Vulnerabilidad y actualización, la guerra de la seguridad

Publicado el 24 febrero 2017 por Instintobinario

Hace una semana y media, quizás alguien se diera cuenta de que aparecieron por éste sitio dos artículos editados con caracteres extraños y un mensaje en inglés. Evidentemente, la edición no fue cosa nuestra, sino de dos hackers que, explotando una vulnerabilidad de WordPress, lograron realizar cambios en el sitio sin necesidad de loguearse. A pesar de no tratarse de un incidente grave, es un hecho preocupante, ya que puede devenir en una pérdida de prestigio del sitio.

La seguridad, labor día a día

Afortunadamente, este incidente ha quedado resuelto, simplemente, actualizando WordPress a la última versión disponible. Y no hay mal que por bien no venga si me sirve para ilustrar aquí la importancia de mantener nuestro software y equipos actualizados. Se trata de una labor desagradable, si, pues hay que dedicar tiempo a algo que, a priori, no parece darnos beneficio.

Sin embargo, a la larga, cuando van apareciendo vulnerabilidades, usuarios malintencionados o ciberdelincuentes, pueden aprovecharse para menoscabar nuestra confianza, estafar a otros en nuestro nombre o, simplemente, realizar ataques a terceros.

Las actualizaciones, además de dotar de nuevas funcionalidades a los sistemas, también sirven para solventar dichas vulnerabilidades. Junto con las contraseñas seguras, y el doble factor de autenticación, son la medida más importante de protección que tenemos.

Estas dos medidas, protegen nuestra puerta. Sin embargo, seguramente dejemos en casa alguna ventana abierta, con el fin de ventilar. Un ladrón bien podría utilizar una escalera para acceder a nuestra casa sin necesidad de atravesar la puerta. La ventana abierta, sería la vulnerabilidad del sistema, y la escalera es el medio encontrado por el ladrón para utilizar dicha vulnerabilidad.

La diferencia es que, en sistemas digitales, el ladrón no siempre está interesado en llevarse cosas de nuestra casa (robos de información). Puede estar más interesado en hacerse con el control de la misma y privarnos de acceso a ella (cambiar nuestra cerradura) o en tomar el control sin que nos percibamos de ello y utilizarlo en su beneficio o para sus fines (un vecino que enganche nuestro enchufe para robarnos electricidad).

Sombrero negro y sombrero blanco

Los hackers, normalmente se autoasignan una de éstas dos categorías. Antes de nada, cabe decir que un hacker no es un ladrón, simplemente es alguien apasionado por la tecnología que trata de llevarla al límite y utilizarla de formas que previamente no se había pensado. Por contra, los cibercriminales son hackers que quieren sacar provecho de las vulnerabilidades en sistemas.

Así pues, un hacker de sombrero blanco, podría ser, por ejemplo, Chema Alonso, que busca vulnerabilidades en sistemas y trata de avisar a los responsables para que mejoren la seguridad.

Por contra, un hacker de sombrero negro, sería un ciberdelincuente que, una vez encontrada una vulnerabilidad en el sistema, tratan de explotarla para hacer daño al dueño del sistema (una empresa), a terceros (ataques DDoS) o para sacar provecho económico (chantaje).

En el caso de nuestro blog, parece que fueron más hackers de sombrero blanco, pues en el texto nos sugerían que actualizásemos WordPress para que no sea vulnerable.

Espero que ahora entendáis mejor la utilidad de las actualizaciones, si es que no lo teníais claro. Y si lo consideráis, marcar la casilla de actualizaciones automáticas de vuestro sistema operativo y programar las actualizaciones del antivirus. De esta forma podréis olvidaros del asunto, y evitaréis las vulnerabilidades en la medida de lo posible.

El artículo Vulnerabilidad y actualización, la guerra de la seguridad apareció por primera vez en Instinto Binario.