Aviso de mantenimiento: Se prevén interrupciones del servicio el 7 de julio de 2024 de 9 DE LA MAÑANA a 14:00 H EST.

GoAnywhere, Aspera y el problema de la transferencia de archivos autoalojada

por | Última actualización: 6 de junio de 2023

Un trío de violaciones de datos de las principales plataformas de transferencia de archivos GoAnywhere, IBM Aspera y MOVEit han puesto al descubierto el importante riesgo de emparejar tus propios servidores con servicios de transferencia de archivos de gran tamaño.

A continuación, desglosamos la naturaleza de estos incidentes, quién se vio afectado y cómo emparejar tus propios servidores con servicios de transferencia de archivos de gran tamaño puede conducir fácilmente a una mayor vulnerabilidad ante una filtración de datos, y posiblemente a algo mucho peor.

Índice de contenidos

Transferencia segura de archivos en la nube

MASV es un servicio de transferencia segura de archivos que cumple las normas ISO 27001, SOC 2 y TPN (categoría Gold Shield).

¿Qué son estas violaciones de datos? ¿Y qué relación tienen con la transferencia de archivos autoalojados?

Se descubrieron vulnerabilidades críticas tanto en IBM Aspera, GoAnywherey el software MOVEit este año.

La vulnerabilidad Aspera

El Vulnerabilidad IBM Aspera, rastreada como CVE-2022-47986, permite a usuarios no autentificados ejecutar remotamente código malicioso en servidores que ejecutan IBM Aspera. La vulnerabilidad obtuvo un índice de gravedad de 9,8 sobre 10 - o "un agujero de seguridad tan malo como se pueda tener", según La nueva pila.

Investigadores de seguridad de Centinela Uno dicen que CVE-2022-47986 fue utilizado para instalar ransomware u otro malware en los servidores de varias empresas por IceFire, un grupo criminal de piratas informáticos.

IBM advirtió de esta vulnerabilidad a finales de enero, publicando al mismo tiempo un parche para el fallo.

La vulnerabilidad de GoAnywhere

GoAnywhere, propiedad de Fortra (antes HelpSystems), experimentó recientemente un problema similar.

Una vulnerabilidad en la plataforma de GoAnywhere, rastreada bajo CVE-2023-0669, fue utilizada por el Cl0p banda de ransomware para acceder a los servidores de los usuarios de GoAnywhere e instalar un ransomware. El grupo amenazó con publicar los datos confidenciales que había recopilado si no se pagaba el rescate.

Según los medios de comunicación, alrededor de Más de 130 organizaciones se vieron afectadas, entre ellas Hitachi Energy, Saks Fifth Avenue, la ciudad de Toronto y Galderma, aunque algunas organizaciones podrían haberse visto afectadas y aún no lo saben.

Sin embargo, a diferencia de la brecha Aspera de IBM, los detalles de la brecha de GoAnywhere no se hicieron públicos hasta que el investigador de seguridad Brian Krebs informó por primera vez de los detalles del problema el 2 de febrero, después de que observara una advertencia detrás de una página de inicio de sesión de GoAnywhere.

Aunque Fortra publicó inicialmente un mitigación de la solución (que implicaba encontrar y eliminar una configuración específica de mapeo de servlets en el código) y recomendó a los administradores que auditaran sus instalaciones, la empresa publicó un parche cinco días después.

La vulnerabilidad de MOVEit

El más reciente de los tres incidentes, un vulnerabilidad en el servicio gestionado de transferencia de archivos MOVEit (CVE-2023-34362) explota una debilidad que puede proporcionar a los malos actores privilegios escalados y acceso no autorizado al entorno de usuario. La vulnerabilidad afecta tanto a los sistemas locales como a los basados en la nube, y ya se han observado indicios de explotación y exfiltración de datos.

Progress Software, la empresa matriz de Ipswitch (desarrollador de MOVEit), pidió a los usuarios que cerraran inmediatamente el tráfico de Internet al entorno de MOVEit tras descubrir el problema.

Los parches tienen ya se ha liberado por Progress. Todos los usuarios de MOVEit deberían aplicarlas de inmediato, junto con una supervisión proactiva de tu sistema en busca de indicadores de accesos no autorizados, sobre todo en los últimos 90 días.

Se requiere una actualización inmediata del software

Mientras que IBM, Fortra, y Progreso ha publicado parches para estos errores en relativamente poco tiempo, los tres infracciones fueron vulnerabilidades de día cero que podría haber durado meses antes de ser descubierto.

"Así que tienes que actualizar inmediatamente tu software al último nivel de parche para salvaguardar tus sistemas", explica el artículo de The New Stack que hemos mencionado antes. "Eso es todo, chicos".

Sencillo, ¿verdad? Pero las empresas suelen tardar semanas (o incluso meses) en aplicar parches manuales al software, si es que lo hacen. Mientras tanto, en situaciones como ésta, sus datos son profundamente vulnerables.

Controles de seguridad mejorados

Todas las transferencias MASV están encriptadas en vuelo y en reposo, y puedes establecer contraseñas personalizadas, límites de descarga y fechas de caducidad de los archivos.

Por qué la transferencia de archivos autoalojada no resolverá tus problemas de confianza

Algunas organizaciones que utilizan transferencia de archivos de gran tamaño prefieren alojar sus datos de transferencia en sus propios servidores. Esto suele deberse a una de las siguientes razones:

  • Muchas organizaciones maduras de medios de comunicación y entretenimiento (M&E) ya han invertido en servidores de datos locales. No ven viable iniciar el camino hacia la adopción de la nube sin un coste irrecuperable.
  • Tienen requisitos estrictos de soberanía de datos u otros requisitos normativos
  • No confían en que su servicio de transferencia de archivos cuide responsablemente de sus datos (lo cual es bastante justo teniendo en cuenta la número de violaciones de datos ahí fuera)

Esto último es un sentimiento común entre las empresas que se sienten más cómodas manteniendo sus datos en su propia infraestructura. Sin embargo, por desgracia, autoalojar tus datos sólo proporciona una ilusión de seguridad.

Eso es porque, al conectar varias aplicaciones de software -como GoAnywhere o Aspera- a tu sistema, invitas automáticamente el código de otras personas a tu infraestructuralo que anula las ventajas de confianza y seguridad del autoalojamiento. Y una plataforma como GoAnywhere no sólo almacena archivos multimedia en tu servidor: También almacena datos críticos como información de autenticación y registros de usuario.

No hay problema, dirás...

...La seguridad es una responsabilidad compartida entre tú y tus proveedores. Puedes reforzar tu propia seguridad.

Pero añadir más medidas de seguridad en el lado del servidor, como una red privada virtual (VPN), suele provocar una ralentización drástica en velocidades de transferencia de archivos.

Esto significa que la mayoría de los usuarios de soluciones de transferencia de archivos autoalojadas no añaden ninguna protección adicional. Están totalmente expuestos y susceptibles de sufrir una brecha si (y cuando) surgen vulnerabilidades, un poco como un ataque a la cadena de suministro impulsado por el software comprometido de los proveedores.

Si todo esto suena mal, se pone peor

Cualquier brecha en una configuración de transferencia de archivos autoalojada será inevitablemente mucho más cara, estresante y perturbadora de lo que podría haber sido de otro modo.

Las organizaciones que utilizan la transferencia de archivos autoalojada y descubren que han sufrido una violación tienen un par de opciones de respuesta.

  1. Pueden limitarse a apagar el sistema, por ejemplo, para dar tiempo al equipo informático a parchear el software y mitigar los daños. Pero eso es enormemente perjudicial si tienes cientos de usuarios, socios y empleados.
  2. También pueden intentar parchear la vulnerabilidad en un sistema activo, pero eso conlleva toda una serie de otros problemas. Sin embargo, antes de ejecutar la actualización, debes realizar un montón de otras tareas, como verificar, probar y certificar el software parcheado. Estas actualizaciones suelen ser caras y requieren un tiempo del que los departamentos informáticos pequeños sencillamente no disponen.

Ninguna de estas opciones es especialmente apetecible. ¿La buena noticia? Normalmente pueden evitarse por completo mediante un servicio de transferencia de archivos grandes que aloje tus datos por ti.

Seguridad Premium en la Nube

MASV se ejecuta en la infraestructura premium y segura de la nube de AWS.

Ventajas de la transferencia de archivos grandes alojada en la nube

Ninguna empresa o persona es inmune a las vulnerabilidades, los ciberataques o las violaciones de datos. Estos problemas potenciales pueden aplicarse a cualquier software.

La diferencia es que remediar una vulnerabilidad dentro de un servicio de transferencia de archivos grandes alojado en la nube suele ser mucho menos doloroso y no incluye apagar todoo depender de que los usuarios detecten primero el problema y luego parcheen manualmente sus versiones.

En cambio, los servicios de transferencia de archivos grandes alojados en la nube que gestionan su propia infraestructura -como MASV - puede parchear cualquier vulnerabilidad en cuestión de minutos para todos sus usuarios, con una interrupción mínima o nula. Todos los clientes reciben automáticamente la última actualización sin ningún esfuerzo por su parte.

MASV y AWS: Una solución de transferencia de archivos más segura

un portátil se utiliza discretamente para compartir archivos de forma segura

Aunque MASV facilita integraciones con la mayoría de las principales plataformas de almacenamiento en la nubenuestro principal proveedor de servicios en la nube es AWS.

Seremos francos: Si se produjera una brecha similar en AWS, afectaría a los clientes de MASV.

Sin embargo, una diferencia clave es que es mucho, mucho más difícil vulnerar AWS que un servidor local aleatorio. AWS aloja un montón de datos sensibles, incluso para el Departamento de Defensa de EE.UU., y realiza regularmente inversiones masivas en seguridad para proteger a sus clientes.

También es muy probable que estemos en mejores condiciones de proteger tus datos de transferencias de archivos grandes que un equipo informático interno, que probablemente tenga un millón de cosas más importantes que hacer, y puede que no sean expertos en las mejores prácticas de seguridad en la nube.

En MASV, somos expertos en seguridad en la nubey construimos nuestro software con una metodología de seguridad nivelada al frente y en el centro:

1. Cumplimiento y certificaciones

Las auditorías de seguridad de terceros y las certificaciones de organizaciones líderes ayudan a validar nuestra postura de seguridad.

  • MASV cuenta con la certificación ISO 27001, una norma internacional de seguridad de la información que respeta las mejores prácticas y principios de seguridad de la información.
  • También hemos alcanzado la conformidad SOC 2 Tipo II, de acuerdo con el Instituto Americano de Contables Públicos Certificados (AICPA). SOC 2 garantiza que los proveedores de servicios externos almacenan y procesan los datos de los clientes de forma segura.
  • MASV también es miembro de la lista de proveedores de Trusted Partner Network (TPN) tras someterse a una rigurosa evaluación de seguridad por parte de terceros para garantizar el cumplimiento de las normas de TPN. Recientemente hemos pasado de la categoría de Escudo Azul a la de Escudo de Oro. La TPN es una iniciativa mundial de protección de contenidos de cine y televisión propiedad de la Motion Picture Association (MPA) y gestionada por ella.

Además, cumplimos el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) de Canadá.

2. Seguridad de la cadena de suministro de software

MASV siempre mantiene una protección adecuada del código mediante un estricto proceso de gestión de cambios, independientemente de que utilicemos código propio o de terceros de código abierto. Ningún desarrollador de MASV tiene poder para desplegar cambios de código unilateralmente, y cada cambio de código debe seguir un proceso de aprobación bien documentado en el que participan desarrolladores de nivel superior. Además, todos los cambios de código se revisan automáticamente para detectar vulnerabilidades y regresiones.

3. Garantías de los empleados

MASV utiliza un estricto conjunto de salvaguardias para los empleados, que incluyen formación obligatoria y periódica sobre concienciación en materia de seguridad, controles de acceso de mínimo privilegio y supervisión de los puntos finales.

4. Proteger los datos de los clientes

MASV dispone de barandillas internas y externas para proteger los datos de los clientes. Internamente, desplegamos múltiples salvaguardas para impedir el acceso sin la debida autorización, como el acceso menos privilegiado, además de revisiones y auditorías periódicas de acceso. Todas las solicitudes de acceso interno elevado generan alertas automáticas que requieren una justificación obligatoria.

Nuestra infraestructura global en la nube se basa en AWS e incluye refuerzos integrados para evitar el despliegue de recursos abiertos al público, como buckets S3 con fugas. Y, por si acaso, nuestra supervisión externa garantiza que estos refuerzos nunca se desactiven.

A nivel de producto, proporcionamos múltiples controles de seguridad que permiten a nuestros clientes proteger aún más sus datos de accesos no autorizados, como la caducidad automática de las transferencias de archivos, los límites de acceso y los controles de acceso de los usuarios, como la protección mediante contraseña y Inicio de sesión único (SSO). MASV admite SSO con autenticación basada en SAML, lo que refuerza su postura de seguridad al reducir el número de intentos de inicio de sesión necesarios. Después de todo, cada intento de inicio de sesión en cualquier aplicación es una oportunidad potencial para que los hackers obtengan acceso.

MASV también admite autorización multifactor (AMF) utilizando aplicaciones de autenticación como Authy y Google Authenticator. Pronto ampliaremos nuestras opciones de MFA para incluir también inicios de sesión con claves de seguridad de hardware.

La AMF protege contra los ataques de apropiación de cuenta verificando la identidad de un usuario que intenta acceder a su cuenta. Para ello, solicita otras credenciales además del nombre de usuario y la contraseña.

Transferencia de Archivos Autoalojada: La realidad

La fría y dura realidad de transferencia de archivos autoalojada es que no es tan segura como puede parecer.

Eso es porque los servidores autoalojados son tan seguros como las aplicaciones que se ejecutan en ellos. Y al conectar a tu sistema aplicaciones de software como las de transferencia de archivos, estás invitando automáticamente al código (y al riesgo) de terceros a tu infraestructura.

En caso de que surja una vulnerabilidad importante, primero tendrás que darte cuenta del problema, encontrar un parche y, a continuación, parchear y actualizar manualmente tu versión (normalmente teniendo que apagar el sistema mientras tanto).

Soluciones de transferencia de archivos alojadas en la nube, como MASVen cambio, no tienen estos problemas. Aunque nadie es totalmente inmune a los problemas de ciberseguridad, los servicios alojados en la nube gestionan su propia infraestructura y pueden parchear vulnerabilidades para todos los usuarios en cuestión de minutos, sin apenas interrupciones.

Regístrate para MASV hoy mismo y prueba nuestra transferencia de archivos grandes segura y conforme a las normas.

Comparte archivos con MASV

Consigue 20 GB gratis para usar con el servicio de transferencia de archivos grandes más rápido y seguro que existe hoy en día, MASV.