AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Las impresoras, el eslabón débil: cómo cerrar la brecha de propiedad y reforzar su seguridad**

admin

### Introducción

En el actual panorama de ciberamenazas, la seguridad de los dispositivos periféricos sigue siendo un área tradicionalmente infraatendida, especialmente en lo que respecta a las impresoras de red. Estos dispositivos, presentes en la mayoría de las organizaciones, suelen escapar a los controles de seguridad aplicados a otras estaciones de trabajo y servidores. Expertos en ciberseguridad advierten que la falta de una clara asignación de responsabilidades y la ausencia de controles duraderos convierten a las impresoras en puertas de entrada atractivas para atacantes sofisticados.

### Contexto del Incidente o Vulnerabilidad

Durante los últimos años, se han documentado múltiples incidentes de seguridad relacionados con impresoras empresariales. La causa raíz suele ser una combinación de propiedad ambigua, configuraciones inseguras por defecto y falta de monitorización continua. A pesar de la adopción de marcos normativos como la GDPR o, más recientemente, la NIS2, las impresoras a menudo quedan fuera del alcance de los inventarios de activos críticos. Según datos de Quocirca (2023), el 61% de las organizaciones han experimentado al menos un incidente de seguridad relacionado con impresoras en los últimos 12 meses.

### Detalles Técnicos

#### CVEs relevantes y vectores de ataque

Entre las vulnerabilidades más explotadas en impresoras destacan:

– **CVE-2023-35390**: Ejecución remota de código en impresoras HP a través de la interfaz web, permitiendo a un atacante autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente.
– **CVE-2022-24673**: Vulnerabilidad en el protocolo IPP (Internet Printing Protocol) que permite la filtración de credenciales y ataques Man-in-the-Middle.
– **CVE-2022-3942**: Impresión remota sin autenticación en dispositivos Lexmark, lo que facilita la exfiltración de documentos sensibles.

#### Tácticas, Técnicas y Procedimientos (TTPs) según MITRE ATT&CK

– **Initial Access (T1190)**: Explotación de aplicaciones públicas a través de paneles de administración expuestos de impresoras.
– **Lateral Movement (T1021)**: Uso de la impresora comprometida como pivote para moverse lateralmente en la red interna.
– **Collection (T1119)**: Exfiltración de información a través de trabajos de impresión interceptados o almacenados en memoria.
– **Persistence (T1136)**: Creación de cuentas de usuario persistentes en la interfaz web de administración.

#### Indicadores de Compromiso (IoC)

– Accesos inusuales a puertos TCP 9100, 515 y 631 desde direcciones IP externas.
– Cambios en la configuración de SNMP o activación no autorizada de FTP/Telnet.
– Ficheros de logs con registros de autenticación fallida o creación de nuevos usuarios.

#### Herramientas y exploits conocidos

Las suites de explotación más populares incluyen módulos específicos para impresoras en framework como **Metasploit** y **Impacket**. Además, herramientas como **PRET (Printer Exploitation Toolkit)** permiten explotar vulnerabilidades conocidas en el firmware de impresoras de múltiples fabricantes.

### Impacto y Riesgos

Los riesgos asociados a la explotación de impresoras van desde la exfiltración de documentos confidenciales hasta el uso del dispositivo como punto de entrada para ataques de ransomware o campañas de espionaje industrial. Según IDC, los costes asociados a un incidente de seguridad en impresoras pueden superar los 400.000 €, incluyendo sanciones regulatorias derivadas de GDPR, interrupciones operativas y daños reputacionales.

La falta de controles específicos puede facilitar que atacantes instalen puertas traseras duraderas, capturen credenciales de red o utilicen las impresoras como vector para ataques DDoS internos.

### Medidas de Mitigación y Recomendaciones

– **Asignación clara de propiedad**: Designar responsables de cada activo de impresión, integrando estos dispositivos en el inventario de activos críticos.
– **Segmentación de red**: Ubicar las impresoras en VLANs separadas, limitando la comunicación solo a usuarios y servicios autorizados.
– **Actualización de firmware**: Mantener actualizados los sistemas operativos y firmware de las impresoras, aplicando parches tan pronto como estén disponibles.
– **Autenticación robusta**: Deshabilitar servicios inseguros (Telnet, FTP, SNMPv1/v2) y exigir autenticación fuerte para el acceso a la administración web.
– **Monitorización continua e integración SIEM**: Incluir logs de impresoras en el ecosistema de monitorización centralizada (SIEM) para detectar anomalías y accesos no autorizados.
– **Políticas de impresión seguras**: Restringir la impresión remota y exigir la recogida presencial de documentos con autenticación (pull printing).

### Opinión de Expertos

Según Marta Ruiz, CISO de una multinacional tecnológica: “Las impresoras son ordenadores con funcionalidades muy específicas, pero con los mismos riesgos que cualquier endpoint. La ausencia de controles y de una política de propiedad clara las deja desprotegidas frente a amenazas cada vez más sofisticadas”.

Por su parte, David Gómez, analista SOC, destaca la importancia de incluir las impresoras en el ciclo de threat hunting: “En muchas investigaciones forenses, la impresora ha sido la pieza clave para entender cómo se ha movido el atacante dentro de la red, gracias a logs y a configuraciones residuales”.

### Implicaciones para Empresas y Usuarios

La nueva directiva NIS2 amplía el concepto de activos críticos a dispositivos tradicionalmente considerados ‘no TI’, como impresoras y dispositivos IoT. Las organizaciones que no refuercen la seguridad de sus impresoras pueden enfrentarse a sanciones, así como a una mayor exposición al riesgo de fuga de datos y ataques de ransomware.

Los usuarios, a su vez, deben ser conscientes de que cualquier documento enviado a una impresora puede ser susceptible de ser interceptado si el dispositivo no está debidamente protegido, afectando tanto a la privacidad individual como a la confidencialidad corporativa.

### Conclusiones

La falta de asignación de responsabilidades y la ausencia de controles duraderos hacen de las impresoras un punto ciego crítico en el ecosistema de seguridad empresarial. La integración de estos dispositivos en la estrategia global de ciberseguridad, el cierre del “vacío de propiedad” y la aplicación de controles equivalentes a los de otros endpoints son pasos imprescindibles para mitigar riesgos y cumplir con las normativas actuales y futuras.

(Fuente: www.darkreading.com)