Breaking
Tecnología

Qué es un día cero, y por qué siguen colándose pese al Patch Tuesday

Ars Technicahace 3 h
Líneas de código mostradas en una pantalla de computadora en una habitación con poca luz
Líneas de código mostradas en una pantalla de computadora en una habitación con poca luzPhoto: Rafael Minguet Delgado / Pexels

Una vulnerabilidad de Windows recién revelada, bautizada HiveLegacy por los investigadores de seguridad que la descubrieron, salió a la luz el mismo día en que Microsoft publicó su lote mensual de correcciones de seguridad, un lote que resultó ser uno de los más grandes registrados hasta ahora. La coincidencia en el calendario es fortuita más que causal, pero pone de relieve dos cosas muy distintas que ambas caen bajo el paraguas de «parches de seguridad» y con frecuencia se confunden: el proceso predecible y programado de corregir errores conocidos, y la llegada impredecible de fallos que los atacantes encuentran y explotan antes de que nadie más siquiera sepa que existen.

Una vulnerabilidad de día cero es, por definición, un fallo que está siendo explotado activamente, o es públicamente conocido, antes de que el proveedor del software haya tenido oportunidad alguna de corregirlo, de ahí lo de «cero días» de aviso previo. Esto se distingue de la categoría mucho más amplia de errores ordinarios que los investigadores descubren, informan discretamente al proveedor, y que se corrigen en una actualización rutinaria antes de que el público o los atacantes lleguen a conocer los detalles. Los días cero son más raros y considerablemente más peligrosos precisamente porque no hay ningún parche disponible en el momento en que se están usando, dejando cada sistema sin parchear expuesto durante el tiempo que le tome al proveedor desarrollar, probar y publicar una solución.

El Patch Tuesday, la práctica de larga data de Microsoft de publicar actualizaciones de seguridad el segundo martes de cada mes, existe para aportar previsibilidad a lo que de otro modo sería un proceso caótico de aplicación de parches. Concentrar las correcciones en una única publicación mensual permite a los administradores de TI planificar con antelación ventanas de prueba e implementación, en lugar de apresurarse a aplicar parches según un calendario impredecible a lo largo del mes. Esa previsibilidad es valiosa para la inmensa mayoría de las vulnerabilidades, las descubiertas de manera responsable y notificadas antes de que comience su explotación.

El problema es que los días cero, por su naturaleza, no respetan ese calendario. Un atacante que descubre o compra el conocimiento de un fallo sin parchear no tiene motivo para esperar al segundo martes del mes, y en el caso de HiveLegacy, los investigadores describen la vulnerabilidad como un «primitivo poderoso», jerga de seguridad para un fallo que, una vez explotado, otorga a un atacante amplias capacidades que pueden encadenarse con otras técnicas para lograr resultados más graves, en lugar de ser un error estrecho y de propósito único.

Aquí es donde la coincidencia temporal se vuelve reveladora en lugar de simplemente irónica. Un Patch Tuesday récord demuestra la enorme escala del descubrimiento y corrección ordinarios de vulnerabilidades que ocurre continuamente en una base de código tan vasta como la de Windows, un trabajo que sucede en gran parte fuera de la vista pública y rara vez ocupa titulares porque funciona como se pretende. Un día cero que aparece el mismo día es un recordatorio de que este sistema estable y funcional coexiste con una amenaza distinta y menos controlable: fallos encontrados primero por personas sin ningún interés en informarlos de manera responsable.

Para las organizaciones que gestionan flotas de Windows, la respuesta práctica ante un día cero difiere significativamente de la gestión rutinaria de parches. Como todavía no existe una corrección oficial en el momento de la divulgación, los equipos de seguridad suelen recurrir a mitigaciones provisionales, cosas como desactivar una función vulnerable específica, endurecer los controles de acceso a la red, o implementar reglas de detección que puedan señalar intentos de explotación, hasta que Microsoft pueda publicar un parche fuera de ciclo o incorporar la corrección al próximo ciclo regular de actualizaciones. Esperar al próximo Patch Tuesday programado generalmente se considera una respuesta demasiado lenta ante un fallo activamente explotado.

La aparición recurrente de días cero en los principales sistemas operativos y aplicaciones, pese a décadas de inversión en prácticas de desarrollo de software seguro, refleja una realidad incómoda del sector: la complejidad del software ha crecido más rápido que las herramientas y procesos utilizados para protegerlo, y cualquier base de código tan vasta como la de Windows seguirá conteniendo fallos que atacantes hábiles y bien dotados de recursos pueden encontrar antes que los defensores. El Patch Tuesday reduce sustancialmente la superficie de ese problema, pero nunca fue diseñado para eliminar por completo la categoría de los días cero, e incidentes como HiveLegacy son prueba de que esa brecha sigue abierta.

Nada de esto significa que el Patch Tuesday haya fallado en su cometido. El ritmo mensual sigue siendo la columna vertebral de cómo se cierra la inmensa mayoría de las vulnerabilidades de Windows antes de que lleguen a convertirse en armas, y el lote de parches de tamaño récord que coincidió con HiveLegacy es en sí mismo prueba de un vasto proceso de descubrimiento y corrección que funciona como se pretende. Lo que incidentes como este realmente ilustran es el límite de cualquier proceso programado: puede reducir el problema de los días cero, pero no puede eliminar mediante un calendario el incentivo que tienen los atacantes para encontrar fallos antes que los defensores.

Este artículo es un resumen editorial asistido por IA basado en Ars Technica. La imagen es una foto de archivo de Rafael Minguet Delgado en Pexels.

Para seguir leyendo

Una sala de cine vacía con una pantalla de proyección iluminada
Tecnología

Las películas «slop» de IA explicadas: el negocio directo a video, reinventado

Mientras la adaptación de gran presupuesto de La Odisea de Christopher Nolan atrae multitudes a los cines, un pequeño estudio corre para lanzar su propia versión de la misma historia generada por IA. Es el último ejemplo de una categoría creciente que los críticos llaman películas «slop» de IA: filmes hechos a bajo costo, asistidos algorítmicamente, que aprovechan el impulso de estrenos más grandes.

The Vergehace 3 h
Una forma de onda de audio digital mostrada en una pantalla en un estudio de grabación
Tecnología

Cómo obtienen sus datos de entrenamiento los generadores de música por IA, y por qué siempre termina en polémica

Un hackeo que expuso el código fuente interno del generador de música con IA Suno parece revelar que la empresa recopiló décadas de audio de YouTube para entrenar sus modelos, reavivando una disputa habitual sobre cómo las empresas de IA generativa obtienen el material con el que entrenan. Este es el patrón subyacente detrás de estas disputas recurrentes.

TechCrunchhace 3 h