El pasado 10 de junio, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) lanzó la Directiva Operativa Vinculante (BOD) 26-04, enfocada en priorizar las actualizaciones de seguridad en función del riesgo asociado, junto con una guía para su implementación. Esta iniciativa surge como respuesta a la creciente presencia de vulnerabilidades detectadas y la aceleración en los tiempos de corrección, influenciada por el impacto de la inteligencia artificial, que permite a los actores maliciosos explotar rápidamente las brechas de seguridad.
Aunque la directiva está dirigida específicamente a las agencias federales de Estados Unidos, el director interino de CISA, Nick Anderson, ha recomendado que otros socios y entidades del sector adopten políticas similares para la gestión de vulnerabilidades, dada la gravedad del panorama actual.
La BOD y su guía de aplicación se aplican a los activos de las agencias federales dentro de sistemas de información federales, definidos como aquellos que recogen, procesan, almacenan, transmiten o gestionan información del gobierno. Aunque la obligación recae en estas agencias, los contratistas que operan sistemas federales deben estar atentos a su implementación, ya que podría requerirse adaptar contratos para cumplir con la directiva, reflejándose también en futuras exigencias de proveedores en la nube y estándares como FedRAMP.
Entre los principales requisitos que impone la directiva a las agencias está la actualización de sus políticas de gestión de vulnerabilidades para incluir procesos claros y continuos, especialmente para las vulnerabilidades catalogadas como “explotadas y conocidas” (KEV, por sus siglas en inglés), además de definir roles, validar el cumplimiento y establecer procedimientos internos para seguimiento y reporte.
Adicionalmente, se mantiene la obligación de realizar escaneos de higiene cibernética periódicos, actualizando trimestralmente las direcciones IP y nombres de dominio expuestos públicamente, y se establecen plazos estrictos para la mitigación de vulnerabilidades, que oscilan entre 3 y 60 días según el nivel de riesgo identificado.
More Read
La directiva también introduce medidas para la gestión continua de activos, incluyendo la identificación y etiquetado constante de todos aquellos que puedan ser accesibles externamente mediante una dirección IP pública. Esto responde a la necesidad de un control más riguroso sobre la superficie de ataque de las agencias.
Para establecer las prioridades en la remediación, el documento considera cuatro factores clave: exposición pública del activo, si la vulnerabilidad está listada en el catálogo KEV, la posibilidad de explotación automatizada por parte de un atacante y el impacto técnico, es decir, si la vulnerabilidad puede otorgar acceso parcial o total al control del sistema.
Basándose en estas variables, la directiva fija plazos para intervenir las vulnerabilidades, que van desde tan solo 3 días para los problemas de mayor riesgo, hasta permitir su corrección en la próxima actualización mayor del sistema para vulnerabilidades de menor riesgo. Además, establece que, en casos críticos, se debe realizar un análisis forense del activo para comprobar posibles compromisos.
More Read
La guía de implementación ofrece recomendaciones concretas para ejecutar una respuesta efectiva y rápida ante vulnerabilidades críticas. Entre ellas se incluyen:
- Delimitación: En menos de 2 horas tras la inclusión de una vulnerabilidad en el catálogo KEV, se debe determinar si supera el umbral de remediación y si es necesaria una investigación forense en no más de 3 días, activando equipos de respuesta y estableciendo canales de comunicación seguros.
- Preservación y Recolección de Evidencia: Entre 2 y 24 horas tras la notificación, se prioriza la captura de datos volátiles que podrían perderse al apagar los sistemas.
- Parcheo Crítico y Estabilización: En ese mismo periodo, una vez recogida la evidencia, se deben aplicar los parches disponibles.
- Contención y Control: Entre 6 y 24 horas, se deben comenzar acciones para aislar los sistemas afectados, coordinando con la preservación de la evidencia para evitar alertar a los atacantes o destruir pruebas.
- Análisis de Clasificación: Entre 24 y 48 horas, se realiza un análisis detallado para identificar accesos no autorizados, presencia de atacantes, movimientos laterales, persistencia y posibles fugas de datos.
- Decisión de Escalada: En un plazo de 48 a 72 horas, se elabora un informe forense con los hallazgos, cronología de acciones, esfuerzos de mitigación y recomendaciones para los siguientes pasos.
En resumen, la BOD 26-04 representa un esfuerzo contundente para mejorar la postura de ciberseguridad de las agencias federales, ajustándose a un entorno en constante cambio donde las amenazas evolucionan rápidamente y la capacidad de respuesta debe ser ágil y efectiva.
