Escaneos Autenticados: La Clave para una Certificación PCI DSS Sin Sorpresas

¿Qué es PCI DSS?

La norma PCI DSS 4.0.1

Teniendo claro que es esta norma, vamos a ver en que afecta a los escaneos autenticados. Algo a recalcar es que esta guía de normas tiene distintas versiones, que van siendo actualizadas con el paso del tiempo para comprometerse con unos estándares de seguridad que van avanzando con el tiempo. 

Ya en versiones anteriores existía el requisito 11.3.1 de la norma PCI que obliga a realizar un escaneo interno de vulnerabilidades al menos cada tres meses. Este análisis debe cubrir todos los sistemas en alcance, y obliga a resolver las vulnerabilidades clasificadas como críticas o de alto riesgo y ejecutar escaneos de verificación hasta confirmar estas vulnerabilidades como corregidas. La norma también pide que quien ejecute el escaneo sea personal cualificado e independiente de los sistemas evaluados.

En la norma el sub-requisito 11.3.1.2 que introduce la modalidad autenticada, sus requisitos principales son los siguientes:
▪️Los sistemas que no pueden aceptar credenciales para el escaneo autenticado deben ser documentados.
▪️Se deben usar suficientes privilegios para aquellos sistemas que aceptan credenciales para el escaneo.

Después de cualquier cambio significativo, el requisito 11.3.1.3 exige repetir el escaneo interno para demostrar que el cambio no introdujo nuevos riesgos.

Para completar el panorama, el requisito 11.3.2 mantiene la obligación de escaneos externos trimestrales ejecutados por un Approved Scanning Vendor (ASV), con el fin de vigilar la superficie pública de la organización.

Ahora bien ¿qué es un escaneo de vulnerabilidades?

Hasta ahora se ha nombrado varias veces el concepto de escaneo, pero ¿a qué nos referimos exactamente?

Un escaneo de vulnerabilidades es un proceso automatizado mediante el cual una herramienta especializada, como Nessus o Qualys analizan sistemas, dispositivos y aplicaciones para identificar debilidades de seguridad. Durante el escaneo, la herramienta recopila información de los equipos (puertos abiertos, servicios activos, configuraciones, versiones de software) y la compara con una base de datos de vulnerabilidades conocidas. 

Este proceso detecta parches desactualizados, configuraciones incorrectas o software obsoleto que podría ser explotado por un atacante. Estos escaneos dan una visión general de la configuración y estado de un equipo, así como sus posibles vulnerabilidades. 

Con esta información el equipo auditor generará un informe para presentar cuáles son las vulnerabilidades detectadas, así como su solución.

Diferencia entre un escaneo autenticado y uno no autenticado

Un escaneo no autenticado, es una tarea que se realiza a alto nivel que analiza la red como lo haría un intruso: enumera puertos, extrae banners de servicios y detecta fallos básicos de exposición. Es más rápido, porque requiere menos preparación y no es exhaustivo.

En cambio, un escaneo autenticado abre el “capó” del sistema: inspecciona archivos, compara versiones y parches, analiza configuraciones de seguridad, verifica algoritmos de cifrado y permisos. Es más exhaustivo y fiable, aunque también más lento. Sin embargo, requiere un usuario con los suficientes privilegios en cada uno de los hosts, para descubrir las vulnerabilidades a las que no llegaría un escaneo no autenticado. 

¿Qué es un escaneo interno autenticado? 

Un escaneo autenticado es un análisis de vulnerabilidades que se ejecuta desde la propia red corporativa (ya sea de forma física o mediante una VPN) utilizando credenciales válidas en los sistemas analizados. Estas credenciales permiten al escáner consultar directamente el sistema operativo, el registro, los servicios en ejecución y las bibliotecas instaladas.

La norma PCI DSS recalca que este enfoque ofrece una visión mucho más profunda y realista del estado de seguridad de los activos, ya que revela vulnerabilidades que podrían ser explotadas por un atacante con acceso inicial a la red. 

Requerimientos para un escaneo autenticado:
Ahora bien, un escaneo autenticado tiene una serie de requerimientos que en un escaneo “normal” no son necesarios. A la hora de autenticar, no solo son necesarias unas credenciales válidas, sino una cuenta con los suficientes privilegios y visibilidad para ver todo lo que contiene el equipo analizado.

Escaneo Autenticado ¿presencial o remoto? 

Los escaneos autenticados se pueden afrontar de dos formas distintas presencial o en remoto. 

Si el escaneo se hace a través de una VPN o de una forma de conexión similar a los servidores que se tienen que escanear esto implica una mayor carga para la red VPN y una menor velocidad a la hora de escanear. 

Por otra parte, si el escaneo es presencial, se deberá dar acceso a los auditores al lugar dónde se encuentren los servidores o dónde se tengan visibilidad de ellos para analizar este entorno, esto dará una velocidad de escaneo mayor debido a el mayor ancho de banda que tiene este tipo de conexión a los servidores. 

Recomendaciones para realizar un escaneo autenticado

A continuación, enumeraremos una serie de pasos para preparar un escaneo autenticado:

1. Definir el alcance. Es necesario inventariar el entorno y los sistemas conectados en las redes que vayan a pasar el escaneo. Los dispositivos que el cliente decida no escanear, de forma autenticada, por una limitación técnica o de negocio se analizarán sin credenciales, y se justificará en el informe posterior.
2. Gestión de las credenciales. Creación de cuentas con privilegios suficientes sobre cada host. Se recomienda, que los usuarios creados puedan autenticarse por SSH en caso de Linux o por WinRM/SMB en caso de equipos Windows.  Es necesario hacer una validación de las credenciales en todos los hosts para comprobar de que se pueden autenticar de forma correcta.
3. Preparación de la infraestructura. Para la preparación recomendamos dos reglas en la red:
   ▪️Whitelist temporal de la IP del escáner en firewalls, IPS/IDS y EDR.
   ▪️Ajustar políticas de autenticación multifactor para la cuenta de escaneo.
4. Impacto del escaneo. Se recomienda programar la tarea en ventanas de baja carga, para no provocar denegaciones de servicio o problemas similares en el host o en la red.
5. Monitorización de los registros. Comprobación con el equipo auditor, de que el escaneo se realizó con éxito. Si alguno de ellos falló, el escaneo se deberá repetir en dichos hosts.
6. Analizar y remediar. Deberán corregirse principalmente las vulnerabilidades que hayan causado PCI FAIL y todas las vulnerabilidades que se consideren prioritarias y crear un plan para mitigar el resto de ellas.
7. Auditoría de verificación. Una vez solucionadas las vulnerabilidades, se deberá ejecutar un nuevo escaneo para demostrar que las vulnerabilidades quedaron resueltas correctamente.
8. Documentación de la evidencia. Por último, se deberán conservar los archivos de la tarea de escaneo y los informes de resultados.

Problemas frecuentes y posibles soluciones

Como se ha hablado anteriormente en el artículo los escaneos autenticados ofrecen un análisis más profundo y preciso del entorno, pero también implican desafíos técnicos y operativos que deben gestionarse adecuadamente. A continuación, se muestran algunos de los principales problemas que suelen presentarse y sus posibles soluciones.

1. Credenciales y autenticación
   ▪️Los hosts a los que no se le aplique un escaneo autenticado deben ser identificados y documentados adecuadamente. En estos casos, se recomienda la realización de un escaneo no autenticado.
   ▪️Credenciales incorrectas o con pocos privilegios generan falsos negativos (vulnerabilidades que existen, pero el escáner no detecta). Lo mejor es validar las credenciales antes del escaneo.
   ▪️Hay casos donde la autenticación requiere un tipo específico de cifrado. Esto debe ajustarse en el servidor.
2. Impacto en la red y los sistemas
   ▪️Se recomienda reducir los hilos de escaneo y/o activar los "safe checks" en la herramienta.
   ▪️Lo ideal es autorizar temporalmente la IP del escáner y registrar el cambio para evitar bloqueos.
   ▪️Dado que la autenticación permite análisis más profundos, los escaneos toman más tiempo que los no autenticados.
3. Complejidad operativa y organización
   ▪️En redes críticas o sensibles, es necesario planificar una ventana en la que no afecte a la producción.
   ▪️Contraseñas expiradas: Las credenciales usadas para el escaneo pueden estar expiradas o inactivas, impidiendo la autenticación, por ello es necesario comprobarlas antes de comenzar el escaneo, viendo por ejemplo que estas no caduquen antes del escaneo.
   ▪️Equipos fuera de servicio: Algunos sistemas pueden estar apagados, desconectados o no disponibles durante el escaneo.
   ▪️Protocolos inactivos: Servicios como SSH o WMI pueden estar deshabilitados o bloqueados por firewalls o no permiten este tipo de tráfico.

Conclusiones y prácticas clave.

▪️Adoptar el escaneo interno autenticado reduce el riesgo de ceguera frente a vulnerabilidades arraigadas que de otra manera no hubiesen sido descubiertas.
 
▪️Durante la realización del primer escaneo autenticados es posible que aparezcan vulnerabilidades nuevas, PCI tiene razón existen muchos componentes desactualizados y con vulnerabilidades que con un escaneo normal nunca se llegarían a ver. Por suerte la mayoría de las vulnerabilidades que se encuentran en estos casos son versiones desactualizadas, por lo que el proceso de corrección es en mayoría de los casos más simple.
 
▪️Una práctica clave es mantener al día las actualizaciones del software y el hardware que se utiliza, los escaneos trimestrales comprueban que todo está en orden y ayudan a resolver los posibles problemas consiguiendo una infraestructura más segura y con ello la certificación PCI DSS.