Actualizaciones, actualizaciones y más actualizaciones

Tiempo de lectura estimado: 4 minutos

Esta conferencia magistral pertenece al Módulo Transversal de Transformación Digital de C1b3rWall Academy 2021. El objetivo de la misma es conocer las bondades de tener nuestros sistemas actualizados. 

Tipos de actualizaciones

• Funcionales: introducen nuevas características y posibilidades en nuestros dispositivos.
• Solución de fallos: encargadas de acabar con errores que van apareciendo en el software.
• Seguridad: (vistas en profundidad a continuación).

Vulnerabilidades (CVE)

Las CVE (common vulnerabilities and exposures) representan vulnerabilidades comunes gestionadas a través de una entidad internacional. Cada vez que aparece una vulnerabilidad de seguridad, se cataloga y se indica en qué consiste y a qué versiones concretas afecta, además de marcar si tiene una solución. 

Si no se actualiza, no se avanza con nuevas funcionalidades y hay mayor riesgo de sufrir ataques. Ejemplos como los ciberataques de ransomware "Ryuk" al SEPE en el presente año.

¿Por qué no actualizamos?

• Medios disponibles: necesidad de personal cualificado y equipamiento suficiente.
• Coste: horas del personal, adquisición de hardware o software, formación...
• Retrocompatibilidad: especialmente en entornos industriales.
• Falta de conciencia: a todos los niveles.

La realidad es que nadie está libre de riesgo ni hay sistemas infalibles.

¿Cómo podemos desplegar una política de actualizaciones correcta?

En primer lugar, es fundamental tener un inventario actualizado y reflexionar acerca de qué se va actualizar, cómo y cuándo. La hoja de ruta también pasa por establecer niveles de criticidad y tener en cuenta que cada empresa requiere su propio plan (tamaño, tipo de trabajo, equipos personales o corporativos, etc.). Además, es de gran utilidad controlar las excepciones y redactar una normativa de obligado cumplimiento dentro de la empresa.

Herramientas útiles

• Vigilancia tecnológica: es necesario estar al día de lo que pasa y, para ello, hay herramientas de alerta como la del INCIBE, que avisa mediante correo electrónico de vulnerabilidades de software o fabricantes en los que estemos interesados. 
• Inventario: tener equipos y servicios actualizados, así como una CMDB (Configuration Manager Database) donde estén todos nuestros servicios.
• Automatizar actualizaciones: tanto a nivel de sistema operativo como a nivel de software.
• Pentesting: hay algunas como Kali Linux, Rapid7 InsightVM o Infection Monkey. 

En ejemplos concretos como Windows 10 Pro: conocer la idiosincrasia del sistema (periodicidad  y tipos de actualizaciones), desarrollar la política de actuaciones correspondiente (aprobación automática y programación de actualizaciones, gestión de excepciones...) y realizar revisiones periódicas para controlar que todo funciona correctamente.

Ponente: Victor Carrión Hontoria

Víctor tiene 18 años de experiencia como Administrador de Sistemas Informáticos y trabaja en el Centro Tecnológico CARTIF, un centro de investigación ubicado en Valladolid.