Una infracción no necesariamente comienza en el día cero. Los paneles de administración expuestos pueden estar sujetos a ataques de fuerza bruta y las credenciales de ataques anteriores pueden reutilizarse. Pero cuando surge una vulnerabilidad, como MongoBleed de principios de este año, que permite a un atacante obtener credenciales o tokens de sesión de la memoria del servidor sin autenticación, cualquier cosa conectada a Internet está inmediatamente en riesgo.
Ahora que el tiempo de explotación se ha reducido a un día, la cuestión no es sólo qué tan rápido se puede parchear. Por eso el servicio quedó expuesto en primer lugar.
El equipo de Intruder analizó 3000 superficies de ataque para descubrir qué parte de la superficie de ataque de una organización típica contiene servicios que no tienen razón para estar allí. Agrupamos nuestros hallazgos en cuatro categorías: paneles HTTP, puertos y servicios peligrosos, bases de datos y archivos e información de acceso público.
Los resultados completos, incluidos los desgloses por tamaño de empresa e industria, se pueden encontrar en el Índice de gestión de superficies de ataque de 2026.
¿Qué tan extendido está el problema?
El 60% de las organizaciones expusieron al menos un panel HTTP (consola de administración, interfaz de usuario de administración, página de inicio de sesión para herramientas internas que son visibles públicamente independientemente del negocio). Casi la mitad (49%) expuso un puerto o servicio peligroso. El 42% disponía de una base de datos directamente accesible desde Internet. El 30% tenía archivos o información a los que no debería ser accesible públicamente, como documentación de API, archivos de configuración o datos que no deberían ser detectables.
10 exposiciones más comunes
Estas son las exposiciones de superficies de ataque más comunes que han afectado a las organizaciones durante los últimos 12 meses.
Publicación de la base de datos MySQL: 26 % Publicación de la base de datos Postgres: 16 % Publicación de la documentación API: 15 % Publicación del panel de administración de WordPress: 15 % Publicación del servicio de escritorio remoto: 11 % Publicación del servicio SNMP: 9 % Publicación del panel de administración phpMyAdmin: 8 % Publicación del servicio UPnP: 8 % Publicación del servicio NTP: 7 % Publicación del servicio portmapper RPC — 7%
La base de datos domina las dos primeras posiciones
Las bases de datos expuestas ocupan los dos primeros lugares, con más de una cuarta parte de las organizaciones exponiendo MySQL y Postgres, y una de cada seis personas afectadas. Las bases de datos conectadas a Internet han sido durante mucho tiempo el objetivo de ataques oportunistas. La campaña de ransomware PLEASE_READ_ME de 2020 comprometió más de 250.000 bases de datos MySQL mediante la fuerza bruta de credenciales débiles. MongoDB y Elasticsearch también enfrentan el mismo problema.
La documentación API es más pública que RDP
La documentación API ocupa el tercer lugar, por delante de RDP. Esto me sorprendió. Aunque parte de la documentación de API es intencionalmente pública, las organizaciones a menudo pasan por alto la documentación asociada con API privadas o administradas que no estaban destinadas a ser descubiertas. La documentación de API pública puede convertir vulnerabilidades esquivas en rutas de ataque documentadas.
RDP sigue siendo un punto de entrada para el ransomware
RDP en quinto lugar es preocupante dado su historial de uso como vector de acceso inicial para ataques de ransomware. BlueKeep en 2019 dejó casi 1 millón de sistemas abiertos a la explotación inmediata. La adivinación de credenciales en RDP expuesto es una de las formas más confiables para que los operadores de ransomware puedan ingresar.
El resto de la lista no estaba destinado a conectarse a Internet.
El resto de la lista (SNMP, UPnP, NTP, RPC) son servicios heredados diseñados para redes internas que no están destinadas a conectarse a Internet.
Obtenga los hallazgos completos
La mayoría de los equipos consideran la aplicación de parches como una prioridad. Pero para muchas de las cosas en esta lista, como bases de datos, paneles de administración y servicios tradicionales, la pregunta es más bien por qué son accesibles en primer lugar. Aquí es donde la reducción de la superficie de ataque se vuelve importante, pero para la mayoría de las organizaciones, la reducción de la superficie de ataque recibe menos atención que la gestión de vulnerabilidades.
Los resultados completos, incluidos los desgloses por tamaño de empresa e industria, se pueden encontrar en el Índice de gestión de superficies de ataque de 2026.
Source link
