Diferencias entre amenazas y vulnerabilidades

¿Sabes que es una ciberamenaza?, y ¿una vulnerabilidad? ¿Sabes cuales pueden suponer un riesgo para tu organización? ¿Sabes cómo puede afectar un incidente a tu organización? ¿Está tu organización en riesgo?

Estos son términos que se confunden a menudo. Veamos cómo se definen.

Qué es una vulnerabilidad y qué es una amenaza

Una vulnerabilidad, en términos de TI, es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información, pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, así como otras dimensiones de la seguridad pertinentes para nuestra organización, como pueden ser la trazabilidad o la autenticidad.

Por todo esto es necesario encontrarlas y eliminarlas lo antes posible. Estos agujeros pueden tener distintos orígenes, como, por ejemplo, fallos de diseño, errores de configuración o falta de procedimientos.

Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas.

Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones organizacionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

Conviértete en un Experto en Ciberseguridad

Comienza 15 días gratis en OpenWebinars y accede cursos, talleres y laboratorios prácticos de Snort, OSINT y Metasploit para proteger tus sistemas de ataques de malware.

Registrarme ahora

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas, como, por ejemplo, debilidades en controles de seguridad o controles de seguridad inexistentes. El problema es que, en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia.

En definitiva, las amenazas son externas a los activos de información y las vulnerabilidades suelen ser atributos o aspectos del activo que la amenaza puede explotar. Si bien las amenazas tienden a ser externas a los activos, no provienen necesariamente de fuera de la organización. De hecho, la mayoría de los incidentes de seguridad de la información de hoy se originan dentro del perímetro de la organización.

Categorización de las amenazas

Las amenazas se pueden dividir en las siguientes categorías:

Criminalidad

Son todas las acciones, causado por la intervención humana, que violan la ley y que están penadas por esta. Con criminalidad política se entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil. Por ejemplo, allanamiento, sabotaje, robo/hurto, fraude, espionaje, malware, etc.

Sucesos de origen físico

Son todos los eventos naturales y técnicos, así como también eventos indirectamente causados por la intervención humana. Por ejemplo, incendio, inundación, terremoto, polvo, sobrecarga eléctrica, falta de corriente, etc.

Negligencia y decisiones institucionales

Son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionado con el comportamiento humano. Por ejemplo, falta de reglas, falta de capacitación, no cifrar datos críticos, mal manejo de contraseñas, etc.

Categorización de las vulnerabilidades

Por otro lado, las vulnerabilidades se pueden clasificar en las siguientes categorías:

Ambientales / Físicas

Como pueden ser desastres naturales, ubicación, capacidad técnica, materiales, etc.

Económica

Escasez y mal manejo de recursos. Por ejemplo, no tener recursos para gestionar una determinada tecnología de la información o un control de seguridad, supondrá una vulnerabilidad que se podría explotar debido a que no se gestiona correctamente.

Socio-educativa

Relaciones, comportamientos, métodos, conductas, etc. Esto tiene que ver con la cultura organizacional cuando se permiten actividades arriesgadas, como compartir contraseñas entre diferentes empleados.

Institucional / Política

Se refiere a procesos, organización, burocracia, corrupción, autonomía, etc.

Protege tu empresa de ataques de malware

Formaciones prácticas, avanzadas y actualizadas para que tu equipo domine las tecnologías, herramientas y procesos utilizados para proteger los datos y los activos IT/OT.

Solicitar más información

Ejemplos de amenazas y vulnerabilidades

A modo de ejemplo, podemos ver algunas categorías de amenazas y vulnerabilidades definidas por el estándar internacional ISO 27001, una norma de ciberseguridad ampliamente reconocida a nivel mundial.

Amenazas:

Acceso a la red o al sistema de información por personas no autorizadas.
Amenaza o ataque con bomba.
Incumplimiento de relaciones contractuales.
Infracción legal.
Destrucción de registros.
Desastre generado por causas humanas.
Desastre natural, incendio, inundación, rayo.
Divulgación de contraseñas.
Malversación y fraude.
Errores en mantenimiento.
Fuga de información.
Interrupción de procesos de negocio.
Código malicioso.
Contaminación.
Instalación no autorizada de software.
Acceso físico no autorizado.

Vulnerabilidades:

Interfaz de usuario complicada.
Contraseñas predeterminadas no modificadas.
Eliminación de medios de almacenamiento sin eliminar datos.
Sensibilidad del equipo a los cambios de voltaje.
Inadecuada seguridad del cableado.
Inadecuada gestión de capacidad del sistema.
Clasificación inadecuada de la información.
Falta de formación y conciencia sobre seguridad.
Inadecuada segregación de funciones.
Falta de documentación interna.
Desprotección en equipos móviles.