Los cibercriminales pueden usar esta falla en software, presentes desde el momento de su creación, para generar ataques más avanzados y difíciles de detectar.
Ataques cibernéticos como el ocurrido a Sony Pictures, o más recientemente a varias páginas web del gobierno alemán, podrían ser peores si los cibercriminales aprovechan las llamadas vulnerabilidades día cero, que cada vez son más frecuentes.
En los sistemas informáticos suele haber fallas de seguridad desde el momento de su creación que ni los usuarios ni los mismos fabricantes conocen y que, cuando son encontradas, reciben el nombre de vulnerabilidades día cero.
El principal problema con éstas es que sean descubiertas primero por cibercriminales, en lugar de grupos de hackers o equipos de seguridad, quienes las pueden explotar para robar información o cometer fraudes aprovechando que nadie sabe sobre ellas.
“Enormes vulnerabilidades como Heartlbeed y Shellshock han existido dentro del código fuente durante muchos años y sólo se han revelado cuando han sido examinadas por un par de ojos despiertos en busca de debilidades”, explicó el analista principal en seguridad de Websense, Carl Leonard.
Tan sólo Heartbleed permite monitorear y almacenar todas las comunicaciones entre el usuario y un sitio web, sin importar si están cifradas o protegidas, mientras que Shellshock se puede aprovechar para controlar equipos con sistema operativo Linux a distancia.
El especialista indicó en el reporte Predicciones de Seguridad 2015 que el problema de la vulnerabilidad día cero radica en que no se tiene la certeza de que no hayan sido utilizadas como vectores de ataque durante años, antes de hacerse públicas.
El mejor ejemplo es el gusano Stuxnet, mismo que fue encontrado en 2010 y cuyo objetivo era espiar y reprogramar sistemas industriales como SCADA, lo cual era posible porque aprovechaba cuatro fallas día cero del sistema operativo Windows.
Esperan más casos
“Este año habrá grandes descubrimientos de vulnerabilidades día cero que sin duda serán un caballo de troya contra las empresas y los usuarios finales”, advirtió Leonard.
Para Luis Castro, experto en seguridad de Trend Micro, arreglar este tipo de problemas es más difícil cuando se trata de sistemas de código abierto, como puede ser el caso de Linux.
Esto, porque existen muchas versiones de sistemas operativos, tanto para computadoras como para servidores, y las actualizaciones o parches que se liberan no siempre cubren todas las versiones que existen.
Justamente lo anterior sucedió con Shellshock, que afectó a las personas y empresas que utilizan sistemas Linux o derivados, tal como ocurre con Apple.
Por ello, una de las primeras recomendaciones cuando se detectan este tipo de vulnerabilidades es que los usuarios comunes estén al pendiente de las actualizaciones del sistema y de los parches, pero sobre todo entender que es la única forma de protegerse.
Afortunadamente, casos como Heartbleed y Shell-shock, que se creían afectarían gravemente a internet, están creando conciencia tanto en las empresas como en los consumidores finales.
Crea controversia
Las vulnerabilidades día cero también están creando controversia a últimas fechas, en particular por una brecha encontrada en el sistema operativo Windows 8.1 y que todavía no está reparada.
Fue el equipo de Google, conocido como Project Zero, el que detectó el fallo y lo informó a Microsoft. El problema es que publicó la información 90 días después de avisar a la empresa de Redmond, y sin esperar a que se lanzara un parche.
Esto provocó la indignación de los usuarios, porque la vulnerabilidad puede ser usada por los hackers o cibercriminales para atacar, sobre todo porque esta brecha permite modificar los privilegios de un usuario y así descargar códigos maliciosos.
Hasta el momento, se sabe que la tecnológica Microsoft está trabajando en el lanzamiento de una actualización para erradicar este problema en su sistema operativo.