Vulnerabilidad de software

vulnerabilidad

Para imaginarnos como es el tema de la vulnerabilidad de un software o hardware, pensemos en una bicicleta.

Una bici es genial para lo que fue diseñada, pero es un vehículo que no está diseñado para tener grandes medidas de seguridad antirrobo. Lo más normal es que se nos ocurra amarrarla con una cadena para que nadie se la lleve.

Si la atamos por la rueda delantera, parecerá que todo está bien y la bici estará protegida, pero resulta que a los delincuentes se les hace muy fácil quitarle la rueda delantera y llevarse la bicicleta sin esfuerzo.
Igual pasa si atamos la bici por varias partes y dejamos el sillín, el sillín se desmonta fácilmente y es altamente apreciado por los delincuentes de bicicletas.

La realidad del comportamiento de los delincuentes nos invita a tomar más medidas de seguridad, atar la bici con cadenas, quitarle el sillín. Y en algunos casos tener una bici plegable que podamos resguardar con nosotros.

Lamentablemente no sabemos cómo mejorar la seguridad de la bici hasta que hemos sido víctimas de un robo. Igual pasa con los programas, requieren evidenciar sus vulnerabilidades para poder trabajar sobre parches y actualizaciones que mejoren su seguridad, y sobre los que hablaremos en otro post.

Entendiendo la vulnerabilidad

Una vulnerabilidad de software no necesariamente es un fallo en un programa. A veces se trata del aprovechamiento que hace un hacker de un espacio en una función normal del programa para poder entrar y apoderarse de datos o el control.

El fallo, o el punto ciego en las medidas de seguridad del software puede tardar meses o años en detectarse. De allí que las empresas de desarrollo de programas inviertan en el llamado hacking ético, o hack blanco. Que simplemente consiste en contratar a hackers para que intenten vulnerar el software, y así descubrir a tiempo las debilidades de seguridad del mismo.

No sólo existe la vulnerabilidad en software, también el hardware puede tener vulnerabilidades, en este caso, producidas por el fallo del diseño, que también podrían permitir saltarse las medidas de seguridad establecidas para el uso de un equipo.