Web exploits: qué son, cómo funcionan y cómo defenderse (Parte 2)

Los sistemas informáticos se deben mantener siempre actualizados

Hemos querido dedicar un amplio espacio al tema del «Web Exploit», un tema que todo responsable informático debería tratar con familiaridad; por ello, publicaremos dos artículos complementarios.

» Part 1: Primer artículo
» Part 2: the present article!

1. Exploits de Hardware

Aunque los exploits de software son los más comunes, no son los únicos que existen. A veces los atacantes son capaces de explotar fallos en el hardware físico (y el correspondiente firmware) de un dispositivo.
El caso más conocido es el de Meltdown y Spectre, que son dos vulnerabilidades en el hardware de los procesadores que han adquirido notoriedad por su potencial peligrosidad.
Fueron descubiertas (se estima que en junio de 2017) por el Project Zero de Google (GPZ), un grupo de trabajo que investiga vulnerabilidades, simultáneamente con investigadores de varias universidades y luego divulgadas a principios de 2018.

Meltdown se designa técnicamente como la vulnerabilidad CVE-2017-5754 («rogue data cache load») y solo afecta a los procesadores fabricados por Intel, mientras que Spectre son en realidad dos vulnerabilidades: CVE-2017-5753 («bounds check bypass») y CVE-2017-5715 («branch target injection»). Afecta a todos los procesadores: Intel, AMD e incluso los fabricados con arquitectura ARM.
Por suerte, no se tiene constancia de que se haya creado ningún exploit para aprovechar estas vulnerabilidades (porque en la práctica apenas son «explotables»). Intel y otros fabricantes de chips han publicado parches (primero de software y luego de hardware) para mitigar los riesgos.

>> Lo analizamos en este artículo

2. Cómo defenderse de los exploits web

Desarmar los exploits de la web requiere eliminar las vulnerabilidades.
Esta medida de ciberseguridad es obvia pero, por desgracia, no siempre se aplica con el debido cuidado.
Las vulnerabilidades de día cero son las más temidas, pero no las más utilizadas por los exploits.

Un interesante informe de Verizon nos dice que el 85% de los exploits ejecutados con éxito se deben a sólo diez vulnerabilidades, seis de las cuales tienen más de diez años y, por lo tanto, ya han tenido un parche que las soluciona.
En otras palabras, el remedio para estos fallos (responsables de la mayoría de los ataques) existe desde hace diez años, pero, evidentemente, quienes deberían actualizar los sistemas no lo están haciendo con la celeridad que deberían.

En definitiva, podemos decir que la mayoría de los exploits actúan después de la publicación del parche; así que el momento de mayor riesgo es la llamada «ventana de vulnerabilidad«. Este término se utiliza para definir el intervalo de tiempo entre la publicación del parche y su instalación para cerrar la vulnerabilidad.
De hecho, en el momento en que se publica el parche, la vulnerabilidad pasa a ser conocida por cualquiera. Analizando el propio parche, un atacante puede averiguar cómo aprovecharse de la vulnerabilidad y, con técnicas de «ingeniería inversa», puede construir el exploit web para atacar sistemas que aún no hayan sido parcheados.
Es importante formar, informar y concienciar a los usuarios de los sistemas informáticos (ya sean PC, servidores o redes corporativas) de los riesgos de los sistemas sin parches.

>> FlashStart te protege de una amplia gama de amenazas y bloquea el acceso a sitios dañinos ? Inicie su prueba gratuita ahora

Por lo tanto, es necesario trabajar en el factor humano, que, como siempre, es la principal causa de los ciberataques.
La explicación anterior ha encontrado una confirmación rotunda en los últimos días, cuando se produjo un ataque masivo que afectó a organizaciones de muchos países.

Según el CERT-FR y la Agencia Nacional de Ciberseguridad (ACN), esta campaña de ataque explotaba la vulnerabilidad CVE-2021-21974, relacionada con el conocido software de virtualización VMware ESXi para la que existe un parche disponible desde el 23 de febrero de 2021. Así que, una vez más, el error humano se confirma como la causa número uno de los ciberataques: en este caso, ¡no tener disponible la actualización de seguridad desde hace casi dos años!
En conclusión, sólo hay una cosa que hacer: actualizar siempre los sistemas y el software con parches, despojando así a los exploits de su eficacia.
Si cierras todas las vulnerabilidades, los exploits ya no encontrarán terreno útil sobre el que operar.

3. ¿Qué pasa si no es posible una actualización?

La actualización constante debería ser el mandamiento de cualquier responsable informático… por desgracia, hay situaciones en las que la actualización no es posible o es muy complicada y/o cara.
Esto es especialmente cierto en los sistemas de control industrial (ICS), donde una actualización podría afectar al funcionamiento de sistemas industriales anticuados incapaces de soportar software más reciente.

En estos casos, es peligroso limitarse a «no actualizar, porque puede que no funcione», que es una forma demasiado superficial de hacer frente a los ciberriesgos actuales.
En su lugar, deben adoptarse soluciones defensivas «paliativas», como la instalación de parches virtuales, si es posible. Alternativamente, los sistemas que no puedan actualizarse deberían segregarse en redes separadas y no exponerse directamente en la Web.

4. El autor

Giorgio Sbaraglia, ingeniero, ofrece consultoría y formación en seguridad de la información y privacidad.
Imparte cursos sobre estos temas para muchas de las principales empresas de formación italianas, como ABIFormazione y 24Ore Business School.
Es coordinador científico del máster «Ciberseguridad y Protección de Datos» de 24Ore Business School.
Es miembro del Comité Científico de CLUSIT (Asociación Italiana para la Seguridad de la Información) y «Gestor de la Innovación» certificado por RINA.
Ocupa puestos de DPO (Responsable de Protección de Datos) en varias empresas y asociaciones profesionales.
Es autor de los libros
» “GDPR kit di sopravvivenza” (Editore goWare),
» “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (2a edizione 2022, Editore goWare),
» “iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Es colaborador de CYBERSECURITY360, Cybersecurity group’s specialist publication.
También escribe para ICT Security Magazine, para AGENDA DIGITALE, y para la revista CLASS.

En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Category: Comprender la seguridad en Internet, Destacados, Mejoras, OEM y fabricantes
Reading time 2 min
Giorgio SbaragliaInformation & Cyber Security Advisor
En la actualidad, Asesora de Información y Ciberseguridad y DPO (Responsable de Protección de Datos). ¿Mi misión? ¿Tu Misión? Concienciar ("Awareness") de la importancia de la Ciberseguridad en las empresas y en las personas, que de las empresas son la fuerza.

Ver todas las entradas de Giorgio Sbaraglia

En la actualidad, Asesora de Información y Ciberseguridad y DPO (Responsable de Protección de Datos). ¿Mi misión? ¿Tu Misión? Concienciar ("Awareness") de la importancia de la Ciberseguridad en las empresas y en las personas, que de las empresas son la fuerza.
Compartir:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube
Related posts
Internet Shield: defensa digital contra las amenazas en línea
Proteja su red: Guía completa del servicio de filtrado de contenidos del Firewall
Haz que tus búsquedas en Internet sean seguras con DuckDuckGo Safe Search
La trampa oculta de la Web: ataque de suplantación de DNS y cómo protegerse