificación ARS.
                                                                                                             Venta al por menor                                     17
Aumentar el esfuerzo y el tiempo que los atacantes
necesitan para encontrar vulnerabilidades
                                                                                                             SLED                                                   15
explotables es una forma fundamental de disuadir
a los actores maliciosos. La cuantificación del
esfuerzo de los atacantes forma parte del cálculo                                                            Consultoría/Servicios
                                                                                                                                                                    18
                                                                                                             empresariales y de TI
de la calificación ARS y de la forma en que Synack
mide la resistencia de los atacantes (Figura 4).                                                             Fabricación/
                                                                                                                                                                    18
                                                                                                             Infraestructura crítica
A medida que las organizaciones endurecen sus
superficies de ataque y cierran las vulnerabilidades
explotables, los atacantes maliciosos tendrán que                                                            Media                                                  19
dedicar más esfuerzo y mayores recursos para
encontrar vulnerabilidades explotables. Probar los
activos en una cadencia continua utilizando un cuerpo
diverso de investigadores de seguridad ayuda a las                                                    organizaciones a reforzar los activos y a aumentar el
empresas a adelantarse a los atacantes maliciosos.                                                    coste de los ataques, ya que los equipos de seguridad
Además, la incorporación de la seguridad en una fase                                                  e ingeniería encuentran y corrigen las vulnerabilidades
más temprana del proceso de desarrollo ayuda a las                                                    en una fase más temprana del desarrollo.

2 Attacker time is used as a proxy to simplify the calculation used in the ARS rating. For additional details on attacker cost calculation refer to the appendix.

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                                                                     27
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E

Gravedad de los resultados
Aunque las vulnerabilidades de la lógica empresarial constituyen el siete por ciento de
las vulnerabilidades encontradas, a medida que los clientes prueban sus activos durante
más tiempo, la cantidad de vulnerabilidades de la lógica empresarial encontradas
aumentó un 37 % (Figura 5). A medida que los clientes realizan pruebas durante largos
periodos de tiempo y los activos se endurecen, las organizaciones pueden centrar
sus esfuerzos en encontrar y solucionar vulnerabilidades más complicadas y graves.
Las principales categorías de vulneraciones de los últimos años se han mantenido
constantes: Autorización/permiso, divulgación de información y Cross Site Scripting.

                                  F I G U R E 5 . D I S T R I B U C I Ó N D E L A V U L N E R A B I L I D A D P O R C AT E G O R Í A

 Tipo de vulnerabilidad en % del total                                                  2021*                      2020                2019

 Autenticación/Sesión                                                                    5%                          6%                6%

 Authorization/Permission                                                               25%                         26%                22%

 Fuerza bruta                                                                            2%                          2%                2%

 Inyección de contenidos                                                                 3%                          3%                3%

 Criptografía
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E

El CVSS promedio de las vulnerabilidades se mantuvo
bastante estable desde 2019 hasta el primer trimestre                                          FIGURE 6. MEDIA DE CVSS POR AÑO
de 2021 (Figura 6). El CVSS de una vulnerabilidad
ayuda a las organizaciones a priorizar las respuestas
y los recursos según la amenaza en una escala                                                   Año                                    Media CVSS
de 0 a 10. La gravedad de los descubrimientos
es otro componente del cálculo de la calificación                                               2019                                         6.7
ARS que cuantifica la gravedad y la cantidad de
vulnerabilidades descubiertas contra sus activos                                               2020                                          6.6
objetivo. Esto es solo un componente de la ARS.
Centrarse solo en las vulnerabilidades más graves
                                                                                               2021*                                         6.6
puede dejar oportunidades para que los atacantes
maliciosos utilicen vulnerabilidades menos graves con
                                                                                 * 2021 se basa en datos hasta el primer trimestre de 2021
las que encontrar formas de entrar en sus activos.

               FIGURE 7. CVSS PROMEDIO POR TIPO DE ACTIVO

      8.0

                      7.7

      6.0
                                                 6.3

                                                                           5.5
      4.0

      2.0

      0.0

                     Host                      Web                       Móvil

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                                        29
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E

Más de un tercio (el 37 %) de las vulnerabilidades                             y la verificación de parches son fundamentales
detectadas por el equipo rojo de Synack fueron de                              para reducir las vulnerabilidades y su gravedad.
gravedad alta o crítica (Figura 8). A medida que las
                                                                               Las vulnerabilidades de autorización/permiso
organizaciones amplían sus pruebas de seguridad en
                                                                               aceptadas aumentaron un 18 % de 2020 a 2019 y el XSS
diferentes activos, priorizar los esfuerzos de corrección
                                                                               ha aumentado un 17 % en el primer trimestre de 2021.
por nivel de gravedad puede ser una estrategia útil
                                                                               Las vulnerabilidades críticas aceptadas disminuyeron
para gestionar la carga de trabajo de su organización.
                                                                               ligeramente en 2020, lo que permitió un cambio de
Los activos de host tienen la puntuación media                                 enfoque hacia hallazgos menos graves. Esto implica la
más alta del Common Vulnerability Scoring System                               adopción de mejores mecanismos de detección y una
(CVSS) en comparación con otros tipos de activos                               mayor comprensión de la mentalidad de los atacantes
(7,7). La divulgación de información y la autorización/                        y el encadenamiento de vulnerabilidades Basándose en
permisos son las categorías de vulnerabilidad                                  estos datos, Synack prevé un aumento continuo de las
más populares encontradas en los activos del                                   vulnerabilidades y la gravedad en los próximos años, ya
host (Figura 5). Los malos actores tienen como                                 que las organizaciones siguen siendo más proactivas
objetivo determinados entornos en busca de                                     en sus pruebas y escalan en todos sus activos.
vulnerabilidades, por lo que las pruebas, la corrección

                  FIGURE 8: DISTRIBUCIÓN DE LAS VULNERABILIDADES POR
                                             N I V E L D E G R AV E D A D

                                          5%

                                                                                              medio
                      16%
                                                                                              alto

                                                                                              crítico
                                                                             57%
                                                                                              bajo

                   21%

2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM                                                        30
También puede leer