Mundo

Portaltic.-Google analiza la tendencia creciente de vulnerabilidades día cero activamente atacadas en los navegadores

El equipo de Seguridad de Chrome ha reconocido la existencia de vulnerabilidades en el navegador de tipo día cero que están siendo activamente atacadas, una tendencia que parece estar en crecimiento y que desde la compañía han analizado para entender su gravedad.

GOOGLE (GOOGLE/Europa Press)

MADRID, 11 (Portaltic/EP)

El equipo de Seguridad de Chrome ha reconocido la existencia de vulnerabilidades en el navegador de tipo día cero que están siendo activamente atacadas, una tendencia que parece estar en crecimiento y que desde la compañía han analizado para entender su gravedad.

La tendencia creciente de vulnerabilidades activamente atacadas puede deberse a varios factores, siendo uno de ellos, el más preocupante, la existencia de muchos más ‘exploits’, es decir, fallos que exponen la seguridad de los sistemas informáticos. Las de día cero, además, son las que el desarrollador no conoce en el momento de su identificación.

Por otra parte, puede deberse a que hay una mayor visibilidad, lo que desde Google destacan como positivo porque se pueden ofrecer parches antes. En este sentido, los responsables de los navegadores no siempre han hecho pública la identificación de vulnerabilidades de día cero atacadas, si bien en la actualidad hay más información y es más detallada.

Los cambios adoptados en los propios navegadores han obligado a los atacantes a cambiar su forma de provecharse de las vulnerabilidades. Un ejemplo es Flash, hoy obsoleto, pero en su día objetivo de los ciberatacantes por la cantidad de brechas de seguridad que encontraban y explotaban, la mayoría de día cero.

Otra limitación a la explotacion activa de vulnerabilidades de día cero es el aislamiento de sitios, que impide que un error en el navegador sea suficiente para aprovecharse de él, obligando a que los atacantes «encadenen al menos dos errores» para poder actuar.

«El ‘software’ tiene errores», afirman desde Chome, y muchos de esos errores son explotables, algunos incluso inevitables. Por ello, desde la compañía señalan que los datos de la tendencia «son una parte importante de la historia, pero la cantidad absoluta de errores explotados no es una medida suficiente del riesgo de seguridad».

Los responsables de Chrome no pueden asegurar que no hubiera explotación en los navegadores basados en Chromium entre 2015 y 2018. «Reconocemos que no tenemos una visión completa de la explotación activa, y solo porque no detectamos ningún día cero durante esos años, no significa que la explotación no ocurrió. Los datos de explotación disponibles sufren de sesgo de muestreo», señalan en un comunicado.

Por ello, entienden que es más importante «la forma en que un proveedor de ‘software’ diseña su ‘software’ (de modo que el impacto de cualquier error individual sea limitado) y responde a los errores de seguridad críticos».

DV Player placeholder

Tags


Lo Último