Fluid Attacks advierte sobre los riesgos en el software que pueden permanecer por años sin ser descubiertos, dejando abierta la posibilidad de ciberataques.
Mauricio Gómez, cofundador de Fluid Attacks, explica que “hay vulnerabilidades críticas de software que pueden pasar desapercibidas por mucho tiempo en el código fuente, hasta que los investigadores de ciberseguridad, al igual que arqueólogos, consiguen desenterrarlas”.
El tema ha cobrado especial relevancia los últimos meses, al descubrir vulnerabilidades críticas que habían permanecido ocultas por muchos años en programas de organizaciones reconocidas. Recientemente, se reportó el caso de que gran parte de las distribuciones de Linux tuvieron por 12 años una vulnerabilidad llamada “PwnKit”, la cual podía ser explotada por cualquier usuario para obtener el nivel más elevado de privilegios y permisos en sistemas compartidos.
Fluid Attacks, como compañía experta en la detección de problemas de seguridad en software, resuelve a continuación las principales inquietudes relacionadas con las vulnerabilidades en el código fuente:
- ¿Dónde se ocultan?
Las vulnerabilidades pueden permanecer ocultas virtualmente en cualquiera de los componentes del software. Como pueden no causar ningún problema en el uso corriente por los usuarios, pasan desapercibidas por años, hasta que alguien descubre una acción no prevista por los desarrolladores, pero que es permitida por la lógica en su código. Si la persona que hizo el descubrimiento tiene malas intenciones, esto puede representar un riesgo crítico para los usuarios. - ¿Por qué tardan en descubrirse?
“Una vulnerabilidad puede mantenerse escondida por años porque, al no ser conocida, no es detectada por herramientas automáticas que realizan pruebas de seguridad. Por eso es importante que las pruebas de seguridad sean también realizadas manualmente por expertos que sean capaces de pensar como un atacante. Si se aprovecha la inteligencia humana en las pruebas de seguridad, y estas se realizan de forma continua y desde el inicio del desarrollo, pueden encontrarse estas vulnerabilidades de forma más rápida”, explica Mauricio Gómez. - ¿Por qué son un riesgo?
Las vulnerabilidades lógicas en el software pueden permitir ataques con impactos críticos para la integridad y funcionamiento del sistema, así como la confidencialidad de la información. Un claro ejemplo de esto fue el caso de la vulnerabilidad “NotLegit” en Azure (una plataforma de Microsoft para crear y desplegar aplicaciones), que exponía públicamente la totalidad del código de programas y aplicaciones. Esta vulnerabilidad permaneció escondida por cuatro años, lo cual representa un grave problema para organizaciones que quieren mantener privado su código fuente.
“El mayor problema no es exactamente que cualquiera pueda revisar tu código, sino que, si un código expuesto tiene alguna vulnerabilidad, puede estar disponible para ser atacado más fácilmente”, analiza el vocero de Fluid Attacks. - ¿Cómo afectan a las organizaciones?
Los casos identificados representan diferentes amenazas para las organizaciones, dependiendo de la naturaleza de la vulnerabilidad oculta. En el caso de Pwnkit, un usuario que consiga privilegios de administrador de forma no autorizada puede, entre otras cosas, filtrar, modificar o borrar datos de las operaciones en las compañías, como información de usuarios y clientes. En el caso de NotLegit, la exposición del código fuente por tanto tiempo permite a los ciberdelincuentes más oportunidades de atacar, así como acceso a la información necesaria para preparar ataques más fácilmente.
La mitigación de los riesgos en ciberseguridad que implican las vulnerabilidades ocultas se logra gracias a un análisis exhaustivo en todo el proceso de diseño y desarrollo del software, por medio de constantes pruebas manuales, como el penetration testing realizado por hackers éticos, en busca de puntos vulnerables durante todo su ciclo de vida.
“Utilizando nuestros servicios, las organizaciones pueden averiguar, entre otras cosas, si están exponiendo inadvertidamente su código fuente, si las aplicaciones que desarrollan tienen vulnerabilidades de día cero y si la versión actual de su software cumple con los estrictos requisitos de seguridad que necesita para evitar posibles filtraciones de datos sensibles o accesos no autorizados a su información”, concluye Gómez.