En diciembre de 2018, investigadores de Google detectaron un grupo de hackers centrados en el navegador Internet Explorer de Microsoft. A pesar de que los nuevos avances en la herramienta habían concluido dos años antes, se trataba de un navegador tan popular que, si alguien lograba encontrar una manera de hackearlo, podría abrir una puerta a miles de millones de ordenadores.

Los hackers se dedicaban a buscar nuevos fallos, conocidos como vulnerabilidades de día cero, denominados así porque el creador del software tiene cero días para identificar y distribuir una solución para dicho fallo.

Poco después de detectar a los piratas informáticos, los investigadores de Google descubrieron que se estaba utilizando un exploit (software malicioso que se aprovecha de la vulnerabilidad) de forma pública. Microsoft emitió un parche y, más o menos, solucionó el error. En septiembre de 2019, se descubrió que el mismo grupo de hackers estaba explotando otra vulnerabilidad similar.

En noviembre de 2019, enero de 2020 y abril de 2020 se revelaron al menos cinco vulnerabilidades de día cero explotadas en poco tiempo por la misma clase de error. Microsoft emitió varias actualizaciones de seguridad: algunas no lograron corregir la vulnerabilidad que se atacaba, mientras que otras solo obligaron a los hackers a hacer pequeños cambios en una o dos líneas del código para poder volver a usar el exploit.

"Al entender solo uno de esos errores, simplemente se pueden cambiar algunas líneas del código para seguir aprovechando las vulnerabilidades de día cero".

Según el nuevo estudio de la investigadora de seguridad de Google Maddie Stone, el caso de Internet Explorer es un ejemplo emblemático de un problema de ciberseguridad mucho mayor: a los hackers les resulta demasiado fácil seguir explotando las vulnerabilidades de día cero porque las empresas no consiguen arreglar los errores y las brechas de forma permanente.

La investigación de Stone, miembro del equipo de seguridad de Google conocido como Project Zero, destaca varios ejemplos en curso que incluyen problemas que el propio Google ha experimentado con su popular navegador Chrome. 

En la conferencia de seguridad Enigma celebrada la semana pasada, Stone afirmó: "Lo que descubrimos penetra en todo el sector: los parches incompletos facilitan que los atacantes exploten a los usuarios con las vulnerabilidades de día cero. No hacemos que los atacantes creen nuevas clases de defectos, desarrollen una nueva explotación y analicen un código que nunca antes se había investigado. Les permitimos reutilizar muchas vulnerabilidades diferentes que ya conocemos".

Facilísimo

Project Zero opera dentro de Google como un equipo único, y a veces controvertido, dedicado en exclusiva a cazar los enigmáticos defectos del día cero. Estos errores son los que buscan los hackers de todo tipo y ahora son más apreciados que nunca, no solo por ser más difíciles de desarrollar, sino porque, en un mundo tan conectado, son los más poderosos.

Durante sus seis años de trabajo, el equipo de Google ha hecho públicos más de 150 grandes errores de día cero y, en 2020, el equipo de Stone documentó otros 24 que estaban siendo explotados, de los cuales una cuarta parte eran extremadamente similares a otras vulnerabilidades ya conocidas. Tres fueron parcheadas de forma incompleta, lo que significa que los hackers solo necesitaron algunos ajustes en el código del exploit para mantener el ataque. Muchos de ellos involucran errores básicos y "de fácil alcance".

Stone afirma que, para los hackers "no es nada difícil", ya que, "al entender solo uno de esos errores, simplemente pueden cambiar algunas líneas del código para seguir con las vulnerabilidades de día cero".

¿Por qué no se reparan? Stone sugiere que la mayoría de los equipos de ciberseguridad de empresas de software tienen tiempo y recursos limitados y, si sus prioridades e incentivos no son los adecuados, se limitan a comprobar que han solucionado la vulnerabilidad específica que tienen delante en cada caso en vez de abordar los problemas mayores de muchas vulnerabilidades desde la raíz. 

Otros investigadores confirman que se trata de un problema común. El investigador de vulnerabilidades de la empresa de ciberseguridad Trend Micro John Simpson detalla: "En el peor de los casos, descubrí que un par de vulnerabilidades de día cero eran un problema del que el proveedor arreglaba algo en una línea de código y, literalmente, el mismo tipo de vulnerabilidad aún estaba presente y sin arreglar en la siguiente línea de código. Podemos hablar de esto hasta hartarnos, pero si las organizaciones no tienen la estructura adecuada para hacer algo más que corregir el error preciso del que tienen constancia, el resultado es una amplia gama de parches de distinta calidad". 

Una de las principales palancas para cambiar esta situación se reduce a la disponibilidad de tiempo y dinero: dar a los ingenieros más espacio para investigar nuevas vulnerabilidades de seguridad, encontrar la raíz del problema y solucionarla, ya que suele ser la fuente de la mayoría de las vulnerabilidades individuales. Otra opción de mejora reside en analizar las variantes, según Stone: buscar la misma vulnerabilidad en diferentes lugares u otras vulnerabilidades en los mismos bloques de código. 

Cambiar de enfoque

Hay quien ya está probando diferentes enfoques. Al eliminar las vulnerabilidades a un nivel más profundo, Apple, por ejemplo, ha logrado corregir algunos de los riesgos de seguridad más graves de iPhone.

En 2019, la también investigadora de Google Project Zero Natalie Silvanovich acaparó titulares cuando presentó una serie de errores críticos de día cero y clic cero en el servicio iMessage de Apple. Estos defectos permitieron que un atacante se apoderara del teléfono de una persona sin tener que la víctima tuviera que hacer nada, ni siquiera pinchar un enlace, y los hackers podían controlar el teléfono. (En diciembre de 2020, una nueva investigación encontró una campaña de hackers contra periodistas que explotaba otro ataque de día cero y clic cero contra iMessage).

En vez de abordar las vulnerabilidades específicas de manera directa, la empresa se metió en las entrañas de iMessage para resolver los problemas estructurales que los hackers estaban explotando. Aunque Apple no ha explicado nada sobre la naturaleza específica de estos cambios, solo anunció una serie de mejoras con su actualización de software iOS 14, el investigador del Proyecto Zero Samuel Grosß recientemente diseccionó iOS y iMessage y dedujo lo que había ocurrido.  

La app está actualmente aislada del resto del teléfono con una función llamada BlastDoor, escrita en un lenguaje llamado Swift que dificulta que los hackers accedan a la memoria de iMessage. Apple también modificó la arquitectura de iOS para que sea más difícil acceder a la caché compartida del teléfono, donde ocurrieron algunos de los más destacados hackeos de iPhone de los últimos años.

Finalmente, impidió que los piratas informáticos intentaran ataques de "fuerza bruta" una y otra vez. Las nuevas funciones de regulación significan que los exploits que antes llevaban minutos ahora pueden requerir horas o días en completarse, lo que los vuelve mucho menos atractivos para los hackers. 

"Es genial ver que Apple destina recursos para este tipo de grandes refactorizaciones para mejorar la seguridad de los usuarios finales. Estos cambios también resaltan el valor del trabajo ofensivo de seguridad: no solo se corrigieron los errores individuales, también realizaron mejoras estructurales basadas en la información obtenida del trabajo de desarrollo de exploits", escribió Groß.

Las consecuencias de los ataques aumentan a medida que nos conectamos cada vez más, lo que significa que es más importante que nunca que las empresas de tecnología inviertan y prioricen los principales problemas de ciberseguridad que dan origen a familias enteras de vulnerabilidades y exploits. 

"Un consejo para los directivos es invertir, invertir, invertir. Hay que dar tiempo a los ingenieros para investigar a fondo la raíz de las vulnerabilidades y parchearlas, darles margen para realizar análisis de variantes, recompensar el trabajo para reducir la deuda técnica, y centrarse en las soluciones sistémicas", explicó Stone.