Es noticia
Temporada abierta para los ataques dirigidos
  1. Tecnología
  2. Tribuna
Teknautas

Tribuna

Por

Temporada abierta para los ataques dirigidos

Heartbleed, la vulnerabilidad que proviene de un error de código en la librería de encriptación ampliamente utilizada, OpenSSL, ha ido acaparando titulares en los últimos días,

Foto:

Heartbleed, la vulnerabilidad que proviene de un error de código en la librería de encriptación ampliamente utilizada, OpenSSL, ha ido acaparando titulares en los últimos días, y con razón, pues representa un enorme riesgo para la seguridad de la información tanto para consumidores como para empresas.

Quizá se crea libre de este fallo al pensar que al actualizar las páginas web afectadas y cambiar sus contraseñas, puede estar a salvo. ¡Error! Tal y como el propio nombre de Heartbleed sugiere, esta vulnerabilidad no provoca la muerte fulminante, sino que va causando miles de pequeñas heridas que al final terminan por desangrar al usuario. 

Es cierto que el riesgo inmediato más extendido, sobre todo en términos de número de personas potencialmente afectadas, está en la exposición de la información sensible a servidores web vulnerables, información que podría incluir las contraseñas y cookies de la sesión, pero aunque se haya puesto en marcha el despliegue de una tanda inicial de parches, el riesgo residual es enorme.

La lista de afectados no para de crecer

OpenSSL no se limita a su uso en servidores web, sino que también se emplea en protocolos de correo electrónico, protocolos de chat y para asegurar los servicios de Redes Privadas Virtuales. También se puede encontrar en una gran cantidad de redes y productos de seguridad en todo el mundo y aquí es donde el largo camino de trabajo comienza.

Muchos proveedores ya están analizando sus productos para detectar la presencia de versiones vulnerables de OpenSSL y la lista de afectados sigue creciendo

Muchos proveedores ya están analizando sus productos y servicios para detectar la presencia de versiones vulnerables de OpenSSL y la lista de productos afectados confirmados sigue creciendo. Ésta promete ser una temporada abierta para los ataques dirigidos.

Cuando se lleva a cabo un ataque dirigido contra una víctima existen una serie de pasos lógicos: recogida de información, punto de entrada, establecimiento de comando y control, movimiento lateral y extracción. Durante la fase de movimiento lateral, el fallo Heartbleed ofrece un arma altamente eficaz para el arsenal del atacante. A medida que este explora una red víctima comprometida, la sondea para identificar la presencia de la vulnerabilidad tanto en servidores como en clientes. Si el fallo está presente, se convierte en un medio silencioso y eficaz para capturar las credenciales que facilitarán al atacante una ruta más de acceso a la organización comprometida y, posiblemente, incluso le permita abrir puertas antes cerradas.

placeholder

Imagine que el software con su solución de distribución de parches de su empresa se ve comprometido. Imagine que un atacante pudiera recopilar las credenciales de todos los empleados a medida que se registran en la base de datos quedando expuestas las  joyas de la corona de la empresa... 

Por supuesto, fabricantes y proveedores realizan esfuerzos titánicos identificando productos sensibles y preparando parches, pero la emisión de un parche no resuelve un problema. Es la aplicación del parche lo que cuenta. 

Ahora es momento para realizar inventario de proveedores con los que tiene acuerdos, identificando su exposición y obteniendo su tiempo de inactividad y planificación de parches. Hasta que usted no consiga esos parches críticos instalados, las contraseñas son una migaja de todo lo que se puede comer en el bar de OpenSSL.

Autor: Rik Ferguson, vicepresidente de Investigación de Seguridad de Trend Micro.

Heartbleed, la vulnerabilidad que proviene de un error de código en la librería de encriptación ampliamente utilizada, OpenSSL, ha ido acaparando titulares en los últimos días, y con razón, pues representa un enorme riesgo para la seguridad de la información tanto para consumidores como para empresas.