Las vulnerabilidades ¿Qué son? ¿Por qué existen? ¿Cómo evito sus consecuencias?

noticia

“Cualquier producto presenta vulnerabilidades, cualquier vulnerabilidad representa una amenaza”
Para bien y para mal, la Digitalización y la Transformación Digital asociada, están cambiando el mundo, ampliando y diversificando la cantidad de información a la que tenemos acceso, para lograrlo la información tiene que ser accesible y al hacerla accesible la exponemos a amenazas
Siendo imparables y hasta el momento irreversibles, es muy importante ir ampliando de manera constante, nuestro conocimientos sobre los conceptos que tienen que ver con esos procesos.
En Informática y especialmente en Ciberseguridad, generalmente cuando hablamos de las vulnerabilidades intentamos compararlas con la imagen que se tiene de una grieta, es útil hacerlo así, pero no es la manera más exacta de verlo.

grieta

¿Qué son las Vulnerabilidades?

De manera muy breve, una vulnerabilidad es una debilidad, sea esta conocida o no incluso por el propio fabricante o desarrollador, que pone en riesgo la Seguridad de la Información o de los procesos asociados.

Una vulnerabilidad (debilidad) puede estar en la estructura o funcionamiento de un programa, sistema, web o base de datos, equipos, piezas, componentes, y un largo etcétera.

Comparando el ejemplo de la grieta y el de la debilidad aplicados en algo que todos conocemos, como la cáscara de un huevo, la grieta es una falla visible en su superficie, la debilidad es por ejemplo una falta de calcio en su composición que lo hace total o parcialmente más débil, menos resistente.

La diferencia entre grieta y debilidad, pareciera ser simplemente que una salta a la vista y la otra no, pero debemos evitar simplificar demasiado, es un grave error que limita nuestra comprensión de las vulnerabilidades, especialmente cuando hay tantos ciberdelincuentes dedicando tiempo, conocimientos y recursos a descubrirlas, entenderlas, aprovecharlas (explotarlas) y compartir sus resultados con otros “colegas en el crimen”.

Por lo tanto que un sistema, equipo o web, aparentemente funcione bien o lo haya estado haciendo durante años, no es garantía alguna, con toda seguridad tendrá vulnerabilidades que permitan a un atacante comprometer la integridad, disponibilidad o confidencialidad de los procesos o datos, hoy, mañana o desde ayer sin saberlo.

Muchas veces la vulnerabilidad ha sido aprovechada (explotada) resultando en que ya estén dentro (los ciberdelincuentes) sin que nadie se haya dado cuenta por falta de medios y de personal con los necesarios y especializado conocimientos sobre Ciberseguridad.

¿Por qué existen las Vulnerabilidades?

Las vulnerabilidades generalmente se crean por tres razones principales, muy conocidas:

  1. Falta de conocimientos sobre Seguridad y Ciberseguridad de parte de quienes diseñan, desarrollan, programan y prueban los productos.
  2. Falta de tiempo y otros recursos en las diferentes fases de desarrollo de un producto, especialmente para las fases de pruebas previas a su lanzamiento al público o mercado.
  3. Falta de Diligencia instalando los parches de seguridad que generan los fabricantes, el virus Wanacry generó pérdidas, pero existía un parche que lo bloqueaba desde dos meses antes. Afortunadamente el virus estaba mal programado y fue detenido rápidamente (el virus tenía una gran vulnerabilidad en si mismo)

¿Cómo evito sus consecuencias?

En Ciberseguridad la mayoría de las soluciones comienzan y se basan en el conocimiento.

Es vital que la Directiva de una empresa u organización y sus usuarios, sepan y entiendan que una vulnerabilidad no solo es una grieta que se ve y conoce, sino cualquier debilidad que pueda ser o ya está siendo aprovechada en contra de la Seguridad de la Información.

Con ese conocimiento se abren los ojos de la mente a la dura realidad relativa al hecho de que un equipo, programa o sistema aparentemente funcione bien, no significa en absoluto que sea seguro, ya que para empezar, los ciberdelincuentes que no son novatos, evitan entrar como un “Elefante en un Cristalería”, llamando la atención y dejando claros rastros de su paso.

Las medidas concretas serían las siguientes:

  1. Lo primero es tener instalados en los sistemas operativos y programas, los parches de seguridad y actualizaciones que vayan saliendo. Lamentablemente algunos fabricantes escatiman los recursos al probar los parches antes de hacerlos públicos, pero hay medidas para contrarrestar esa falta de responsabilidad.
  2. Lo segundo es ir implementando de manera escalonada e inteligente, medidas de seguridad que cuenten con la debida supervisión profesional, para ir haciendo que los ciberdelincuentes encuentren suficientes obstáculos al atacar su empresa como para preferir buscar un objetivo más fácil, inseguro y menos vigilado.

Hay medidas de seguridad gratuitas interesantes, sin embargo la mayoría de las veces, su efectividad depende principalmente de que haya personal calificado y especializado configurándolas y supervisándolas intensamente. Lo anterior no quiere decir que con una herramienta de seguridad cara, no necesitará supervisión o ajustes especializados, los necesitará, pero generalmente tendrá más opciones, más potencia, más efectividad, más  automatismos, reportes de amenazas y versatilidad.

También es importante tomar en cuenta que para este artículo buscando la simplicidad, estamos obviando situaciones tan particulares como ¿qué es más vulnerable una pared de piedra con una grieta o una pared de pladur sin grieta alguna? y también resaltar que no es igual, una fisura, que una grieta, que un agujero. Habría que analizar cada caso en detalle, aunque con los ciberdelincuentes todos esos casos representan amenazas a evitar.

Por todo lo anterior, es tan importante y necesario, hacer análisis periódicos de vulnerabilidades de las webs y de la infraestructura/sistemas de las oficinas y empresas; sin confundirlos con Test de intrusión o Pentesting.

En los siguientes artículos, manteniendo al máximo la claridad, iremos ampliando este importante tema y sus conceptos.