Renaud Bidou Director Técnico para el Sur de Europa de TrendMicro.

La gran mayoría de las vulnerabilidades explotadas en la piratería informática son, básicamente, el resultado de errores de desarrollo, diseño o implementación. El protagonista de los errores recientes es un desarrollo relacionado con la inyección SQL. Un "antiguo, pero efectivo" desliz que permitió que un chico de 15 años accediera a los datos personales de 1,2 millones de clientes del operador británico Talk Talk. Pero sería injusto olvidar los desbordamientos de búfer, y un error no considerar el Cross-Site Scripting cuyo potencial sigue siendo considerable. En la categoría de errores de diseño, el premio se lo lleva WEP por decimoquinto año consecutivo, pues ha integrado dentro de una sola todas las malas prácticas estándar en términos de cifrado. Y no hay que olvidar la seria competencia de los sistemas integrados en los automóviles y las promesas de del IoT. Encontramos los mismos errores evidentes en los sistemas de principios de los 90.

Finalmente, los errores de implementación se han gestionado recientemente por dos razones. Por un lado, están generalmente vinculados a desarrollos específicos, internos a una organización y, por lo tanto, tienen un impacto limitado. Por otro lado, por lo general, son complejos, haciendo poco probable su difusión masiva, a pesar de que afectan a un gran número de sistemas, como Slowloris que nunca tuvo impacto, sólo en los pequeños círculos de iniciados. Heartbleed no era la cuestión, aunque ha sido el  escudo de armas de esta familia de fallos.

Sí, los fallos son el resultado de los diseñadores. El mayor defecto no está en la base en sí misma, IPv4 y sus subordinados que son TCP y UDP.  

Veamos, sin embargo, lo fácil que es iniciar un proceso que implicaría a testigos.  La hierba siempre crece más verde en el campo del vecino.

¿Un error en la Matrix?

En efecto, los textos de referencia sobre la imagen de los hackers son "Las últimas palabras de Mentor" o "La ética del hacking", por no hablar de las maravillas de los que se aprovechan de nuestros sistemas de información. Y la interpretación de las hazañas diarias por los adolescentes parece confirmar esta afirmación.

Pero la realidad pinta un cuadro más matizado. Mientras algunos son genios, otros han descubierto y explotado fallos desconocidos. Son genios, al igual que aquellos que están detrás del mundo digital en el que operamos.

Sin embargo, esto es una minoría, una minoría muy pequeña. Otros hackers son simplemente usuarios de este tipo de tecnologías, además de los desarrolladores que han diseñado nuestros agujeros o vulnerabilidades de software. Ni más ni menos genios. Y los hackers cometen los mismos errores.

¿Errores de desarrollo? Driddex. Sí, la primera versión de este malware, que con frecuencia satura el mundo con facturas y entrega albaranes de UPS o DHL, tuvo un error. Un error en el formato de reproducción de macros de Word que le hacía visible en el documento sin que haya sido ejecutado. El malware se reveló sin realizar ninguna operación maliciosa.

¿Error de diseño? Este año el premio, definitivamente, lo gana "Hidden Tear". Poco conocido por el público en general - y con razón - este crypto-ransomware de código abierto cifra los datos en el disco duro con un algoritmo de cifrado simétrico, y la clave sigue presente en la memoria. Totalmente inútil, incluso desde el punto de vista "educativo”, fue probablemente el malware cuya longevidad ha sido la más corta de la historia informática.

¿Error de implementación? Pkybot es un caso emocionante. Este malware bancario, heredero de Zeus y SpyEye se ha extendido durante el verano de 2015. Equipado con un mecanismo de detección de antivirus, Pkybot fue construido para perdurar. La actualización de principios de agosto indicaba una serie de servidores de "Comando y Control" alojados en dominios que los atacantes no habían registrado. Un grupo de investigadores ha registrado estas áreas y preguntó a los honeypots, permitiendo su posterior análisis e identificación de malware de sistemas infectados.

Sí, todo el mundo cometió los mismos errores, pero no es muy tranquilizador: el gusano Morris interrumpió Internet en 1988, pese a que no contenía carga. Simplemente fue debido a un error de implementación…