Las vulnerabilidades más explotadas

Vulnera… ¿qué? Según la RAE,
vulnerabilidad.

1. f. Cualidad de vulnerable.

Para los que no os suena ese término, en el mundo de la informática se refiere a los ‘agujeros’ en las aplicaciones que permiten que un atacante (humano o máquina) consiga romper la seguridad y ‘hacer de las suyas’. Existen múltiples vulnerabilidades que afectan a sistemas operativos, aplicaciones específicas dentro de un sistema operativo, protocolos de comunicación y un largo etcétera. Para ilustrarlo de forma fácil, supongamos que tenemos una aplicación que solicita del usuario un nombre y contraseña, si la comprobación del nombre y la contraseña no se realizan de forma exhaustiva, un atacante podría explotar esa vulnerabilidad para entrar en el sistema; si por ejemplo el nombre de usuario es “usuario1” y la contraseña es “contraseña10” pero la aplicación sólo comprueba los primeros 11 caracteres de la contraseña, tanto si el usuario escribe “contraseña1” o “contraseña13”, aplicación permitirá el acceso. Ya sé que esta es una comparación extrema y burda, pero vale para ilustrar el ejemplo.

Lo interesante es que cuando se descubren nuevas vulnerabilidades (“ningún sistema informático está libre de ellas”) estas sean solucionadas lo antes posible, de inmediato, para que no sean explotadas.

Es curioso que en una lista lista publicada por el US-CERT que, a su vez está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia, se han publicado las 30 vulnerabilidades más explotadas. Esto supone que existen vulnerabilidades que se conocen y no se han solucionado a tiempo, dando lugar a que puedan ser usadas por atacantes. Este retraso en las soluciones, pone de manifiesto que más del 85 por ciento de los ataques contra infraestructuras críticas podrían evitarse mediante el uso de estrategias adecuadas como el bloqueo de software malicioso, restringir los privilegios administrativos y parchear aplicaciones y sistemas operativos.

Las vulnerabilidades afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL.

Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.

Insisto en que “ningún sistema informático está libre de ellas”, aunque hay que resaltar que es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades (los problemas se centran principalmente en el navegador Internet Explorer y Office). Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat. Por último dos vulnerabilidades en Java y una en OpenSSL, la conocida
como Heartbleed.

Esta entrada fue publicada en Divulgacion y etiquetada , , . Guarda el enlace permanente.

Deja un comentario