Rafael Palacios, profesor de ciberseguridad en Comillas ICAI. Javier Jarauta, profesor de ciberseguridad en Comillas ICAI, director de Consultoría y responsable del CERT & Tiger Team de la empresa de seguridad SIA.
En los últimos años ha aumentado dramáticamente el número de ataques informáticos a todo tipo de entidades y a los ciudadanos en general. Son cada vez más sofisticados en cuanto a las técnicas que utilizan y, al mismo tiempo, difíciles de prevenir porque explotan nuevas vulnerabilidades recién descubiertas, los llamados “zero day”.
Un “zero day” es una vulnerabilidad que nunca ha sido publicada y que se descubre de manera repentina al analizar los detalles técnicos de un ataque concreto o porque alguien la desvela de manera inesperada. El problema es que los “zero day” están activos durante más tiempo de lo que a priori se puede esperar porque ni los usuarios ni las organizaciones aplican los parches de seguridad con la velocidad deseada, problema que se amplifica aún más en el caso de dispositivos donde ni siquiera llega a desarrollarse la solución. Los dos ejemplos más notorios de este problema fueron MS17-010 (vulnerabilidad del protocolo SMB para compartir archivos en sistemas Windows y pieza clave en el ataque WannaCry de mayo de 2017) y MS01-033 (la falta de parche hizo que el virus Code Red infectara hasta a 400.000 servidores al día en 2001).
Cuando aparece un “zero day”, los fabricantes o desarrolladores afectados se apresuran para preparar un parche de seguridad y distribuirlo lo más rápidamente posible para proteger a sus clientes. Pero al mismo tiempo los atacantes lanzan productos que explotan la vulnerabilidad, y suelen ser muy exitosos. De hecho, los ataques son 100% efectivos mientras no exista un parche de seguridad. Algunos casos recientes en que se ha hecho público un agujero de seguridad antes de que existiese parche han sido Krack (octubre 2017) y Meltdown/Spectre (enero 2018).
El primero es una vulnerabilidad del protocolo WPA2 que se utiliza en las comunicaciones WiFi para cifrar la información. Al tratarse de un error en el protocolo, y no de una implementación concreta, todos los clientes WiFi se vieron repentinamente afectados. Aunque en diversos medios se exageró el posible impacto de este problema, desde el punto de vista práctico la vulnerabilidad suponía un riesgo equivalente a conectarse a una red WiFi pública. Fue corregida por los principales fabricantes en el plazo de un mes desde la publicación.
Por su parte, Meltdown y Spectre son un conjunto de vulnerabilidades de diseño de los procesadores Intel y ARM que afecta a casi todos los ordenadores personales, servidores, móviles y tabletas. El 3 de enero de 2018 se filtraron Meltdown y Spectra, cogiendo por sorpresa a todo el sector (tan sólo Apple había llegado a distribuir en las actualizaciones de diciembre mitigaciones parciales). A lo largo del mes de enero fueron apareciendo diferentes parches, aunque todavía no está totalmente corregido.
La mejor manera de evitar un “zero day” es el Hacking Ético. En cierto modo se trata de adelantarse lo más posible a los atacantes, porque se descubre vulnerabilidades con suficiente antelación como para que los fabricantes desarrollen los parches y los usuarios los instalen. Continuamente estamos viendo parches que corrigen vulnerabilidades que nunca han llegado a ser explotadas. Por eso el Hacking Ético juega un papel fundamental en la parte preventiva de la seguridad. Destacan los equipos internos de seguridad de las grandes compañías de hardware y software, empresas de seguridad, Google Project Zero o los investigadores independientes. Cada vez hay más organizaciones que están implementando los “Bug Bounty Program”, especialmente empresas de software o servicios web.
Estos programas promueven en Hacking Ético, estableciendo unas reglas básicas de ataque y comunicación responsable de los descubrimientos, y premiando económicamente a los investigadores en función de la severidad de las vulnerabilidades encontradas. “Bug Bounty Program” fue creado por Netscape (precursor de Firefox), y recientemente se han popularizado entre todas las grandes empresas de software o servicios web que ya cuentan con un nivel elevado de seguridad. Facebook Bug Bounty pagó a los investigadores 880.000 dólares durante 2017, pero la cantidad de dinero depende del tipo de vulnerabilidad. Recientemente el investigador chino Guang Gong recibió más de 100.000 dólares por parte de Google por una vulnerabilidad que conseguía atacar de forma remota a Pixel, el último teléfono de Google.
En este contexto, el interés de las empresas de seguridad por contratar personal formado en cuestiones de Hacking Ético es creciente. Sin embargo, es importante tener en cuenta que si la tecnología cambia a un ritmo muy acelerado, la relativa a seguridad lo hace mucho más rápido. Es muy normal que una técnica que hoy en día sea muy eficaz para atacar o verificar un determinado tipo de entorno, pase a considerarse completamente obsoleta dentro de dos años. En este sentido, las empresas de seguridad están más interesadas en perfiles con una sólida formación básica y con carreras donde se haya demostrado la capacidad de aprender y de adaptarse a nuevas tendencias y nuevos retos, más que la formación técnica muy específica ya que forma perfiles menos interesantes en el largo plazo.
