El software de las organizaciones debe ser revisado manualmente por expertos y de manera continua para mitigar los riesgos que representan las vulnerabilidades ocultas.
Mauricio Gómez, cofundador de Fluid Attacks, explica que “hay vulnerabilidades críticas de software que pueden pasar desapercibidas por mucho tiempo en el código fuente, hasta que los investigadores de ciberseguridad, al igual que arqueólogos, consiguen desenterrarlas”.
El tema ha cobrado especial relevancia los últimos meses, al descubrir vulnerabilidades críticas que habían permanecido ocultas por muchos años en programas de organizaciones reconocidas.
Recientemente, se reportó el caso de que gran parte de las distribuciones de Linux tuvieron por 12 años una vulnerabilidad llamada “PwnKit”, la cual podía ser explotada por cualquier usuario para obtener el nivel más elevado de privilegios y permisos en sistemas compartidos.
¿Dónde se ocultan?
Las vulnerabilidades pueden permanecer ocultas virtualmente en cualquiera de los componentes del software. Como no causan ningún problema en el uso corriente por los usuarios, pasan desapercibidas por años, hasta que alguien las descubre. Si la persona que hizo el descubrimiento tiene malas intenciones, esto puede representar un riesgo crítico para los usuarios.
¿Por qué tardan en descubrirse?
“Una vulnerabilidad puede mantenerse escondida por años porque, al no ser conocida, no es detectada por herramientas automáticas que realizan pruebas de seguridad. Por eso es importante que las pruebas de seguridad sean también realizadas manualmente por expertos capaces de pensar como un atacante”, explica Mauricio Gómez.
¿Cómo afectan a las organizaciones?
Los casos identificados representan diferentes amenazas para las organizaciones, dependiendo de la naturaleza de la vulnerabilidad oculta. En el caso de Pwnkit, un usuario que consiga privilegios de administrador de forma no autorizada puede, entre otras cosas, filtrar, modificar o borrar datos de las operaciones en las compañías, como información de usuarios y clientes. En el caso de NotLegit, la exposición del código fuente por tanto tiempo permite a los ciberdelincuentes más oportunidades de atacar, así como acceso a la información necesaria para preparar ataques más fácilmente.
