ClickCease 0-días, n-días, demasiados días

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

0-días, n-días, demasiados días

Joao Correia

14 de febrero de 2024 - Evangelista técnico

Un vendedor de software, un actor de amenazas y un cazador de recompensas entran en un bar. El cazador de recompensas dice: "¿Habéis oído hablar de este nuevo fallo que acabo de descubrir?". "Nunca he oído hablar de él", responde el vendedor de software. El actor de la amenaza esboza una sonrisa de oreja a oreja. Mientras tanto, los usuarios de la otra mesa se beben sus penas, completamente ajenos a todo.

Vale, no es un chiste gracioso. Pero es un sombrío reflejo de la realidad de las TI.

 

Noticias de última hora: El agua moja

 

Google descubrió que el 80% de los exploits de día cero que encuentra pueden ser rastreados hasta vendedores "comerciales" de software espía. En un giro nada sorprendente que seguramente pasará a la historia como "Rosebud 2". Google descubrió que más de la mitad de todos los exploits de día cero de los últimos 10 años que afectan a los productos y servicios de Google fueron creados, utilizados o identificados por proveedores comerciales de software espía..

Además, Google identificó la verdadera razón por la que esto ocurre -el incentivo económico que recompensa a los CSV- y cómo ese factor es el que impulsa la caza de nuevos exploits. En el continuo tira y afloja entre los proveedores de software que cierran exploits y los actores de amenazas que encuentran otros nuevos, la capacidad de monetizar nuevos fallos perpetúa esta actividad independientemente de las muchas mejoras introducidas en la creación, comprobación y validación del software. 

Nombres tan conocidos como NSO Group (responsable del infame programa espía Pegasus), siguen ganando millones -y, de hecho, siguen operando como una empresa legítima- a pesar de que todo su modus operandis consiste en encontrar, explotar y vender herramientas de acceso remoto, vigilancia y espionaje.

 

De 0 días a n días

 

También llama la atención que Google proponga el concepto de que los "n-días" son tan peligrosos como los 0-días en términos de ciberseguridad. La diferencia aquí es que un exploit de día 0 aún no ha sido abordado por el proveedor (o el parche aún no se ha entregado), y un "n-día" es un exploit para el que ya existe un parche, pero que aún no se ha desplegado en un sistema. Desde los dispositivos móviles hasta los servidores web, el mismo concepto se aplica sin cambios.

De hecho, el riesgo de los n-days es probablemente mayor que el de los 0-days. Mientras que el día 0 sólo es conocido por un pequeño grupo de actores de amenazas, o incluso por uno solo, un día n suele tener avisos e informes publicados en múltiples puntos de venta, lo que lo hace mucho más visible para cualquiera que lo busque. De hecho, herramientas como Metasploit se actualizan a menudo con las últimas pruebas de concepto de nuevas vulnerabilidades apenas unos días después de su divulgación. En ese momento, se convierte en un juego de la lotería para los equipos informáticos: parchear los fallos antes de que alguien indague sobre su existencia en los sistemas que gestionan.

No se lleve una impresión equivocada: si se descubre que su sistema es vulnerable y un agente de amenazas lo está sondeando, no importa realmente si se trata de un 0-day o de un n-day. Hasta que se parcheen, ambos pueden causar problemas por igual.

En TuxCare hemos insistido repetidamente en que hay que parchear. Se podría argumentar que tenemos interés en hacerlo, ya que ofrecemos KernelCare Enterpriseuna herramienta de aplicación de parches en vivo que facilita precisamente eso: la aplicación de parches de forma inmediata cuando un parche está disponible, en lugar de en algún momento en el futuro. Pero en realidad va más allá.

La inmediatez del despliegue de un parche es una carrera contra el tiempo, en la que el segundo puesto podría costarle millones a su organización (coste de una brecha). También porque cada brecha exitosa envalentona a los actores de amenazas para continuar su actividad, con mayores ganancias a la vista.

Pero también es el camino más seguro. No hay mucho que hacer contra los días cero. No es posible conocer ni protegerse de amenazas que no han sido reveladas o para las que no existe parche. Pero cada día que retrasas la aplicación de un parche cuando ya existe para tus sistemas es un día más que no deberías dar a los actores de amenazas para que te ataquen.

Todavía estamos lejos de una solución mágica que arregle la ciberseguridad de forma generalizada para todos. Es probable que nunca la tengamos. La única opción real es mitigar el riesgo siempre que sea posible. La mentalidad de "a mí no me va a pasar" es un gran enemigo: los actores de amenazas no siguen esta idea.

 

Proveedores comerciales de programas espía

 

La legitimación de los programas espía como industria crea un campo de batalla sesgado en la ciberseguridad. Cuando los gobiernos pasan por alto las operaciones de estos vendedores, ignoran los amplios riesgos que suponen para la seguridad y la privacidad digitales. Es crucial reconocer y abordar las distorsiones introducidas por la industria comercial del spyware, que se beneficia de la creación y explotación de vulnerabilidades a expensas de la ciberseguridad global.

 

Avanzar

 

Aunque no existe una panacea para los innumerables retos que plantea la ciberseguridad, el camino a seguir pasa por una mitigación diligente de los riesgos. Es fundamental aceptar la realidad de que existen vulnerabilidades y actuar con rapidez para solucionarlas. La comunidad de la ciberseguridad debe seguir abogando por una divulgación responsable de las vulnerabilidades, unas prácticas de seguridad sólidas y la rápida aplicación de parches. Sólo mediante un esfuerzo colectivo podremos mantener una apariencia de seguridad en el mundo digital.

La conversación entre el vendedor de software, el actor de la amenaza y el cazarrecompensas de bugs en el bar metafórico no es sólo un reflejo del estado actual de la ciberseguridad, sino una llamada a la acción. La concienciación, la vigilancia y las medidas proactivas son nuestra mejor defensa contra las amenazas en constante evolución que plantean tanto las vulnerabilidades conocidas como las desconocidas. Todos tenemos un papel que desempeñar para salvaguardar la frontera digital y deslegitimar los modelos empresariales centrados en explotar, robar y piratear a los demás.

 

Resumen
0-días, n-días, demasiados días
Nombre del artículo
0-días, n-días, demasiados días
Descripción
Google descubrió que más de la mitad de todos los exploits de día cero de los últimos 10 años afectan a productos y servicios. Lea nuestra reflexión
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín