Ataques

Así de rápidos son los crackers para aprovechar las vulnerabilidades

¿Cuánto tiempo tardan los ciberdelincuentes en aprovecharse de un fallo ciberseguridad una vez que este se hace público? Un estudio ha demostrado que los crackers son realmente rápidos en este sentido.

Imagen de un atleta corriendo sobre una carretera
Foto: Piqsels.

El equipo de investigación de Cortex Xpanse analizó durante el primer trimestre de 2021 50 millones de direcciones IP -el identificador que tiene cada dispositivo que se conecta a Internet- de 50 empresas. El objetivo, según declaran los autores, era “comprender mejor la ventaja que tienen los adversarios en la detección de sistemas que son vulnerables a los ataques“. 

Y descubrieron que tenían una ventaja de velocidad. Los investigadores analizaron lo que llaman “tiempo medio de inventario” -MTTI, por sus siglas en inglés, que es el tiempo que le toma a alguien comenzar a buscar una vulnerabilidad después de que se anuncia. Es decir, ¿cuánto tarda un cracker en dar con un problema de ciberseguridad que se hace público?

Para ello, se fijaron en los casos publicados en la lista de Vulnerabilidades y Exposiciones Comunes -CVE, por sus siglas en inglés-, un listado público de vulnerabilidades de ciberseguridad que permite a los especialistas informáticos coordinarse para resolverlas. Y, entonces, surge la pregunta que el estudio pretende resolver: ¿Cuánto tiempo pasa desde que se publica una vulnerabilidad en CVE hasta que la detecta un ciberdelincuente?

Pues la mayoría de los casos analizados mostraron que los ciberdelincuentes comenzaron a trabajar con esa información solo entre 15 y 60 minutos después de que se haga pública. Su ‘récord’ entre los casos monitorizados se produjo el 2 de marzo, día en que tardaron solo cinco minutos en dar con una vulnerabilidad de Microsoft.

Las empresas, más lentas que los ciberdelincuentes

Esa celeridad que tienen los ciberdelincuentes contrasta con la ‘lentitud’ de las empresas para defenderse. Así, el estudio afirma que las empresas detectaron esos problemas al cabo de 12 horas desde su publicación.

Los investigadores explican que las compañías son así de lentas principalmente porque la superficie de ataque ha crecido mucho al mover sus bases de datos a la nube, porque las empresas solo realizan verificaciones trimestralmente -y estas podrían no ser lo suficientemente completas- y los escáneres de vulnerabilidades dependen de las actualizaciones oportunas de la base de datos CVE.

¿Por qué se publican estas vulnerabilidades antes de que se solucionen?

Parece un contrasentido que se hagan públicos problemas de ciberseguridad en el CVE antes de que se hayan solucionado. “En un mundo ideal, en efecto, antes de que el CVE se publique, el organismo encargado sacaría un parche que arreglase el problema“, opina Pablo F. Iglesias, fundador de la consultora de Presencia y Reputación Online CyberBrainers.

Este problema no se debe al desconocimiento de la empresa responsable del sistema vulnerable. De hecho, sucede todo lo contrario. Iglesias explica que, para que llegue a publicarse el CVE, se debe de haber informado previamente a la compañía afectada para que confirme el problema. “Otra cosa es que destine los recursos necesarios para solucionarlo antes de que se publique”, añade el experto.

Parece que ya es bastante habitual que exista un ‘pacto de hombres’ en el que se dan alrededor de 8 semanas -dos meses- para que el equipo encargado lo solucione antes de hacerlo público. Pasado ese tiempo, se entiende que ya pesa más el derecho a la información de la sociedad que el propio interés de la organización por ocultar el fallo”, concluye Iglesias.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.