Mauricio Gómez, cofundador de Fluid Attacks.
Fluid Attacks, compañía de hacking ético especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas, advierte acerca de los riesgos en el software que pueden permanecer por años sin ser descubiertos, dejando abierta la posibilidad de ciberataques.
Mauricio Gómez, cofundador de Fluid Attacks, explica que “hay vulnerabilidades críticas de software que pueden pasar desapercibidas por mucho tiempo en el código fuente, hasta que los investigadores de ciberseguridad, al igual que arqueólogos, consiguen desenterrarlas”.
El tema ha cobrado especial relevancia los últimos meses al descubrirse vulnerabilidades críticas que habían permanecido ocultas por muchos años en programas de organizaciones reconocidas. Recientemente, se reportó el caso de que gran parte de las distribuciones de Linux tuvieron por doce años una vulnerabilidad llamada “PwnKit”, que podía ser explotada por cualquier usuario para obtener el nivel más elevado de privilegios y permisos en sistemas compartidos.
Fluid Attacks, como compañía experta en la detección de problemas de seguridad en software, resuelve a continuación las principales inquietudes relacionadas con las vulnerabilidades en el código fuente:
- ¿Dónde se ocultan?
Las vulnerabilidades pueden permanecer escondidas, virtualmente, en cualquiera de los componentes del software. Al no causar ningún problema en el uso corriente por los usuarios, pasan desapercibidas por años, hasta que alguien descubre una acción no prevista por los desarrolladores, pero que es permitida por la lógica en su código. Si la persona que hizo el descubrimiento tiene malas intenciones, esto puede representar un riesgo crítico para los usuarios.
- ¿Por qué tardan en descubrirse?
“Una vulnerabilidad puede mantenerse escondida por años porque, al no ser conocida, no es detectada por herramientas automáticas que realizan pruebas de seguridad. Por eso es importante que las pruebas de seguridad sean también realizadas manualmente por expertos que sean capaces de pensar como un atacante. Si se aprovecha la inteligencia humana en las pruebas de seguridad, y estas se realizan de manera continua y desde el inicio del desarrollo, pueden encontrarse más rápidamente”, explica Mauricio Gómez.
- ¿Por qué son un riesgo?
Las vulnerabilidades lógicas en el software pueden permitir ataques con impactos críticos para la integridad y funcionamiento del sistema, así como la confidencialidad de la información. Un claro ejemplo de esto fue el caso de la vulnerabilidad “NotLegit”, en Azure (plataforma de Microsoft para crear y desplegar aplicaciones), que exponía públicamente la totalidad del código de programas y aplicaciones. Esta vulnerabilidad permaneció escondida por cuatro años. “El mayor problema no es exactamente que cualquiera pueda revisar ts código, sino que, si un código expuesto tiene alguna vulnerabilidad, puede estar disponible para ser atacado más fácilmente”, analiza el vocero de Fluid Attacks.
- ¿Cómo afectan a las organizaciones?
Los casos identificados representan diferentes amenazas para las organizaciones, dependiendo de la naturaleza de la vulnerabilidad oculta. En el caso de “Pwnkit”, un usuario que consiga privilegios de administrador de forma no autorizada puede, entre otras cosas, filtrar, modificar o borrar datos de las operaciones en las compañías, como información de usuarios y clientes. En el caso de “NotLegit”, la exposición del código fuente por tanto tiempo permite a los ciberdelincuentes más oportunidades de atacar, así como acceso a la información necesaria para preparar ataques más fácilmente.
La mitigación de los riesgos en ciberseguridad que implican las vulnerabilidades ocultas se logra gracias a un análisis exhaustivo en todo el proceso de diseño y desarrollo del software, por medio de constantes pruebas manuales, como el penetration testing realizado por hackers éticos, en busca de puntos vulnerables durante todo su ciclo de vida.
“Utilizando nuestros servicios, las organizaciones pueden averiguar, entre otras cosas, si están exponiendo inadvertidamente su código fuente, si las aplicaciones que desarrollan tienen vulnerabilidades de día cero y si la versión actual de su software cumple con los estrictos requisitos de seguridad que necesita para evitar posibles filtraciones de datos sensibles o accesos no autorizados a su información”, concluye Gómez.
