El hombre es el único animal que tropieza dos veces en la misma piedra”,  sin duda una de las frases populares que más sentido tiene. En la mayoría de  los casos esto se achaca a que el ser humano, cegado por su “supuesta” inteligencia no es capaz de  discernir el peligro o el perjuicio anteriormente vivido en situaciones  similares, cuando el resto de seres son capaces de sortearlas de manera  prácticamente instintiva. En otros, el caer dos veces en el mismo error puede  ser debido a patrones, conductas o contextos en los que nos encontramos.

A lo  largo de estas últimas semanas son numerosos los informes que se han publicado  acerca de la  falta de actualización de sistemas  (se abre en nueva ventana) tras la publicación de algún parche por  parte de los proveedores de software. Como ejemplo, la empresa WebSense  (se abre en nueva ventana) ha presentado  un pequeño estudio relativo al número de actualizaciones Java instaladas  después del 13 de abril, cuando Oracle publicó la actualización:

websensejava

Como se aprecia en el gráfico tras un mes de la fecha de  publicación, apenas el 8% de los usuarios   ha actualizado sus sistemas con la nueva versión. Sin duda se trata de  un dato que a más de uno le puede poner los pelos de punta (o los dientes  largos) el pensar que, según WebSense, el 92% de los usuarios siguen expuestos  al fallo de seguridad y más teniendo en cuenta que frameworks como Metasploit  (se abre en nueva ventana) cuentan con módulos para explotar vulnerabilidades que se han corregido en la  actualización. Si a estos problemas añadimos la “tendencia al alza” de los  ataques del tipo “Spear Phishing” (ataques de phishing dirigidos) nos podemos  hacer una idea del posible impacto que esto supone.

En relación con lo anterior, recientemente se han  publicado  los boletines  de Microsoft correspondientes al mes de junio  (se abre en nueva ventana). Como viene siendo habitual  se corrigen una serie de vulnerabilidades en determinados productos de la  empresa de Redmond, pero hemos sido testigos de una serie  de noticias  (se abre en nueva ventana) en las que se hace referencia a determinadas  oleadas de ataques  (se abre en nueva ventana) que aprovechan vulnerabilidades en la suite ofimática  Office que se han corregido en boletines previos, evidenciando que las acciones  que se llevan a cabo con las políticas de actualizaciones no son efectivas y  los ciberdelincuentes lo saben.

xploitrtf

Detalle de lo simple que es suplantar un correo adjuntando un archivo malicioso que explota la vulnerabilidad MS Word RTF

Este modo de actuar también se ve reflejado en la mayor  parte de productos de uso extendido como puede ser el caso de Flash,  Adobe Reader, etc. y en ocasiones puede  parecer incomprensible que este tipo de programas, que en su mayoría cuentan  con mecanismos que facilitan la actualización automática, aún sigan siendo los “intermediarios“   de los ataques informáticos más sonados  y las principales  vías de entrada para los ataques dirigidos  (se abre en nueva ventana). En entornos empresariales en  donde hay que poner especial atención acerca de los efectos que puede tener una  actualización sobre un determinado software que utiliza una versión concreta  del programa afectado que impida su actualización, no estaría de más la  utilización de herramientas de protección que permitan la ejecución controlada  de programas como por EMET, CrystalAEP  (se abre en nueva ventana) u otras aplicaciones comerciales disponibles.

Los entornos industriales también  adolecen de ciertas características que les hacen vulnerables en lo que a  actualizaciones se refiere aunque afortunadamente, desde la aparición de Stuxnet en 2010, los gobiernos y organizaciones han modificado su conducta para llevar  a cabo actuaciones dirigidas a proteger las infraestructuras y activos críticos  en sus sistemas. En este contexto, por un lado es posible encontrar  dispositivos específicos de estas arquitecturas (PLC’s, HMI’s. etc.) con  importantes fallos de seguridad (contraseñas  por defecto o embebidas, acceso indiscriminado, etc.) generados en gran  medida porque en el momento del desarrollo del software que los componen no  estaba sujeto a cumplir u otorgar ciertas medidas de seguridad en los que  además, aplicar algún tipo de actualización es realmente complejo y costoso.  Por otro se encuentran los sistemas operativos que a pesar de no tener soporte de  los fabricantes a causa de su antigüedad, se siguen empleando para la  realización de tareas que únicamente estos son capaces de llevar a cabo. Esta  “obsolescencia autorizada” podría suponer un gran problema de seguridad aunque  los fabricantes del sector de la seguridad se han detenido en estos problemas y  han desarrollado herramientas para mantener seguros los entornos tipo “legacy”.

En resumen, los ciberdelincuentes  conocen nuestra forma de actuar y se aprovechan de ello, por lo tanto, si alguna vez hemos sido  infectados, comprometidos, etc. a causa de una vulnerabilidad por falta de aplicar una actualización, no tropecemos otra vez. Una buena manera de mantenerse informado acerca de las actualizaciones que se van publicando y de las últimas vulnerabilidades, es a través de la suscripción a los Avisos Técnicos, No Técnicos y el boletín de vulnerabilidades del CERT de INTECO.

Fuente: Marco A. Lozano (INTECO)