Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad

Cuando los intrusos quieren irrumpir en un establecimiento, buscan una entrada. Un puerto abierto es una de las aperturas que un hacker o actor de amenazas busca para acceder a una red digital. Ese puerto abierto puede estar en un firewall, un servidor o cualquier dispositivo informático conectado a la red. Así como una sola puerta sin cerrar puede poner en peligro tu privacidad y permitir el acceso a un edificio físico, un solo puerto abierto puede proporcionar un punto de entrada para que los hackers vulneren tus sistemas, exponiéndote a sus intenciones maliciosas.

A continuación, compartimos los puertos más vulnerables y las estrategias de seguridad críticas para protegerse contra ellos.

Visión general de las vulnerabilidades de puertos abiertos

Un puerto abierto dentro de su red es una vulnerabilidad. Proporciona un punto de entrada potencial para el acceso no autorizado que puede eludir sus cortafuegos u otras medidas de seguridad y obtener acceso a su red. Una vez dentro, pueden lanzar los ataques que deseen o realizar reconocimiento para aprender más sobre su organización y cómo explotarla. Los puertos abiertos representan un riesgo significativo de security risk y deberían ser una alta prioridad para la gestión de la seguridad.

Importancia de asegurar los puertos abiertos

Para reducir su vulnerabilidad a los ataques, debe disminuir su superficie de ataque. Puede hacer esto reduciendo el número de puertos abiertos en sus sistemas. Por ejemplo, permitir conexiones externas del Protocolo de Escritorio Remoto (RDP, puerto 3389) puede proporcionar a los usuarios legítimos acceso fuera de las instalaciones a su red corporativa. Aun así, presenta una oportunidad para que los actores de amenazas busquen puertos RDP abiertos para explotar activamente.

¿Qué son los puertos?

Definición y propósito

Un puerto puede considerarse como una puerta virtual que acomoda el tráfico de red hacia servicios y aplicaciones específicos. Un número único identifica cada puerto para diferenciarse. Estos puertos pueden ser gestionados por administradores asignados que pueden abrirlos o cerrarlos para permitir o bloquear ciertos tipos de tráfico. Por ejemplo, el tráfico web depende de los puertos 80 y 443. Si tienes un servidor que aloja una aplicación web para usuarios externos, necesitas abrir estos puertos para concederles acceso. Todos los puertos no utilizados deben estar cerrados.

Tipos de puertos: TCP y UDP

Los protocolos de transporte más comunes con números de puerto son el Protocolo de Control de Transmisión (TCP) y el Protocolo de Datagramas de Usuario (UDP). Los programas y servicios están diseñados para usar TCP o UDP y se les asigna un número de puerto designado.

• TCP es un protocolo orientado a la conexión con retransmisión y recuperación de errores incorporados. TCP suele ser un protocolo más confiable.
• UDP es un protocolo sin conexión que no recupera ni corrige errores en los mensajes. Se le conoce como el protocolo de mejor esfuerzo.

Estados de los puertos

Los puertos TCP y UDP se encuentran en uno de estos tres estados dependiendo de sus necesidades:

• Abierto — El puerto responde a las solicitudes de conexión.
• Cerrado — El puerto no es accesible, lo que indica que no hay ningún servicio correspondiente en funcionamiento.
• Filtrado — El firewall monitorea el tráfico y bloquea solicitudes de conexión a puertos específicos.

Riesgos de seguridad vinculados a puertos abiertos

Los actores de amenazas utilizan puertos abiertos para llevar a cabo ataques y explotar vulnerabilidades. A continuación, compartimos algunos exploits y ataques comunes que los actores maliciosos aprovechan, y luego detallamos dos ataques famosos a través de vulnerabilidades de puertos abiertos.

Explotaciones y ataques comunes

• Una conexión RDP abierta puede utilizarse para lanzar un ataque de relleno de credenciales para acceder a un servidor o entregar una carga útil de ransomware.
• Un ataque de Denial of service (DoS) envía múltiples solicitudes de conexión desde varias máquinas para interrumpir un servicio en particular. Un ejemplo típico sería dirigirse a los puertos web de un servidor web para consumir su ancho de banda y recursos, impidiendo que los usuarios legítimos accedan al servicio.
• Los puertos de servicios web son comúnmente utilizados como puntos de entrada para lanzar ataques como inyección SQL y falsificación de solicitud en sitios cruzados para explotar vulnerabilidades dentro de las propias aplicaciones.
• Los ataques de intermediario pueden utilizarse para intervenir el tráfico de datos no cifrados de puertos conocidos para recopilar información sensible. Un ejemplo es la redirección del tráfico de datos para interceptar el tráfico de correo electrónico.

Estudios de caso: WannaCry, RDP Pipe Plumbing

Uno de los ataques más famosos fue el ataque de WannaCry Ransomware lanzado en 2017. El ataque se llevó a cabo a nivel mundial, afectando a más de 300,000 computadoras en 150 países. El ataque explotó una vulnerabilidad en el protocolo SMB en el puerto 445. Una vez que los atacantes se infiltraron en la organización, cifraron sus archivos y exigieron un pago de rescate.

RDP Pipe Plumbing es una vulnerabilidad en el Remote Desktop Protocol que explota tuberías con nombre de Windows. Los atacantes apuntan al puerto RDP 3389 para crear instancias falsas de servidor de tuberías con el mismo nombre que las legítimas. Luego utilizan estas tuberías falsificadas para interceptar las comunicaciones entre los clientes y servidores RDP. Este ataque de intermediario permite el acceso no autorizado a datos sensibles, incluyendo el contenido del portapapeles y las transferencias de archivos.

Puertos vulnerables y sus riesgos

A continuación se presenta una lista de vulnerabilidades de puertos abiertos. Lea para aprender cuáles son más susceptibles a la explotación.

Vulnerabilidades del puerto 21 (FTP)

El Protocolo de Transferencia de Archivos (FTP) tiene asignado el puerto 21. FTP permite a los usuarios enviar y recibir archivos en una transmisión no cifrada hacia y desde servidores. FTP se considera obsoleto e inseguro y no debería utilizarse para ninguna transferencia de archivos, especialmente datos sensibles, ya que puede ser explotado fácilmente utilizando cualquiera de los siguientes métodos:

• Fuerza bruta de contraseñas
• Autenticación anónima (es posible iniciar sesión en el puerto FTP con “anonymous” como nombre de usuario y contraseña)
• Cross-site scripting
• Ataques de traversal de directorios
• Ataque de intermediario

Vulnerabilidades del puerto 22 (SSH)

El puerto 22 se utiliza comúnmente para conexiones Secure Shell. Se prefiere sobre Telnet porque la conexión está cifrada. A menudo utilizado para la gestión remota, el puerto 22 es un puerto TCP para garantizar el acceso remoto seguro. A pesar de su seguridad mejorada, todavía sufre de algunas vulnerabilidades básicas:

• Claves SSH filtradas. Si las claves SSH no están correctamente aseguradas, pueden ser accedidas por un atacante para obtener entrada sin tener la contraseña requerida.
• Fuerza bruta de credenciales. Los puertos SSH abiertos son fácilmente descubribles, permitiendo a los atacantes adivinar combinaciones de nombre de usuario y contraseña.

Vulnerabilidades del puerto 23 (Telnet)

Telnet es un protocolo TCP que utiliza el puerto 23. Se conecta a dispositivos remotos que utilizan interfaces de línea de comandos como conmutadores, enrutadores y servidores. Al igual que FTP, Telnet no está cifrado, está desactualizado y se considera inseguro. Ha sido reemplazado por SSH. Algunas de sus vulnerabilidades comunes incluyen:

• Fuerza bruta de credenciales. Los atacantes explotan vulnerabilidades de puertos abiertos para lanzar intentos de inicio de sesión repetidos contra servicios expuestos, intentando obtener acceso no autorizado mediante la adivinación de credenciales.
• Spoofing and credential sniffing. Open ports can expose services to attackers who exploit them to intercept and steal credentials, often by posing as legitimate entities during data transmission.

Vulnerabilidades del puerto 25 (SMTP)

El puerto 25 es utilizado por el Protocolo Simple de Transferencia de Correo (SMTP) para enviar y recibir correos electrónicos. SMTP fue desarrollado cuando la ciberseguridad no era una preocupación significativa, por lo que puede ser fácilmente explotado sin soluciones de seguridad de terceros. Sin una configuración y protección adecuadas, este puerto TCP es vulnerable a amenazas tales como:

• Suplantación de identidad. Los atacantes pueden falsificar las cabeceras de los correos electrónicos para hacer que los mensajes parezcan provenir de una fuente confiable.
• Spamming. Los servidores SMTP sin protección pueden ser explotados para enviar grandes volúmenes de correos electrónicos no solicitados, a menudo sobrecargando sistemas y propagando malware.
• Man-in-the-middle, especialmente cuando el correo electrónico se envía en texto claro.

Vulnerabilidades del puerto 53

El puerto 53 se utiliza para el Sistema de Nombres de Dominio (DNS), que traduce nombres de dominio legibles por humanos como facebook.com o linkedin.com en direcciones IP. DNS es esencial para el tráfico de internet y opera utilizando tanto UDP como TCP para consultas y transferencias, respectivamente. Este puerto es particularmente vulnerable a ataques de denegación de servicio distribuido (DDoS), donde los atacantes sobrecargan el servidor DNS con una avalancha de solicitudes, lo que potencialmente puede interrumpir el servicio.

• Ataques DDoS. Estos son ataques comunes en los que los atacantes intentan sobrecargar el servidor con grandes volúmenes de paquetes para causar la interrupción del servicio. Este vector de ataque tiene algunas variantes, DDoS (denegación de servicio distribuido) y ataques de amplificación DNS.

Vulnerabilidades de los puertos 137 y 139 (NetBIOS sobre TCP) y 445 (SMB)

Los puertos 137 y 139 (NetBIOS sobre TCP) y 445 (SMB) se asocian comúnmente con el intercambio de archivos y la comunicación en red en entornos Windows. Sin embargo, también son conocidos por ser vulnerables a varias amenazas de seguridad:

• Explotación de EternalBlue. Este ataque se aprovecha de las vulnerabilidades de SMBv1 en versiones antiguas de computadoras Microsoft. Se hizo muy conocido después del ataque de ransomware WannaCry lanzado a escala global en 2017.
• Captura de hashes NTLM. Los atacantes pueden interceptar y capturar hashes NTLM y utilizarlos para autenticarse como usuarios legítimos.
• Fuerza bruta en credenciales de inicio de sesión SMB. Los atacantes pueden intentar obtener acceso probando sistemáticamente diferentes combinaciones de nombre de usuario y contraseña hasta encontrar las credenciales correctas.

Vulnerabilidades de los puertos 80, 443, 8080 y 8443 (HTTP y HTTPS)

Cualquiera que haya visitado una página web ha utilizado los protocolos HTTP o HTTPS en su navegador web. Como se mencionó, los puertos web son comúnmente atacados por atacantes por muchos tipos de ataques, incluyendo:

• Cross-site scripting. Los atacantes inyectan scripts maliciosos en páginas web y aplicaciones para robar cookies, tokens o datos.
• Inyecciones SQL. Los atacantes insertan código SQL malicioso en campos de entrada para manipular una base de datos.
• Falsificadores de solicitudes entre sitios.Un atacante explota la confianza entre el navegador web de un usuario y una aplicación web para engañar al usuario y hacer que realice acciones en un sitio web sin su conocimiento o consentimiento.
• Ataques DDoS

Vulnerabilidades de los puertos 1433, 1434 y 3306 (Utilizados por bases de datos)

Estos son los puertos predeterminados para SQL Server y MySQL. Se utilizan para realizar una variedad de acciones maliciosas, incluyendo:

• Distribución de malware. Los atacantes utilizan puertos abiertos para infiltrarse en una red, distribuyendo software malicioso que puede comprometer sistemas, robar datos o dañar la infraestructura.
• Escenarios de DDoS. Las vulnerabilidades de puertos abiertos se explotan para sobrecargar los servicios con tráfico masivo en ataques de Denegación de Servicio Distribuido (DDoS), lo que hace que los sistemas sean inutilizables.
• Encuentre bases de datos desprotegidas con configuraciones predeterminadas explotables. Los puertos abiertos pueden exponer bases de datos con configuraciones débiles o predeterminadas, permitiendo a los atacantes explotarlas eficientemente para obtener acceso no autorizado y manipular o robar información sensible.

Vulnerabilidades del puerto 3389 (Escritorio Remoto)

• Las vulnerabilidades del Protocolo de Escritorio Remoto exponen a RDP a ataques de fuerza bruta y ataques de intermediario.

• La vulnerabilidad BlueKeep (CVE-2019-0708) es una vulnerabilidad de RDP encontrada en sistemas operativos antiguos de Microsoft como Windows 7 y Windows Server 2008. BlueKeep puede ser explotada para propagar malware a través de una organización sin intervención del usuario.

Pasos para asegurar puertos abiertos

Prefiera puertos encriptados sobre los no encriptados

La mayoría de los servicios regulares utilizados en un entorno basado en IP ahora tienen una versión encriptada del protocolo original en texto plano. Una buena práctica es cambiar a la versión encriptada para evitar cualquier fuga de datos mientras la información se transmite a través de los cables.

Parcheo y actualizaciones regulares

La aplicación de parches mantiene sus sistemas y cortafuegos actualizados. Los proveedores lanzan regularmente parches que reparan vulnerabilidades y defectos en sus productos que los ciberdelincuentes podrían utilizar para obtener acceso completo a sus sistemas y datos.

Herramientas de escaneo de puertos

También debería escanear y revisar sus puertos regularmente. Hay tres maneras principales de hacer esto:

• Herramientas de línea de comandos. Si tiene tiempo para escanear y verificar puertos manualmente, utilice herramientas de línea de comandos para detectar y escanear puertos abiertos. Ejemplos incluyen Netstat y Network Mapper, que puede instalar en varios sistemas operativos, incluidos Windows y Linux.
• Escáneres de puertos.Si desea resultados más rápidos, considere usar un escáner de puertos. Un programa informático verifica si los puertos están abiertos, cerrados o filtrados. El proceso es simple: El escáner envía una solicitud de red para conectarse a un puerto específico y captura la respuesta.
• Herramientas de escaneo de vulnerabilidades. Las herramientas de escaneo de vulnerabilidades son aplicaciones automatizadas que identifican e inventarían activos de TI, como servidores, escritorios y dispositivos de red, para detectar debilidades de seguridad. Escanean en busca de vulnerabilidades conocidas que surgen de configuraciones erróneas o programación defectuosa. Los resultados de estos escaneos proporcionan información valiosa sobre el nivel de riesgo de una organización y pueden utilizarse para recomendar estrategias de mitigación efectivas.

Monitoreo de cambios en la configuración del servicio

Mantenerse al tanto de cualquier cambio de configuración realizado en sus servidores, cortafuegos, conmutadores, enrutadores y otros dispositivos de red es importante, ya que estos cambios pueden introducir vulnerabilidades. Dichas modificaciones pueden ocurrir accidentalmente o intencionalmente. Utilizando Netwrix Change Tracker, puede fortalecer sus sistemas rastreando cambios no autorizados y otras actividades sospechosas. En particular, proporciona las siguientes funcionalidades:

• Alertas prácticas sobre cambios de configuración
• Grabación automática, análisis, validación y verificación de cada cambio
• Monitoreo de cambios en tiempo real
• Monitoreo constante de vulnerabilidades de aplicaciones

Utilizando sistemas de detección y prevención de intrusiones (IDP e IPS)

IDS monitorea el tráfico de la red en busca de signos de actividad sospechosa o amenazas conocidas, mientras que IPS va un paso más allá y bloquea las amenazas detectadas. Ambos pueden prevenir explotaciones comunes que apuntan a puertos abiertos, incluyendo inyecciones SQL, ataques DDoS y otras amenazas cibernéticas.

Implementación de claves SSH

Las claves SSH son menos vulnerables a ataques de fuerza bruta, phishing y errores humanos. Estas claves cifradas eliminan la necesidad de que los usuarios recuerden e introduzcan contraseñas, reduciendo así la probabilidad de acceso no autorizado a través de puertos abiertos. Hay dos tipos de claves SSH:

• Claves privadas o de identidad, que identifican a los usuarios y les otorgan acceso
• Claves públicas o autorizadas, que determinan quién puede acceder a su sistema

Realización de pruebas de penetración y evaluaciones de vulnerabilidad

Las pruebas de penetración y las evaluaciones de vulnerabilidad deben utilizarse para detectar vulnerabilidades en la infraestructura de TI, aunque cada una utiliza un enfoque diferente. Una prueba de penetración (una prueba de pen) es realizada por un profesional de seguridad que simula un ciberataque en un sistema informático o red para identificar y explotar vulnerabilidades. Muestra cómo un ataque podría infiltrarse activamente en su red. Por otro lado, una evaluación de vulnerabilidad es un escaneo automatizado que identifica y prioriza las vulnerabilidades conocidas. Juntas, pueden proporcionar un resumen integral de las vulnerabilidades de su puerto.

Mejores prácticas para la seguridad de puertos

• Evaluando superficies de ataque externas. Debe evaluar regularmente la exposición de su red a amenazas externas identificando y asegurando los puertos abiertos que un atacante podría explotar. Asegúrese de que cada puerto abierto sea necesario. Cierre inmediatamente los puertos asociados con aplicaciones o servicios obsoletos.
• Monitoreo continuo para riesgos emergentes. Implemente un monitoreo extenso y constante para detectar nuevas vulnerabilidades y amenazas asociadas con puertos abiertos. Proceda con una respuesta y mitigación oportunas cuando sea necesario.
• Evaluando el rendimiento de los puertos abiertos. Revise y evalúe regularmente la seguridad y funcionalidad de todos los puertos abiertos. Asegúrese de que los puertos abiertos estén adecuadamente mapeados a sus objetivos internos designados y que se aplique el principio de mínimo privilegio a todos los recursos aplicables.
• Adherirse a un calendario de parches constante.El parcheo regular puede generar grandes dividendos en seguridad. Asegúrese de que todos los parches relacionados con la seguridad se implementen inmediatamente después de su lanzamiento.
• Servicios mal configurados, sin parches y vulnerables. Los sistemas sin parches o mal configurados pueden llevar a un sistema comprometido. Verifique que todas las configuraciones sigan las mejores prácticas de seguridad. Implemente un sistema de monitoreo para alertar a su personal de soporte de red cuando ocurra un cambio de configuración.

Conclusión

Los puertos abiertos son como una espada de doble filo. Por un lado, son esenciales para las operaciones comerciales para habilitar páginas web, aplicaciones y servicios. Por otro lado, presentan oportunidades para que los actores de amenazas se infiltren y exploten su red. Esto hace que la gestión y el monitoreo de los puertos abiertos sea un aspecto crítico de la seguridad de la red y no puede ser exagerado. Su organización debería tener una política que describa los procedimientos para asegurar todos los puertos abiertos y garantizar que todos los sistemas y software se actualicen regularmente. Los puertos inseguros como Telnet y FTP deberían ser depreciados y reemplazados con soluciones modernas que utilicen tecnologías seguras modernas. Realice evaluaciones regulares para asegurarse de que todos los puertos abiertos sean necesarios y confirmar que las configuraciones se adhieran a las mejores prácticas. Recuerde que a medida que la tecnología evoluciona, sus requisitos de puerto también cambiarán. Con la estrategia y el enfoque adecuados, sus puertos abiertos pueden seguir siendo activos de trabajo en lugar de vulnerabilidades que exponen su negocio a un mayor riesgo.