Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La vulnerabilidad más grave

La fama de una vulnerabilidad no debería significar inmediatamente que se trata de un apocalipsis en seguridad. Hay que analizar cada caso.

Una debilidad informática tiene principalmente dos orígenes. La primera existe porque el software está programado de tal manera que permite a alguien o a algo realizar ciertas operaciones que no fueron pensadas en un principio por su creador. Este tipo de vulnerabilidades, a su vez, se dividen en dos: porque el algoritmo tiene un hueco o porque la implementación (programación) del algoritmo lo tiene. La otra fuente se origina por configuraciones de hardware o software que pueden ser abusadas; normalmente estas configuraciones vienen de fábrica y buscan que el producto opere adecuadamente, pero no buscan su seguridad. Estas configuraciones también pueden ser cambiadas por un administrador que, sin saberlo, introduce inseguridad.

Las vulnerabilidades pueden ser aprovechadas por atacantes que quieren sacar algún provecho, y la consecuencia de explotar una debilidad tiene diferentes impactos. Por ejemplo, algunas permiten ingresar a un sistema, otras otorgan mayores privilegios y otras más permiten al atacante el poder de ver información cifrada, pero en claro (sin cifrado).

En tiempos recientes, vimos varias de estas debilidades. Heartbleed, Shellshock, POODLE. Los sitios de internet y las noticias hicieron un gran escándalo por ellas. Algunos hasta desarrollaron logotipos de estas debilidades –y cómo no hacerlo, si el nombre de estas debilidades no hace otra cosa que despertar la imaginación por cómo fueron bautizados–: El corazón sangriento, el golpe de un shell o el perrito chico, pero peligroso. Pareciera que todo lo que una debilidad necesita hoy en día para ser popular es tener un nombre llamativo y un logotipo alucinante.

No obstante,a pesar de los nombres rimbombantes y los logotipos "cool", no todas ellas son peligrosas para todos los entornos tecnológicos, ni tienen el mismo impacto o nivel de riesgo. Pero, vaya, muchos piensan que porque sale en las noticias vespertinas o en las noticias de la radio, debe de ser algo grave. "Riesgo alto, ¡hay que solucionar la debilidad de inmediato!", dirán algunos.

Pero, esperen. Hay que hacernos algunas preguntas. Primero: ¿Nos vemos afectados? Luego, ¿cuáles sistemas se ven impactados? ¿Hay solución parcial o es ya la definitiva? Y sobre todo, la pregunta del millón: ¿Cuál es el riesgo?

En los ambientes corporativos existen diversos controles de seguridad en la red y en los sistemas. Pueden ser desde firewalls, antivirus, detectores de intrusos, endurecimiento y un largo etcétera. Ahora bien, cuando ponemos los controles, la debilidad, la probabilidad de explotación y las capacidades de las posibles amenazas, todas ellas en una licuadora, obtendremos el nivel de riesgo. Eso es lo que nos dirá la gravedad del asunto y la rapidez con la que debemos atenderlo.

Así que, cuando salga la próxima debilidad con nombre estrafalario y sea declarada como "la más grave de todos los tiempos", sentémonos a analizar si realmente lo es para nuestro entorno informático. Si tiene la capacidad, hasta resulta beneficioso tratar de explotar la debilidad uno mismo para ver realmente qué tan fácil es hacerlo y determinar cuál es la disponibilidad del llamado exploit y la facilidad para ejecutarlo exitosamente, la gravedad de la debilidad, la afectación real de la infraestructura y, en el peor de los casos, hasta la capacidad de su personal.

Recuerde que tratar todas las debilidades de igual forma y con el mismo nivel de urgencia no es lo adecuado, porque eso sí podría llevarnos a descuidar lo verdaderamente riesgoso. Así que mi recomendación es que cuando escuche de una vulnerabilidad grave, no salga corriendo gritando "¡viene el lobo, viene el lobo!”; mejor siéntese a analizar si realmente ha llegado “el lobo” y por qué.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close