Constantemente leemos en las noticias sobre ciberseguridad que se habla de vulnerabilidades y exploits, pero para muchas personas tal vez aún sean conceptos difíciles de entender. Por eso, en este artículo explicamos qué es un exploit, qué tipos de exploit existen y cómo son utilizados por los cibercriminales.
Qué es un exploit
Las definiciones habituales hablan de un programa o código que se aprovecha de una vulnerabilidad o fallo de seguridad en una aplicación o sistema, de forma que un atacante podría aprovechar ese fallo en su beneficio.
Trasladado a la vida real, sería como si un modelo de cerradura (sistema o aplicación) tuviera un fallo de diseño que permite a un tercero crear llaves que abran esa cerradura (exploit). Con esta llave o exploit un actor malintencionado podría acceder a un sitio o entorno vulnerable y realizar actos delictivos. Por ejemplo, ejecutar malware.
Existe confusión entre los usuarios y cierto mito de que un exploit puede considerarse malware. La realidad es que, tal y como hemos visto en el ejemplo, no es un código malicioso en sí mismo, sino que es la llave para que estos accedan a nuestro sistema y luego realicen otras acciones maliciosas.
Por lo tanto, un exploit puede darle a un atacante los permisos necesarios para poder ejecutarse en un sistema e infectarlo. El siguiente video explica en forma clara el funcionamiento de un exploit:
Tipos de exploits
Ahora que sabemos qué es un exploit podemos distinguir entre dos tipos: los conocidos o desconocidos (zero-day).
Los exploits conocidos son aquellos que fueron desarrollados para aprovechar vulnerabilidades conocidas y que fueron corregidas mediante actualizaciones. Algunos son utilizados a lo largo de los años ya que muchos equipos no son actualizados. Lo bueno es que podemos tomar medidas para evitar ver nuestros sistemas afectados con solo instalar las actualizaciones. Suelen ser los que aparecen en la mayoría de noticias de seguridad y aparecen varios cada día, de la misma forma que van apareciendo las vulnerabilidades que tratan de aprovechar.
En el caso de los exploits desconocidos, son aquellos que se desarrollan para aprovechar vulnerabilidades zero-day; es decir, fallos de seguridad que no han salido a la luz y para los cuales no existe un parche que permita evitar su explotación o abuso. Las zero-day son particularmente peligrosas cuando se utilizan en ataques dirigidos a empresas o gobiernos. Es importante comprender que cuando un atacante utiliza un exploit para una vulnerabilidad zero-day no suele haber medidas que puedan bloquear el malware que intenta aprovechar el fallo, por lo tanto estos ataques son muy difíciles de detectar. Es por eso que son muy cotizados entre los delincuentes que compran y venden estos exploits en foros de la dark web, ya que les permiten lanzar ataques para robar información importante de una empresa o gobierno o, en casos extremos, atacar cierto tipo de infraestructuras críticas.
Lectura relacionada: Kaseya corrige vulnerabilidades utilizadas en ataque del ransomware REvil
Ahora que sabemos qué es un exploit es más fácil comprender lo importante que es mantenerse informados acerca de las vulnerabilidades están siendo aprovechadas mediante el uso de exploits y compruebes que tienes todos los sistemas y aplicaciones actualizados. Es sorprendente como algunas vulnerabilidades que fueron reportadas hace 10 años aún siguen siendo aprovechadas por actores maliciosos en sus ataques. En caso de que un proveedor no haya lanzado un parche para un fallo en particular, algunas veces podemos recurrir a ciertos mecanismos alternativos que permiten mitigar las posibles amenazas hasta tanto se lance el parche correspondiente.
Una buena fuente para estar al tanto de las vulnerabilidades que van surgiendo es Exploit Database.
Datos y casos sobre el uso de exploits
- Uno de los exploits más conocidos es Eternalblue, ya que fue el que se utilizó en los ataques del ransomware WannaCry en 2017 que paralizó al mundo. Este exploit aparentemente fue robado a la Agencia Nacional de Seguridad de los Estados Unidos en 2016 y se filtró en 2017. Aprovechaba una vulnerabilidad en la implementación del protocolo del Bloque de Mensaje de Servidor (SMB, por sus siglas en inglés) de Microsoft.
- En 2020 el grupo de ransomware REvil aprovechó un exploit para una vulnerabilidad zero-day en Kaseya VSA, un software utilizado para gestionar remotamente equipos de TI. Mediante una falsa actualización, cibercriminales lograron explotar la vulnreabilidad e infectar con ransomware a más de 1.000 compañías en al menos 17 países.
- En 2022 cuatro de los cinco exploits más utilizados en ataques a organizaciones de América Latina corresponden a vulnerabilidades que fueron reportadas entre 2012 y 2017.
- En 2022 compañías como Apple y Google lanzaron varias actualizaciones para corregir distintas vulnerabilidades zero-day que estaban siendo aprovechadas activamente por cibercriminales en sus ataques. En el caso de Apple, la compañía reparó en 2022 al menos ocho vulnerabilidades zero-day, mientras que Google reparó en 2022 al menos nueve vulnerabilidades zero-day en su navegador Google Chrome.
Cómo protegerse de los exploits
- Mantener todas nuestras aplicaciones y sistemas actualizados: sabiendo que los exploits se aprovechan fallos de seguridad, resulta vital corregirlos cuanto antes. Por eso es necesario mantener una política de actualizaciones eficaz para evitar dejar una ventana de tiempo que pueda ser aprovechada por los atacantes.
- Contar con una solución de seguridad avanzada como ESET Smart Security, capaz de detectar y bloquear exploits pensados para aprovechar vulnerabilidades en navegadores web y lectores PDF, entre otros.
Conclusión
Los exploits están a la orden del día cuando hablamos de nuevas amenazas y ataques, por lo que es importante que los tengan en cuenta y sepan cómo protegerse aplicando las medidas de seguridad que hemos ofrecido en este artículo. De esta forma, minimizarán los riesgos y evitarán que sus sistemas e información confidencial caigan en las manos equivocadas.