El texto a continuación lo publiqué originalmente en mi perfil de LinkedIn, y rápidamente llegaron varias reacciones y comentarios. Entre los tantos comentarios, la mayoría hablaban de la posibilidad de exfiltración de información mediante ICMP Tunneling, algo que consideré, entendiendo que la publicación no perdía su sentido aun existiendo tal riesgo. Soy un defensor de hacer las cosas entendiendo el por qué, y si desde el entendimiento está bien bloquear o no bloquear algo, eso está muy bien. Para intentar aclarar este punto, agregué una segunda parte que también reproduzco aquí, así el texto queda completo para futuras referencias.

Hoy vi nuevamente una guía de seguridad donde bloqueaban ICMP Echo Request (aka ping) en el firewall como medida de seguridad… Y no pude evitar la reflexión que se me cruza siempre por la cabeza cuando veo esto: eso no te hace más seguro, solo te hace más difícil de diagnosticar.

Sí, ya sé: «no quiero que vean que estoy online». Pero si tu capa de seguridad se resume en esconderte del ping… bueno, tenemos un problema más profundo.

El ping no es una amenaza en sí mismo

Es una herramienta de diagnóstico, una linterna en la oscuridad. Lo que hay que mirar (y filtrar si es necesario) son otros tipos de mensajes ICMP que sí pueden ser usados de forma maliciosa, como Redirect o Source Quench (sí, algunos todavía creen que eso sirve).

Si alguien con malas intenciones quiere saber si estás vivo en la red, tiene muchísimas otras formas de averiguarlo. Y si lo que querés es «ser invisible», entonces hablamos de otro enfoque de seguridad, más estratégico y menos reactivo.

En vez de andar bloqueando cosas porque «alguien dijo que es mejor», analizá riesgos reales, entendé el protocolo y tomá decisiones con criterio técnico, no con reflejos condicionados. Porque si cada vez que algo puede usarse mal lo bloqueamos, terminamos con infraestructuras tan «seguras» que ni los administradores pueden hacer troubleshooting. Y ahí sí, el enemigo ganó.

De yapa, acá hay un recurso interesante sobre el tema: http://shouldiblockicmp.com/

Bloquear el ping no te hace más seguro

Muchos mencionaron el ICMP Tunneling como motivo para bloquear el ping. Y sí, ese riesgo existe, como existen mil formas más de tunelizar tráfico —o de exfiltrar datos sin tunelizar, que en mi experiencia es bastante común; ¿les suena ransomwares exfiltrando mediante Dropbox o a un FTP alojado quiensabedónde?—. Pero como decía, bloquear todo lo que podría usarse mal es como prohibir los cuchillos porque existen los apuñalamientos.

Siempre voy a insistir en que el riesgo se gestiona, y que en seguridad de la información protegemos para habilitar. Si te preocupa el uso indebido de ICMP o específicamente de ping:

  • Aplicá rate limiting
  • Hacé deep packet inspection
  • Usá un NDR o EDR decente
  • Monitoreá tráfico anómalo
  • Y claro, segmentá bien. Una buena segmentación no pasa solo por tener un firewall o bloquear tal o cual conexión; hay que trabajar de forma adecuada las ACLs y otras capacidades de UTM.

La seguridad no se trata de cerrar todo «por si acaso», sino de entender qué, cómo y por qué proteger. Lo contrario es paranoia disfrazada de políticas. Porque si bloqueás el ping solo por miedo al tunneling, pero no inspeccionás el tráfico DNS o HTTPS, o no analizás la actividad de la red desde diferentes perspectivas (identidad, dispositivo, contexto, etc.), seguramente estés cerrando una ventana mientras dejás puertas abiertas.

Por supuesto, esto no es una crítica a quien adopta la medida de bloquear el ping, ni estoy diciendo que esté necesariamente mal bloquearlo. Sigo insistiendo en que está bien tomar medidas de seguridad con criterio —y soy consciente de que muchas veces lo que adoptamos no es el mejor criterio, sino el mejor que podemos adoptar—, desde el entendimiento de qué es lo que queremos proteger y buscando el mejor camino para ello.