Las vulnerabilidades de software

El término “vulnerabilidad” se utiliza normalmente cuando se habla de la seguridad informática, en distintos contextos.

En su sentido más amplio, el término “vulnerabilidad” está asociado con alguna violación de la política de seguridad. Esto puede ser debido a la debilidad de las reglas de seguridad, o algún problema con el propio software. En teoría, todos los sistemas informáticos tienen vulnerabilidades; su gravedad depende de que sean o no, utilizadas para causar daños al sistema.

Ha habido varios intentos para definir claramente el término “vulnerabilidad” y separar los dos significados. MITRE, un grupo de investigación y desarrollo financiado por el gobierno federal de los Estados Unidos, se centra en el análisis y la solución de problemas críticos de seguridad. El grupo ha producido las siguientes definiciones:

Según la terminología MITRE CVE (en inglés, Common Vulnerabilities and Exposures):

[…] Una vulnerabilidad universal es un estado en un sistema informático (o conjunto de sistemas) que:

permite a un hacker ejecutar comandos como otro usuario
permite a un hacker acceder a datos contrarios a las restricciones de acceso especificados para estos datos
permite a un hacker hacerse pasar por otra entidad
permite a un hacker realizar una denegación de servicio
MITRE cree que un ciberataque es posible cuando hay una política de seguridad débil o inadecuada, mejor conocida como una “exposición”:

Una exposición es un estado en un sistema informático (o conjunto de sistemas) que no es una vulnerabilidad universal, pero que:

  • permite a un hacker llevar a cabo actividades de recopilación de información
  • permite que un hacker pueda ocultar actividades
  • incluye una capacidad que se comporta como lo esperado, pero puede ser hackeado fácilmente
  • es un punto primario de entrada que un hacker puede intentar usar para obtener acceso al sistema o a los datos, que se considera un problema de acuerdo con alguna política de seguridad razonable.
  • al tratar de obtener acceso no autorizado a un sistema, un intruso normalmente, primero lleva a cabo una exploración de rutina (o investigación) del objetivo, recopila cualquier dato “expuesto”, y luego explota las debilidades o vulnerabilidades de la política de seguridad. Las vulnerabilidades y las exposiciones son, por lo tanto, los dos puntos importantes para ver cuando se asegura un sistema contra el acceso no autorizado.