la controversia de las vulnerabilidades zero day cuando los parches no llegan a tiempo

La controversia de las vulnerabilidades zero-day: cuando los parches no llegan a tiempo

PorCarlos Ribeiro

Las vulnerabilidades de seguridad son una de esas realidades incómodas en el mundo digital, como ese vecino ruidoso que aparece justo cuando necesitas concentrarte. Pero cuando hablamos de vulnerabilidades zero-day, la cosa se pone seria. Y es precisamente lo que ha ocurrido recientemente con Elastic, donde una supuesta vulnerabilidad ha generado un interesante tira y afloja entre investigadores y empresa.

El caso Elastic: ¿vulnerabilidad zero-day o falsa alarma?

El pasado 16 de agosto, la empresa Ashes Cybersecurity publicó un informe que hizo saltar todas las alarmas: según ellos, habían descubierto una vulnerabilidad zero-day en el producto Defend EDR de Elastic. Para los que no estéis familiarizados, un EDR (Endpoint Detection and Response) es básicamente vuestro guardaespaldas digital, diseñado para detectar y responder a amenazas en dispositivos.

Según Ashes, el problema residía en un controlador de kernel firmado por Elastic que no validaba correctamente ciertos punteros de memoria. En cristiano: hay una puerta trasera que podría permitir a un atacante provocar fallos en el sistema e incluso ejecutar código arbitrario.

La respuesta de Elastic: «No hay evidencia de vulnerabilidad»

La reacción de Elastic no se hizo esperar. El lunes pasado, la compañía publicó su respuesta oficial desmintiendo categóricamente las acusaciones. Según ellos, tras una investigación exhaustiva, no encontraron pruebas de que existiera tal vulnerabilidad en su producto Defend EDR.

«Aunque el investigador afirma poder provocar un bloqueo o pantalla azul en el controlador de Elastic Endpoint desde un proceso sin privilegios, la única demostración que han proporcionado lo hace desde otro controlador de kernel», señaló Elastic en su comunicado.

Lo interesante aquí es que Elastic afirma que el investigador presentó varios informes sobre potenciales bypasses y ejecución remota de código (RCE), pero sin aportar evidencias concretas o exploits reproducibles. Y lo que es más, según Elastic, el investigador se negó a proporcionar una prueba de concepto (PoC) que el equipo de seguridad pudiera reproducir.

El conflicto sobre la divulgación responsable

Este caso pone sobre la mesa un tema que me parece crucial: los principios de divulgación coordinada. Elastic no dudó en señalar que «al no compartir los detalles completos y publicar abiertamente, la conducta de este investigador de seguridad es contraria a los principios de divulgación coordinada».

Y no les falta razón. La divulgación responsable es ese pacto no escrito donde los investigadores informan primero a las empresas, dándoles tiempo para parchear antes de hacer pública la vulnerabilidad. Es como avisar a tu vecino de que tiene la puerta abierta antes de publicarlo en el grupo del barrio.

Las implicaciones técnicas de la supuesta vulnerabilidad

Según el análisis técnico de Ashes, el problema permitiría a un atacante plantar un controlador de kernel personalizado capaz de interactuar con el controlador legítimo de Elastic y manipularlo para comportarse de manera maliciosa.

«Para la demostración de prueba de concepto, utilicé un controlador personalizado para activar de manera confiable el fallo en condiciones controladas. Esto demuestra que la vulnerabilidad no depende del malware tradicional; el propio controlador de Elastic exhibe el comportamiento malicioso una vez que se alcanza la ruta de código defectuosa», explicaba Ashes en su informe.

La escalada del conflicto: nuevas «pruebas» y nuevos desmentidos

Como toda buena historia de ciberseguridad, esta también tuvo su giro argumental. Tras el rechazo inicial de Elastic, Ashes actualizó su publicación el 19 de agosto con lo que afirmaba ser evidencia de un fallo en modo usuario. Elastic volvió a examinar la información y mantuvo su postura: «Nuestra evaluación anterior se mantiene. Para los usuarios de Elastic Defend, no se requiere ninguna acción».

Es como esos debates donde cada parte tiene su versión de la verdad y nadie cede un milímetro.

¿Por qué importan tanto las vulnerabilidades zero-day?

Las vulnerabilidades zero-day son particularmente peligrosas por una razón: el factor sorpresa. A diferencia de otras vulnerabilidades conocidas para las que ya existen parches, las zero-day son explotadas antes de que los desarrolladores sepan siquiera que existe un problema.

Imagina que descubres que tienes una cerradura defectuosa en casa justo cuando un ladrón ya está usando ese fallo para entrar. No has tenido tiempo de cambiarla porque ni siquiera sabías que estaba rota. Eso es, básicamente, una vulnerabilidad zero-day.

El valor de un buen parche: la mejor defensa

Frente a este tipo de amenazas, los parches de seguridad son nuestra principal línea de defensa. Cuando una empresa como Elastic niega la existencia de una vulnerabilidad, está diciendo implícitamente que no hay necesidad de un parche. Y esto puede tener dos lecturas:

  1. Realmente no existe tal vulnerabilidad y la empresa tiene razón
  2. La vulnerabilidad es real pero la empresa no quiere reconocerla (por razones que podemos imaginar)

Lo cierto es que el tiempo suele ser el mejor juez en estos casos. Si realmente existe una vulnerabilidad explotable, tarde o temprano saldrá a la luz con pruebas más contundentes.

La cuestión de la confianza en el ecosistema de ciberseguridad

Este tipo de controversias ponen de manifiesto algo fundamental: la confianza. Confiamos en que empresas como Elastic protejan nuestros sistemas, pero también necesitamos confiar en que los investigadores de seguridad actúen de buena fe.

No es la primera vez que vemos disputas similares. Recientemente, SonicWall negó que ciertos ataques involucraran una vulnerabilidad zero-day, y Doctor Web refutó afirmaciones de hackers sobre el robo de datos de usuarios.

Lo que diferencia este caso es la forma tan pública en que se ha desarrollado el desacuerdo. Normalmente, estas discusiones ocurren entre bastidores, siguiendo los protocolos de divulgación responsable.

El equilibrio entre transparencia y responsabilidad

Como profesional de seguridad, siempre me ha parecido que hay un delicado equilibrio entre transparencia y responsabilidad. Todos queremos saber si el software que usamos tiene vulnerabilidades, pero también queremos que esas vulnerabilidades se manejen de manera que no expongan a usuarios inocentes.

En este sentido, tanto Elastic como Ashes tienen parte de razón. Elastic defiende el proceso de divulgación coordinada, mientras que Ashes argumentaría que está exponiendo una amenaza real que merece atención.

¿Y ahora qué? Lecciones para usuarios y empresas

Si eres usuario de Elastic Defend EDR, la postura oficial de la empresa es clara: no necesitas hacer nada. Pero como siempre digo, en seguridad informática la prudencia nunca está de más.

Mi recomendación, hagas lo que hagas, es mantener todos tus sistemas actualizados con los últimos parches disponibles. Una vulnerabilidad zero-day puede ser imposible de prevenir, pero la inmensa mayoría de los ataques exitosos aprovechan fallos conocidos para los que ya existe solución.

Y si eres una empresa que desarrolla software, recuerda que la forma en que manejas las denuncias de vulnerabilidades dice mucho sobre tu compromiso con la seguridad. La transparencia genera confianza, incluso cuando admitir un fallo es

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *