carloscastilla - Fotolia
Vulnerabilidades ocultas, riesgo de ciberseguridad latente
El software de las organizaciones debe ser revisado manualmente por expertos, de manera continua, para mitigar los riesgos que representan las vulnerabilidades ocultas, dice Fluid Attacks.
Los riesgos en el software que pueden permanecer por años sin ser descubiertos dejan abierta la posibilidad de ciberataques, advierte la compañía de hacking ético Fluid Attacks.
«Hay vulnerabilidades críticas de software que pueden pasar desapercibidas por mucho tiempo en el código fuente, hasta que los investigadores de ciberseguridad, al igual que arqueólogos, consiguen desenterrarlas», explica Mauricio Gómez, cofundador de Fluid Attacks.
El tema ha cobrado especial relevancia los últimos meses, ya que se ha descubierto vulnerabilidades críticas que habían permanecido ocultas por muchos años en programas de organizaciones reconocidas. Recientemente, se reportó el caso de que gran parte de las distribuciones de Linux tuvieron por 12 años una vulnerabilidad llamada «PwnKit», la cual podía ser explotada por cualquier usuario para obtener el nivel más elevado de privilegios y permisos en sistemas compartidos.
¿Dónde se ocultan y por qué tardan en descubrirse?
De acuerdo con Fluid Attacks, las vulnerabilidades pueden permanecer ocultas virtualmente en cualquiera de los componentes del software. Como pueden no causar ningún problema en el uso corriente por los usuarios pasan desapercibidas por años, hasta que alguien descubre una acción no prevista por los desarrolladores, pero que es permitida por la lógica en su código. Si la persona que hizo el descubrimiento tiene malas intenciones, esto puede representar un riesgo crítico para los usuarios.
«Una vulnerabilidad puede mantenerse escondida por años porque, al no ser conocida, no es detectada por herramientas automáticas que realizan pruebas de seguridad. Por eso es importante que las pruebas de seguridad sean también realizadas manualmente por expertos que sean capaces de pensar como un atacante. Si se aprovecha la inteligencia humana en las pruebas de seguridad, y estas se realizan de forma continua y desde el inicio del desarrollo, pueden encontrarse estas vulnerabilidades de forma más rápida», explica Gómez.
Las vulnerabilidades lógicas en el software son un riesgo pueden permitir ataques con impactos críticos para la integridad y funcionamiento del sistema, así como la confidencialidad de la información. Un claro ejemplo de esto fue el caso de la vulnerabilidad «NotLegit» en la plataforma Azure de Microsoft, pues exponía públicamente la totalidad del código de programas y aplicaciones. Esta vulnerabilidad permaneció escondida por cuatro años, lo cual representa un grave problema para organizaciones que quieren mantener privado su código fuente.
«El mayor problema no es exactamente que cualquiera pueda revisar tu código, sino que, si un código expuesto tiene alguna vulnerabilidad, puede estar disponible para ser atacado más fácilmente», refiere el cofundador de Fluid Attacks.
Cómo afectan a las organizaciones
La empresa de ciberseguridad explica que los casos identificados de este tipo de vulnerabilidades ocultas representan diferentes amenazas para las organizaciones dependiendo de su naturaleza. En el caso de Pwnkit, un usuario que consiga privilegios de administrador de forma no autorizada puede, entre otras cosas, filtrar, modificar o borrar datos de las operaciones en las compañías, como información de usuarios y clientes. En el caso de NotLegit, la exposición del código fuente por tanto tiempo permite a los ciberdelincuentes más oportunidades de atacar, así como acceso a la información necesaria para preparar ataques más fácilmente.
Según Fluid Attacks, la mitigación de los riesgos en ciberseguridad que implican las vulnerabilidades ocultas se logra gracias a un análisis exhaustivo en todo el proceso de diseño y desarrollo del software, por medio de constantes pruebas manuales, como las pruebas de penetración, realizadas por hackers éticos, en busca de puntos vulnerables durante todo su ciclo de vida.
Con pruebas continuas de ciberseguridad, «las organizaciones pueden averiguar, entre otras cosas, si están exponiendo inadvertidamente su código fuente, si las aplicaciones que desarrollan tienen vulnerabilidades de día cero y si la versión actual de su software cumple con los estrictos requisitos de seguridad que necesita para evitar posibles filtraciones de datos sensibles o accesos no autorizados a su información», concluye Gómez.