Inicio / Blog / Tropezar dos veces… o actualizar

Tropezar dos veces… o actualizar

Publicado el 20/06/2013, por Marco A. Lozano (INCIBE)
imagen

El hombre es el único animal que tropieza dos veces en la misma piedra”, sin duda una de las frases populares que más sentido tiene. En la mayoría de los casos esto se achaca a que el ser humano, cegado por su “supuesta” inteligencia no es capaz de discernir el peligro o el perjuicio anteriormente vivido en situaciones similares, cuando el resto de seres son capaces de sortearlas de manera prácticamente instintiva. En otros, el caer dos veces en el mismo error puede ser debido a patrones, conductas o contextos en los que nos encontramos.

A lo largo de estas últimas semanas son numerosos los informes que se han publicado acerca de la falta de actualización de sistemas tras la publicación de algún parche por parte de los proveedores de software. Como ejemplo, la empresa WebSense ha presentado un pequeño estudio relativo al número de actualizaciones Java instaladas después del 13 de abril, cuando Oracle publicó la actualización:

Como se aprecia en el gráfico tras un mes de la fecha de publicación, apenas el 8% de los usuarios  ha actualizado sus sistemas con la nueva versión. Sin duda se trata de un dato que a más de uno le puede poner los pelos de punta (o los dientes largos) el pensar que, según WebSense, el 92% de los usuarios siguen expuestos al fallo de seguridad y más teniendo en cuenta que frameworks como Metasploit cuentan con módulos para explotar vulnerabilidades que se han corregido en la actualización. Si a estos problemas añadimos la “tendencia al alza” de los ataques del tipo “Spear Phishing” (ataques de phishing dirigidos) nos podemos hacer una idea del posible impacto que esto supone.

En relación con lo anterior, recientemente se han publicado  los boletines de Microsoft correspondientes al mes de junio. Como viene siendo habitual se corrigen una serie de vulnerabilidades en determinados productos de la empresa de Redmond, pero hemos sido testigos de una serie de noticias en las que se hace referencia a determinadas oleadas de ataques que aprovechan vulnerabilidades en la suite ofimática Office que se han corregido en boletines previos, evidenciando que las acciones que se llevan a cabo con las políticas de actualizaciones no son efectivas y los ciberdelincuentes lo saben.

Detalle de lo simple que es suplantar un correo adjuntando un archivo malicioso que explota la vulnerabilidad MS Word rtf

Este modo de actuar también se ve reflejado en la mayor parte de productos de uso extendido como puede ser el caso de Flash,  Adobe Reader, etc. y en ocasiones puede parecer incomprensible que este tipo de programas, que en su mayoría cuentan con mecanismos que facilitan la actualización automática, aún sigan siendo los “intermediarios“  de los ataques informáticos más sonados y las principales vías de entrada para los ataques dirigidos. En entornos empresariales en donde hay que poner especial atención acerca de los efectos que puede tener una actualización sobre un determinado software que utiliza una versión concreta del programa afectado que impida su actualización, no estaría de más la utilización de herramientas de protección que permitan la ejecución controlada de programas como por EMET, CrystalAEP u otras aplicaciones comerciales disponibles.

Los entornos industriales también adolecen de ciertas características que les hacen vulnerables en lo que a actualizaciones se refiere aunque afortunadamente, desde la aparición de Stuxnet en 2010, los gobiernos y organizaciones han modificado su conducta para llevar a cabo actuaciones dirigidas a proteger las infraestructuras y activos críticos en sus sistemas. En este contexto, por un lado es posible encontrar dispositivos específicos de estas arquitecturas (PLC’s, HMI’s. etc.) con importantes fallos de seguridad (contraseñas por defecto o embebidas, acceso indiscriminado, etc.) generados en gran medida porque en el momento del desarrollo del software que los componen no estaba sujeto a cumplir u otorgar ciertas medidas de seguridad en los que además, aplicar algún tipo de actualización es realmente complejo y costoso. Por otro se encuentran los sistemas operativos que a pesar de no tener soporte de los fabricantes a causa de su antigüedad, se siguen empleando para la realización de tareas que únicamente estos son capaces de llevar a cabo. Esta “obsolescencia autorizada” podría suponer un gran problema de seguridad aunque los fabricantes del sector de la seguridad se han detenido en estos problemas y han desarrollado herramientas para mantener seguros los entornos tipo “legacy”.

En resumen, los ciberdelincuentes conocen nuestra forma de actuar y se aprovechan de ello, por lo tanto, si alguna vez hemos sido infectados, comprometidos, etc. a causa de una vulnerabilidad por falta de aplicar una actualización, no tropecemos otra vez. Una buena manera de mantenerse informado acerca de las actualizaciones que se van publicando y de las últimas vulnerabilidades, es a través de la suscripción a los Avisos Técnicos, No Técnicos y el boletín de vulnerabilidades del CERT de INTECO.