Tras comenzar a delinear algunas claves para entender la importancia de actualizar el software, como forma de evitar la explotación de vulnerabilidades en los equipos, continuaré respondiendo preguntas sobre este tema. Estos ejes fueron planteados por Heimdal Security, desde donde me preguntaron sobre diversos aspectos de la instalación de parches.
"Una pregunta que se hacen todos los usuarios: ¿por qué el software es tan vulnerable? Y ¿qué puede hacer el usuario al respecto?"
En realidad, hasta cierto punto, a veces sobrestimamos lo vulnerable que el software realmente es, o al menos su impacto en el mundo real. Los principales proveedores de software, hardware o servicios han aprendido a reparar de más; es decir, los paquetes mensuales de innumerables parches por lo general incluyen algunos cuya importancia es en gran medida teórica y/o solo afectará a unas pocas personas.
A veces sobrestimamos lo vulnerable que el software realmente es
Por otra parte, los partidarios de otros sistemas operativos tienden a sobrestimar la inseguridad de un sistema operativo popular por sobre la supuesta seguridad del sistema operativo de su preferencia. Si bien esto se debe en parte al fanatismo general y al efecto de halo (quienes están a favor de un sistema operativo en general tienden a minimizar sus debilidades en áreas específicas), también es alentado por las peculiaridades de la interpretación de datos.
Por ejemplo, la seguridad de un sistema operativo a veces se considera directamente proporcional a la cantidad total anual de parches que requiere (bajo el supuesto de que cuanto más a menudo requiere la instalación de parches, seguramente es más vulnerable). Sin embargo, también se puede sugerir que, si bien todos los sistemas operativos complejos necesitan parches a medida que se descubren nuevos errores y aparecen nuevos exploits, la instalación frecuente de parches en realidad es una medida de diligencia profesional y no de inseguridad. De hecho, el número de variables que intervienen en la metodología, la eficacia y el despliegue de los parches hace que cualquiera de ambos puntos de vista parezcan demasiado simplistas.
En realidad, el impacto preciso de las vulnerabilidades que se pueden corregir con un parche es difícil de determinar. Es cierto que existen casos de alto perfil donde el malware aprovecha vulnerabilidades CVE: Stuxnet es un ejemplo particularmente prominente, aunque el uso de múltiples amenazas 0-day es muy inusual, y por lo general, se ve como un subproducto de su objetivo principal que es atacar sistemas específicos de alto valor. Este valor se considera en términos de importancia política y militar, en lugar de valor monetario.
Todo el malware es dirigido, lo que varía es el tamaño de la población a la que se dirige
Sin embargo, gran parte (o quizá la mayoría) del malware no dirigido parece depender principalmente de la Ingeniería Social, aunque los exploits ya conocidos a veces se siguen usando como amenaza secundaria, con la esperanza de encontrar víctimas cuyos sistemas no fueron actualizados. Pero eso no significa que los usuarios deben pensar que el malware dirigido "no es su problema".
Aparte del riesgo de daños colaterales a los sistemas que no coinciden con el perfil de destino, los atacantes suelen acercarse sigilosamente a un objetivo de alto valor utilizando un sistema de destino de menor valor como canal. Todo el malware es dirigido: en última instancia, lo que varía es el tamaño de la población a la que se dirige.
Habiendo dicho todo esto, lo que importa no es el porcentaje exacto de malware y de otros ataques que se aprovechan de las vulnerabilidades del software: es el hecho de que cuentas con una gran herramienta para reducir la exposición de tus propios sistemas ante ataques mediante el uso de las actualizaciones y de los parches. ¿Por qué no aprovecharías esta ventaja?
"¿Cuál es tu principal consejo práctico para los usuarios con respecto a los parches?"
Bueno, existen razones para ser cautelosos con los parches. A veces, las grandes organizaciones van instalando las actualizaciones en forma gradual: es decir, primero prueban los parches en máquinas que no se utilizan para los procesos críticos del negocio. La razón es que la instalación de un parche puede salir mal para algunas personas en el mundo real y, de vez en cuando, los resultados son catastróficos.
Las organizaciones pequeñas no siempre ofrecen actualizaciones automáticas o no creen necesario avisar cuando algo sale mal
La mayoría de los usuarios domésticos no cuentan con los recursos o la experiencia para implementar un proceso de gestión de cambios formal eficaz, pero al menos pueden tomar precauciones de modo que incluso un desastre que resulte en un daño permanente o en la pérdida de un sistema (o incluso más de uno) no signifique que deben perder el acceso a los datos que se encontraban allí instalados.
Esto no solo se logra haciendo backups periódicos de los datos, sino también asegurándose de que uno va a ser capaz de volver a instalar todas las aplicaciones necesarias para acceder a dichos datos, en caso de que se use un sistema completamente nuevo. Después de todo, aunque la pérdida de datos catastrófica y permanente como consecuencia de haber instalado un parche defectuoso es poco común, las precauciones son las mismas que debemos tener para protegernos ante ataques de seguridad, que sí son mucho más comunes, como el ransomware de cifrado de archivos.
Recuerda también que, aunque hacer un backup es mejor que nada, hacer más de uno (y tenerlos almacenados preferiblemente en ubicaciones distintas) es mucho mejor que guardar todos los huevos en una sola canasta.
"¿Qué deben hacer los usuarios para que mantener su software al día se convierta en un hábito? ¿Recomendarías alguna herramienta en particular?"
No puedo recomendar una herramienta de actualización en particular: no he pasado mucho tiempo evaluándolas recientemente. Las principales compañías de software ofrecen actualizaciones automáticas o al menos notifican sobre nuevas actualizaciones, por lo que obviamente es una buena idea suscribirse a cualquiera de estos servicios.
Por desgracia, las organizaciones más pequeñas no siempre son capaces de ofrecer actualizaciones automáticas o incluso no creen necesario avisarles a sus clientes cuando algo sale mal, en especial si dicha advertencia puede llegar a generar mala publicidad. Ciertamente es inusual para una pequeña empresa de software ofrecer una lista periódica de información de actualización o seguridad. Es mucho más probable que recibas dicha información si estás anotado en una lista de mailing para la divulgación de información más general sobre productos.
Eso puede significar que te llegarán ofertas y publicidades de nuevas versiones y productos: solo tú puedes decidir si esta situación no te molesta para estar al tanto de las últimas noticias en seguridad. También hay otras fuentes más genéricas que brindan información sobre vulnerabilidades conocidas y fallas de productos.
La base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) es un diccionario de las vulnerabilidades conocidas. Es un buen punto de partida para su seguimiento (a pesar de que en la actualidad debe hacer un esfuerzo para mantenerse al día con la gran cantidad de muestras maliciosas), pero no ofrece una lista de mailings para enviar noticias.
La Base de datos de vulnerabilidades de los Estados Unidos (NVD) sí ofrece una serie de listas de mailings, pero probablemente sean más de interés para los administradores de sistemas o jefes de seguridad. El Instituto SANS ofrece @RISK, un boletín de noticias que proporciona información sobre vectores de ataque, vulnerabilidades y exploits, entre otras cosas, así como otros boletines de interés más general. SecurityFocus tiene su tradicional lista Bugtraq, de muy buena reputación, pero también ofrece algunas listas más especializadas que pueden ser útiles para quienes no desean dedicar todas sus horas de trabajo a la búsqueda de vulnerabilidades y actualizaciones (como yo).
"En una escala corporativa/institucional, ¿que podría ayudar a que más empresas aprovechen las ventajas de la instalación de parches como medida de seguridad proactiva?"
La administración de parches y actualizaciones puede consumir significativamente los recursos de una organización, aunque hoy en día es posible subcontratar servicios con este fin. El problema se agrava cuando:
- La organización utiliza muchos sistemas dispares, sin estandarización de hardware, sistemas operativos y aplicaciones.
- Más aún cuando hay un uso intensivo de BYOD (Traiga su propio dispositivo), a menos que el alcance y la funcionalidad de los dispositivos estén restringidos y supervisados (es decir, el empleado puede elegir su propio dispositivo a partir de una serie de equipos y aplicaciones preaprobados).
- Los empleados no son conscientes de sus responsabilidades en materia de seguridad (incluyendo el mantenimiento y el uso correcto de los sistemas y servicios), y no existe una política formal y bien divulgada como parte de una iniciativa de educación.
Si se intentan mitigar estas dificultades, probablemente sea más fácil logar aplicar un proceso de gestión para el cambio. Es útil tener un equipo de TI (ya sea propio de la empresa o subcontratado) que incluya a los miembros del personal que son conscientes de la necesidad de realizar un seguimiento de los parches. Deberán contar con recursos para poder tomar las medidas apropiadas cuando surja un problema, ya sea asegurar que el parche se distribuya donde se necesita o resolver (en forma proactiva, en lo posible) cuestiones de compatibilidad y otras que puedan surgir.