El 10 de junio, la Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió la Directiva Operativa Vinculante (BOD) 26-04, que establece pautas claras para priorizar las actualizaciones de seguridad basadas en el riesgo. Junto a esta directiva, CISA presentó una guía de implementación que busca ayudar a las agencias federales a responder con rapidez al creciente volumen de vulnerabilidades detectadas, especialmente ante la velocidad con que actores maliciosos explotan estas debilidades, potenciados por avances en inteligencia artificial.
El director interino de CISA, Nick Anderson, explicó que esta medida pretende enfrentar el panorama actual de amenazas y recomienda que organizaciones más allá de la esfera federal adopten prácticas similares para gestionar vulnerabilidades de forma eficiente.
La directiva y su guía aplican a los activos de las agencias federales dentro de sistemas de información que recolectan, procesan, almacenan o transmiten datos oficiales. Aunque la BOD está dirigida específicamente a dichas agencias, los contratistas que gestionan sistemas federales deben estar atentos a la implementación, ya que es probable que estos requisitos se reflejen en futuros contratos y normativas como FedRAMP.
Entre las obligaciones para las agencias destacan:
- Actualizar políticas de gestión de vulnerabilidades incluyendo procesos continuos de remediación, especialmente para vulnerabilidades listadas en el Catálogo de Vulnerabilidades Exploitadas Conocidas (KEV) de CISA, junto con roles claros, procedimientos de validación y seguimiento interno.
- Continuar con el escaneo de higiene cibernética y actualizar trimestralmente las IPs y dominios expuestos.
- Corregir las vulnerabilidades tan pronto como sea posible, respetando los plazos que van de 3 a 60 días según la gravedad y características del riesgo.
- Implementar gestión de activos, identificando y etiquetando continuamente todos los elementos en red accesibles desde fuera de la agencia.
La resolución de vulnerabilidades se prioriza en función de cuatro factores críticos:
More Read
- Exposición del activo: si el recurso vulnerable es accesible públicamente.
- Estado en el catálogo KEV: si la vulnerabilidad con identificador CVE está enlistada en el catálogo oficial.
- Automatización del exploit: si el atacante puede explotar automáticamente la falla sin intervención manual importante.
- Impacto técnico: si la explotación permite un control parcial o total del activo comprometido.
Con base en estos factores, la directiva fija plazos específicos para la reparación que pueden ser desde tres días hasta dos meses. Además, establece que el análisis forense debe realizarse simultáneamente para evaluar si el sistema ha sufrido compromiso.
Algunas medidas paliativas, como desconectar un sistema temporalmente de internet, pueden modificar estos plazos, y en casos menores la corrección puede posponerse hasta la siguiente actualización mayor o reconstrucción del sistema.
La guía de implementación complementa la directiva con buenas prácticas para gestionar incidentes rápidamente, entre las que se incluyen:
More Read
- Determinación del alcance: En las primeras dos horas tras la inclusión de una CVE en el catálogo KEV, determinar si la vulnerabilidad requiere respuesta en menos de tres días y si es necesario un análisis forense. En caso afirmativo, activar el equipo de respuesta e iniciar comunicaciones seguras fuera de infraestructuras potencialmente comprometidas.
- Preservación de evidencia: Priorizar la recolección de datos volátiles en las primeras 24 horas para evitar pérdida de información crítica.
- Aplicación de parches críticos: Tras asegurar la evidencia, instalar rápidamente los parches esenciales disponibles.
- Contención y control: Comenzar acciones de aislamiento y control coordinando con el equipo forense para no comprometer la evidencia ni alertar al atacante.
- Análisis de triage: Entre 24 y 48 horas, revisar evidencia para detectar accesos no autorizados, movimientos laterales, persistencia o exfiltración de datos.
- Decisión de escalado: Entre 48 y 72 horas, elaborar un informe detallado con el cronograma de acciones, hallazgos técnicos, esfuerzos de contención y recomendaciones para próximos pasos.
Con esta directiva, CISA impulsa un enfoque sistemático y ágil para enfrentar vulnerabilidades de alto riesgo en el entorno federal, al tiempo que prepara el marco para que contratistas y proveedores se alineen en una gestión eficaz de la ciberseguridad.
