Hoy no explicaremos las funciones de estas, sino como los hackers pueden evadir las barreras que proporcionan los firewalls para entrar en nuestra red, y así concienciaros de
“la necesidad imperativa de la ciberseguridad gestionada.”
Normalmente, en el mejor de los casos, nuestras empresas cuentan con firewalls y endpoints actualizados, algo esencial para la seguridad de cualquier infraestructura de red, pero no es suficiente frente a las amenazas avanzadas y dinámicas del panorama actual. Herramientas como MDR (Managed Detection and Response) complementan y potencian estas defensas tradicionales al proporcionar una capa adicional de protección proactiva.
Un firewall actúa principalmente como un mecanismo reactivo, controla y filtra el tráfico entrante y saliente según reglas predefinidas, bloquea ataques conocidos, registra actividades y eventos e incluso limita la capacidad de conexiones simultaneas para evitar ataques de Dos o DDoS.
“Esto esta genial, sí, menos es nada, pero pueden evadirlo de diferentes formas.”
Los ataques modernos, como el ransomware, la exfiltración de datos y las amenazas persistentes avanzadas (APT), están diseñados para evadir los firewalls y otras medidas tradicionales. Aunque el firewall puede bloquear ciertos intentos de intrusión, no ofrece capacidades avanzadas de respuesta ante incidente.
No entraremos en la parte más técnica, un firewall se puede evadir de varias formas que explicaré a continuación:
- Utilizando tráfico legitimo o cifrado, encapsulando tráfico malicioso dentro de protocolos comúnmente permitidos, como HTTP, HTTPS, DNS, … o utilizando canales cifrados para ocultar la naturaleza de su tráfico malicioso, haciendo difícil que el firewall inspeccione los datos.
- Ingeniería social como el famoso phishing, donde los usuarios que son el principal vector de ataque a los que engañan para que ejecuten aplicaciones maliciosas o compartan credenciales, lo que puede permitir acceso directo a la red interna.
- Ataques desde el interior, donde los atacantes pueden comprometer equipos dentro de la red, lo que permite iniciar ataques desde un punto donde el Firewall no supervisa estrictamente, generando backdoors o puntos de acceso permanentes.
“Imagínate, no darte cuenta de que han entrado en tu servidor, generan una backdoor en el código de un proceso nativo de tu Windows Server, que no se manifiesta ni genera conexiones con ningún servidor remoto en 3 meses, y mientras tú, haciendo copias de Seguridad con ese archivo sin saberlo”
- Fragmentación de paquetes para dividir el tráfico malicioso en pequeños paquetes para que no sean reconocidos como una amenaza al pasar por el firewall.
- Utilizar servicios de VPN o proxies para ocultar su ubicación y evadir restricciones geográficas o políticas de acceso configurades en el firewall.
- DNS Tunneling y mucho más…
Estas técnicas muestran por qué es esencial una defensa en profundidad combinando firewalls con otras herramientas de seguridad, como sistemas de detección de intrusiones, análisis continuo del tráfico y acciones forenses.
En la mayoría de las empresas no es posible dedicar recursos para tener un equipo de profesionales de la ciberseguridad analizando tráfico las 24 horas del día, de ahí que delegar esta responsabilidad a la ciberseguridad gestionada como servicio, sea una de las mejores opciones en el panorama actual.
“Seguros al 100% no lo estaremos, pero no lo pongamos fácil”