Los hackers se ponen a buscar los CVE en 15 minutos
Los estacionamientos atraen a los ladrones. Con un montón de coches alineados unos junto a otros, todo lo que tiene que hacer un ladrón es inspeccionar los vehículos a medida que recorre las distintas zonas, buscando una ventana abierta, una puerta mal cerrada o artículos caros dejados a la vista. Es casi demasiado fácil, y prácticamente hay una garantía del 100% de que un coche contendrá tesoros valiosos.
Los piratas informáticos actúan de forma muy parecida. Tomemos como ejemplo los ataques de phishing. Al igual que una ventana que se deja abierta accidentalmente, es probable que un empleado haga clic por error en un correo electrónico de phishing, invitando al pirata informático a entrar en la infraestructura de la empresa de una forma u otra.
Los ataques de ingeniería social son los más habituales: el 98% de los ataques utilizan la ingeniería social, y la empresa promedio se enfrenta a más de 700 de estos ataques cada año. Pero eso es sólo la punta del iceberg de la piratería informática. Los piratas informáticos tienen muchas tácticas para iniciar un ataque. Pueden utilizar virus, ataques bait & switch, realizar ataques de negación de servicio (DoS), usar software de registro de claves y aprovechar las cookies robadas, entre otras cosas. Una de las tácticas menos conocidas, pero potencialmente más peligrosas para que un pirata informático inicie un ataque, es la búsqueda de vulnerabilidades. Una vez que se anuncia públicamente una nueva vulnerabilidad, pueden buscarla y encontrarla en unos 15 minutos, ¡mucho menos tiempo del que se tarda en recibir un pedido de UberEats!
Cómo buscan vulnerabilidades los hackers
Al igual que los ladrones de coches, los piratas informáticos empiezan con un reconocimiento para encontrar vulnerabilidades en el entorno informático de una empresa. Pueden utilizar un escáner de vulnerabilidades para que haga el trabajo por ellos, encontrando rápidamente un punto de entrada, mapeando sistemas y firewalls, e incluso detectando puertos abiertos, todo ello mientras utilizan técnicas de evasión para ocultarse de los sistemas de detección de intrusiones.
Un hacker experimentado puede ejecutar un escaneado y desplegar un ataque de forma independiente. Sin embargo, los escáneres de vulnerabilidades actuales son tan fáciles de usar, que un hacker aficionado puede lanzar un escaneado y vender la información a un atacante más experto o asociarse con él para obtener acceso y lanzar un ataque posteriormente.
Aquí está el quid de la cuestión: los hackers pueden escanear de forma regular, simplemente buscando un sistema sin parchear, o pueden esperar hasta que la comunidad de seguridad los señale claramente, listándolos como Vulnerabilidades y Exposiciones Comunes (CVE). Por supuesto, los CVE se divulgan públicamente para alertar a los administradores de sistemas de los problemas, de modo que puedan ser parcheados inmediatamente. Sin embargo, el resultado involuntario es que los hackers también ven el comunicado, lo que les permite explotar la vulnerabilidad mucho antes de que los equipos de TI tengan la oportunidad de parchearla.
Cómo se divulgan las vulnerabilidades y cómo se anuncian los CVE
Financiada por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la corporación MITRE supervisa el programa CVE. A cada CVE anunciado públicamente se le asigna un ID CVE para mantener las vulnerabilidades organizadas y reconocibles.
Cuando usted, una empresa u otros miembros de la comunidad de código abierto identifican una vulnerabilidad, definida como “código que puede ser explotado, lo que provoca un impacto negativo en la confidencialidad, integridad o disponibilidad, requiriendo una modificación del código, un cambio de las especificaciones o una degradación de las especificaciones para mitigarlo o solucionarlo”, debe seguirse un proceso específico.
He aquí un breve resumen del proceso:
- En primer lugar, compruebe la lista CVE para ver si ya tiene un ID CVE.
- Si se trata de una vulnerabilidad recién descubierta, póngase en contacto directamente con el proveedor del producto para ver si hay un parche disponible y se puede probar. Si el proveedor no responde, póngase en contacto con un coordinador externo como CERT/CC o, en casos extremos, anuncie el problema en un foro público como Bugtraq para ver si otros pueden validar su reclamación.
- A continuación, se asignará un ID al CVE por parte de una Autoridad de Numeración de CVE (CAN) o CERT/CC participante. Si no, puede rellenar un formulario de solicitud de CVE de la CAN of Last Resort (CAN-LR) de MITRE aportando la información requerida. Una vez confirmada la vulnerabilidad, el equipo de CVE asignará un ID.
- Comparta el ID del CVE con cualquier proveedor afectado y prepare un comunicado de vulnerabilidad con el ID del CVE (escrito como CVE-YYYY-NNNN). En el caso de varios CVES, especifique qué ID está relacionado con qué vulnerabilidad.
- Por último, póngase en contacto con el MITRE CAN-LR, compartiendo los enlaces a su comunicado público y una descripción de la vulnerabilidad.
Lo hemos dicho antes, pero lo repetimos: los estudios demuestran que, a los 15 minutos de un comunicado público, ¡los hackers ya están buscando esa vulnerabilidad!
Los hackers no se detendrán nunca
El hackeo es increíblemente lucrativo. En 2021, el coste global de la ciberdelincuencia fue de más de 6 billones de dólares, y en 2025 costará al mundo 10,5 billones. Los delincuentes son difíciles de atrapar y perseguir, lo que lo hace aún más atractivo para aquellos con ciertas habilidades y carentes de código moral.
Cada año y, a veces, cada pocos meses, los actores maliciosos encuentran nuevas formas de aterrorizar a las empresas, explotar vulnerabilidades y, en general, sembrar el caos. Pueden seguir y seguirán por ese camino simplemente porque les suele resultar muy fácil. Mientras que ellos sólo necesitan encontrar una vulnerabilidad, los profesionales de la seguridad están siempre ocupados buscando otras muchas en sus superficies de ataque y priorizando cuáles deben ser corregidas en un bucle sin fin.
Sin embargo, la historia es menos sombría para los administradores de sistemas que controlan su seguridad las 24 horas del día, los 7 días de la semana. Pueden tomar medidas proactivas, emplear las herramientas adecuadas y analizar continuamente su infraestructura para detectar cualquier intrusión antes de que se produzcan daños. Aunque esto requiere vigilancia y tiempo, mantener una postura segura es la única forma de tener una oportunidad frente a las amenazas en constante evolución.
El ‘dilema del prisionero’ para mantener la seguridad
Consideremos el “dilema del prisionero”, una teoría de juegos que plantea una hipótesis de resultados en función de si dos delincuentes cooperan o trabajan el uno contra el otro. Esta teoría sostiene que, si ambos trabajan en equipo, obtienen el resultado más favorable, mientras que, si se vuelven el uno contra el otro, o uno se vuelve contra el otro, el resultado es peor.
Cuando se aplica a los ataques de ransomware, la teoría plantea el interrogante de si las empresas que son víctimas deben informar sobre el incidente para que otros puedan aprender de su experiencia o guardárselo para sí mismas por interés propio.
Con demasiada frecuencia, las empresas, especialmente las que cotizan en la bolsa de valores, no informan de los incidentes cibernéticos porque ello no beneficia a sus propios intereses y porque podría acarrearles repercusiones como daños a su reputación o pérdida de ingresos. Sin embargo, la empresa se perjudica a sí misma, a otras empresas y a la comunidad de seguridad en general. Las consecuencias y la frecuencia de las notificaciones se reflejan en las pólizas de ciberseguros. Las aseguradoras exigen ahora a los asegurados no sólo que revelen los ataques, sino también que se asocien con centros de operaciones de seguridad (SOC) para garantizar una vigilancia permanente y demostrar enfoques proactivos en materia de seguridad.
Aunque el ritmo al que evolucionan las tácticas de los piratas informáticos es suficiente para volver loco a cualquiera, puede consolarse sabiendo que los expertos se ocupan de estos problemas con regularidad y observan y rastrean constantemente los patrones de comportamiento para identificar nuevos métodos de ataque en una fase temprana.