Pocos tomadores de decisiones saben lo que sucedió a principios de diciembre de 2021 desde la perspectiva de ciberseguridad que podría afectar a su negocio todavía el día de hoy.
El pasado 10 de diciembre de 2021, se identificó una vulnerabilidad de día cero en un componente muy común en software, aplicativos, dispositivos que podría afectar completamente la operación del negocio, divulgar información y algunos otros impactos al negocio. Se dice que podría haber cerca de 3 mil millones de dispositivos/sistemas en posibilidad de ser impactados o afectados tanto en oficinas como en casas.
Síguenos en Google Noticias para mantenerte siempre informado
¿Realmente un tomador de decisiones debería conocer esto? Es parte de lo que quisiera reflexionar con esta columna, ya que creo que es algo crítico que no es fácil identificar el riesgo y que por lo que se sabe hasta ahora, puede ser devastador.
Ahora, trataré de explicar, en un lenguaje más simple lo que esto significa.
Los sistemas de información se construyen muchas veces con diferentes piezas de código, un lenguaje de programación que no es otra cosa que instrucciones o recetas para poder procesar información que se entrega al sistema para dar un resultado. Es así como funciona desde una cámara de vigilancia vía web hasta el procesador de palabras con el cual estoy escribiendo esta columna.
En muchos de los casos, es común que se haga uso de códigos ya existentes que permiten que no se tenga que inventar el hilo negro, sino acoplar el componente que ya funciona a un nuevo sistema.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
Por otro lado, siempre estamos expuestos a vulnerabilidades de software que muchas veces se traduce como un error por la tecnología o por el programador que permitiría a un tercero obtener un beneficio como puede ser el acceso a una red, ver o llevarse información y muchas otras cosas. Se le conoce como vulnerabilidad de día cero porque es de reciente descubrimiento, puede ser que se haya estado usando anteriormente por un grupo pequeño de personas para obtener esos beneficios. Digamos, que en la vida real lo conocemos como esa oportunidad para hacer algo malo sin que seamos detectados.
Ahora sí, lo que pasó es que se detectó esta vulnerabilidad de día cero que afecta un pedazo de software que es usado mundialmente: un pedazo de software para poder generar bitácoras. Bitácoras que requieren tanto software generado dentro de la organización como software que puede ser comercializado por una empresa. Este pedazo de código fue desarrollado como software libre y gratuito, con pocas personas dedicadas a mantenerla y que está en muchos sistemas, haciendo que muchos lo usaran en sus sistemas.
Por ahí leí un texto que hablaba de que esta vulnerabilidad podría ser considerada peor de todo lo que hemos vivido en estos últimos diez años, y si bien hemos tenido de todo, coincido que puede ser algo que muchos estén minimizando, pero muchos más que ni siquiera tengan en el radar. Esta vulnerabilidad podría ser el paso uno de algo más grande.
Sigue la información sobre los negocios y la actualidad en Forbes México
El problema inicia cuando vemos la forma de poder eliminar el riesgo ante esta situación: ¿Cuántos dispositivos o sistemas tenemos vulnerables? ¿Cuántos fueron desarrollados por nosotros? ¿Cuántos son de sistemas comerciales que han sacado ya parches para poder solucionarlo? ¿Cuántos no lo han hecho? ¿Cuánto nos tardaremos en “parchar” todos los sistemas? ¿Cuáles son los más prioritarios? Si alguien usa la vulnerabilidad, ¿podremos detectarlo?
Habrá ciertos sistemas que no se podrá hacer nada tan rápido ni tan fácil. Sistemas propietarios sin soporte, sistemas legados, sistemas en producción con poca tolerancia a cambios. No será nada fácil.
Creo que la pregunta clave es si la organización tiene los recursos humanos y el tiempo para poder detener esta amenaza y si realmente se está entendiendo lo que esto significa. Es un gran reto de tener el capital correcto tanto financiero como de recurso humano.
Un CIO de un banco, al platicar con el de este tema y a quien agradezco por darme la idea para escribir esto, me comentó: “Andrés, pero entonces, se pueden meter por cualquier lado”. Y mi respuesta fue: “sí, sin saber lo que harán después”. Porque la vulnerabilidad permite ejecutar código, permite entonces poner la mente a volar de lo que podrían hacer.
Una semana después de ser encontrada la vulnerabilidad los desarrolladores y otros interesados trabajaron en desarrollar nuevas versiones del código que tendría que ser reemplazado en los diferentes sistemas, a las pocas horas, se encontró otra vulnerabilidad y así de forma continua hasta llegar a cuatro vulnerabilidades sobre las nuevas versiones que se estaban desarrollando. Estamos en un tipo de “pandemia” pero con la diferencia de que pocos saben.
Pero no quiero generar paranoia, sino lograr mi objetivo: por un lado, generar conciencia de que esto pasó y que hay millones de dispositivos que podrían ser vulnerables y puede ser que muchos directores o incluso personal de sistemas ni siquiera hayan leído la noticia.
Todo esto me lleva a reflexionar en que cada vez es más importante entender que vivimos en un mundo interconectado con riesgos como este, el conocer el riesgo nos permite prevenir. Pero, por otro lado, que nosotros no podemos controlar la motivación ni los medios que tienen los que quieren afectar a la organización desde una perspectiva tecnológica. Nosotros podemos controlar la oportunidad que les damos para que nos afecten. Conocer de esta vulnerabilidad, apoyar a las áreas técnicas y solicitar que se tomen las medidas necesarias eliminarán esa oportunidad.
Hoy ya tenemos ransomware que está afectando por medio de esta vulnerabilidad… No será, desde el punto de vista de ciberseguridad, un buen inicio de año.
¿Su organización ya tiene un plan para saber cuál es el nivel de riesgo de esta vulnerabilidad?
Contacto:
Correo: [email protected]
Linked In: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
