En el proceso de creación y codificación de tecnología ocurren errores. Si bien estos no son inherentemente dañinos (excepto para el rendimiento potencial de la tecnología), un pirata cibernético puede aprovecharse de ellos. Estos errores se conocen como vulnerabilidades y son creadas muchas veces por errores en la codificación de una gran cantidad de software que compone un sistema, o por el software de los programas instalados. A modo de ejemplo, la vulnerabilidad puede estar en el sistema operativo –windows, unix, iOS, android, etc.–, en una aplicación instalada –Facebook, Candy Crush, Microsoft Word, etc.–, o en cualquier software que tenga acceso a zonas críticas del sistema. Para comprender cómo pueden estar presentes los errores, consideremos la cantidad de líneas de código en Windows 11. Básicamente, una línea de código se traduce en una instrucción de máquina, ya que el software se comunica con el hardware a través de estas instrucciones. Se estima que Windows 11 (solo el sistema operativo sin programas instalados) tiene alrededor de 60 millones de líneas de código. Es aleccionador imaginar la cantidad de errores que puede tener un sistema informático completo.
Nuevas vulnerabilidad son descubiertas a diario. Para tener una idea del volumen, el 19 de octubre de 2023 se publicaron 104 vulnerabilidades nuevas. La mayoría de ellas no son muy dañinas, pero al menos una o dos al día son utilizable, lo que significa que se puede escribir un script -secuencia de instrucciones- para causar daños en un sistema informático. Para resolver una vulnerabilidad los desarrolladores de software trabajan para identificar la falla e informar a los usuarios cómo mitigarlo –en algunos casos el consejo puede ser “no usar el software”–, una vez encontrada una solución se crea una nueva versión del software y se publica. Este proceso lleva algún tiempo antes de que haya una solución disponible. Los sistemas afectados son vulnerables durante este periodo; peor aún, una vez que los desarrolladores lanzan una nueva versión los sistemas no se actualizan automáticamente. Depende de los administradores del sistema instalar la nueva versión –o no–. Es responsabilidad del administrador de sistemas mantener la red informática lo más actualizada que sea posible.
Existen listas de vulnerabilidades conocidas se publican con sus detalles, técnicamente una vulnerabilidad se menciona como CVE-2023-40044 (ejemplo real). Parece intimídate pero solo significa que una “vulnerabilidad y exposición común (CVE)” fue encontrada en 2023 y se le otorgó el numero 40044. En este momento hay sistemas expuestos a esta falla y personas que buscan usufructuar de esos sistemas. Una vulnerabilidad que no ha sido publicada ni usada se denomina “del día zero”. Estas fallas pueden ser utilizadas para grandes ataques. Al no ser conocida, no existe ninguna protección y son extremadamente peligrosas. En estos momentos hay una compañía que trabaja para el gobierno Ruso ofreciendo 2 millones de dólares por cada vulnerabilidad del día zero que pueda ser explotada.
Ahora examinaremos los detalles de cómo fue atacado Guyer & Regules. Lockbit (el grupo de hackers que se atribuyó la responsabilidad) encontró alguna vulnerabilidad en su centro de cómputo. Por la descripción que dieron de la intrusión, se cree que la vulnerabilidad era conocida y tenía un parche, pero la solución aún no estaba instalada en el sistema. Aprovechando la vulnerabilidad, pudieron ejecutar un programa con acceso ilimitado. Este programa tomó toda la información disponible en el sistema y la cifró. Esto dejó el sistema inutilizable. Lockbit luego copió toda la información disponible e hizo una copia para uso propio. El personal de IT (tecnología de información) de Guyer & Reukes tomó una copia de seguridad de la información que tenían y restauró el sistema. Habría sido un problema mayor si no tuvieran una copia de seguridad válida. Lockbit exigió 300.000 dólares estadounidenses para divulgar la clave de cifrado. También amenazó con comenzar a publicar la información que habían recopilado. No estamos seguros de quién pagó el dinero del rescate, pero alguien lo hizo porque ya no están en la lista de víctimas actuales que Lockbit publica en su sitio del web oscuro. Solo elimina una víctima después de que se cumplan sus demandas.
Las vulnerabilidades son una realidad constante e ineludible. La clave es reconocer este hecho y adoptar un enfoque proactivo e integral de la ciberseguridad para minimizar el riesgo de explotación. Algunas compañías organizan eventos con premios para aquellos hackers que puedan quebrantar sus defensas. Esto es importante porque las amenazas cambian constantemente y las organizaciones deben adaptar y evolucionar sus estrategias de seguridad para proteger sus activos y mantener la confianza de sus clientes y partes interesadas.
En la próxima entrega analizaremos el mundo de los piratas cibernéticos.