Tres de cada cuatro empresas no cuentan con procesos para la gestión de llaves SSH que proveen acceso a servidores críticos.

Muchas compañías se encuentran peligrosamente expuestas a amenazas como la recientemente revelada Mask Advanced Persistent Threat (también conocida como Careto)  pues no gestionan apropiadamente las llaves criptográficas de Secure Shell (SSH) utilizadas para autenticar accesos a sistemas internos y servicios críticos.

De acuerdo a una encuesta realizada por el Instituto Ponemon a más de 2100 administradores de sistemas de 2 mil compañías en el mundo, descubrieron que tres de cada cuatro empresas son vulnerables a ataques a nivel root en sus sistemas, debido a fallas en el aseguramiento de llaves SSH.

Pese a que más de la mitad de las empresas encuestadas sufrieron ataques relacionados con llaves SSH, 53% dijo que aún no cuentan con un control centralizado de llaves; 60% dijo que no tienen forma de detectar nuevas llaves introducidas en sus organizaciones. Alrededor de 46% dijo que nunca cambian o rotan las llaves SSH, incluso aunque estas nunca expiran.

Tales hallazgos revelan una brecha significativa en los controles de seguridad en las empresas, dijo Larry Ponemon, fundador y director ejecutivo (CEO) del Instituto Ponemon. "Es difícil de creer que las compañías se permitan a sí mismas este nivel de inseguridad. Esta vulnerabilidad no tendría que ser, incluso, una vulnerabilidad", agregó.

Las llaves SSH permiten a los administradores iniciar sesión remotamente y operar sistemas a través de un canal de cifrado seguro. Los administradores usan tales llaves para obtener acceso a sistemas de bases de datos críticos, servidores de aplicación, sistemas en la nube y de seguridad. Las llaves SSH se utilizan también para autenticar equipos que corren procesos y servicios automatizados y para proteger datos en tránsito.

Las llaves SSH nunca expiran, lo que significa que una vez utilizada una llave para obtener acceso a un sistema, esta misma puede ser utilizada indefinidamente hasta que se cambie. Un hacker que obtenga una llave SSH insegura puede utilizarla para obtener acceso al servidor o servicio al que se encuentra ligada y posteriormente usar ese acceso para tratar de encontrar más llaves que le permitan entrar a otros sistemas en la red.

Debido a que las llaves SSH proveen acceso cifrado a nivel administrador a los sistemas organizacionales, un atacante puede obtener control completo a un sistema a través de una llave comprometida y permanecer oculto a la vista.

SSH usa un par de llaves de cifrado que permiten mantener una conexión segura entre dos sistemas. Una llave es para el servidor y la otra para el dispositivo del cliente que requiere acceso al servidor. Una organización puede tener una gran cantidad de llaves SSH para el acceso a un solo servidor.

Las grandes empresas pueden tener decenas de miles de llaves SSH en su red, muchas de las cuales se encuentran mal gestionadas, dijo Kevin Bocek, vicepresidente de marketing de productos e investigación de amenazas del proveedor de seguridad Venafi, quien solicitó la realización de la encuesta a Ponemon.

Las empresas a menudo tienen poco conocimiento acerca de la presencia de tales llaves en sus redes y por lo tanto hacen poco por gestionarlas.