Las actualizaciones de seguridad en los diferentes dispositivos son una importante barrera de contención hacia actores maliciosos que quieran hacerse con el control de nuestros activos. Son molestas pero esenciales.
¿Qué es una actualización en realidad?
Para responder a esta cuestión tenemos que partir de la premisa que cualquier software es vulnerable. Es decir, cualquier sistema operativo, aplicación, página web u otro de este tipo, tiene problemas de ciberseguridad. No existe sistema 100 % seguro.
La anterior afirmación es sencilla de entender si consideramos que una aplicación puede ser segura hoy, pero mañana descubrirse una falla que antes no se conocía, y quedar totalmente expuesta. Por eso nos referimos a que no va a existir un sistema seguro al completo.
Sabiendo esto, tiene sentido que según se van descubriendo nuevas vulnerabilidades y fallas en los sistemas de origen, estos sean actualizados por los propios fabricantes o desarrolladores.
De esta forma, y dependiendo del objetivo a cubrir por la actualización, pueden existir parches que se solucionan en cuestión de minuto añadiendo, quitando o modificando partes del código, o pueden existir fallas que afecten al propio núcleo y sea necesario modificar casi al completo el software. En cualquier caso, una actualización no es más que una alteración del software inicial que soluciona un problema concreto.
¿Por qué son tan frecuentes?
Las actualizaciones, normalmente, tienen un “calendario” o frecuencia determinados. Lo más habitual es encontrar actualizaciones de manera mensual, aunque pueden responder a cualquier otra frecuencia. Estas actualizaciones vienen a cubrir un grupo de vulnerabilidades o fallas encontradas en un tiempo determinado. Así, en estas actualizaciones se pueden corregir bastantes vulnerabilidades en una sola acción.
De igual manera, también existen actualizaciones “ad-hoc”, diseñadas para cubrir un grupo más reducido de problemas. Estas actualizaciones no siguen una frecuencia establecida y son emitidas en el menor tiempo posible como respuesta a una vulnerabilidad muy concreta y peligrosa.
Así, como respuesta a la pregunta del título, estas actualizaciones, en algunos casos, son tan frecuentes, debido al gran número de ataques y problemas que presente el software. Con esto no se quiere decir que la aplicación, por ejemplo, esté mal diseñada, al final en seguridad, a cada segundo que pasa se descubre una nueva vulnerabilidad y es necesario estar muy al día.
¿Como se descubren las vulnerabilidades?
Existen diferentes tipos de vulnerabilidades según su objetivo, la forma de proceder, el mecanismo utilizado, etc. Algo que tienen en común todas ellas, es que se clasifican según un grado de criticidad o si están siendo explotadas o no. Esto se comenta porque pueden existir vulnerabilidades para un sistema determinado que, sin conocerlo, también aplican a otro sistema. En ese caso, la vulnerabilidad es conocida relativamente pero no se ha considerado de forma inicial.
Por otro lado, tenemos una serie de vulnerabilidades que no son conocidas o que han sido descubiertas muy recientemente. De esta forma, el fabricante tiene poco margen para plantear una solución y ser distribuida, quedando los sistemas expuestos durante este periodo.
Pero volviendo a la pregunta inicial, ¿cómo y quién descubre este tipo de vulnerabilidades? En este sentido he de destacar algunas de las vías:
- Personal interno del fabricante: Propios investigadores, desarrolladores, personas que prueban la aplicación, gente de seguridad, etc., a quienes les pagan por ese trabajo.
- Usuarios del sistema: En algunos casos, también de forma casual, se presentan problemas que son reportados por usuarios, siendo esos, mismas fallas del software.
- Investigadores independientes: Existen muchos profesionales de ciberseguridad que, sin ningún tipo de retribución, informan de problemas encontrados.
- Bug bounty: Algunas organizaciones ofrecen programas de recompensa por encontrar problemas en la aplicación. Aquí se pueden sumar profesionales de muy alto nivel.
- Actores maliciosos: Este sería el peor escenario, y no es que reporten el problema, sino que lo ponen a la venta. Son muchas las empresas que pagan a estas personas con la finalidad de ver aquello que ha sido encontrado y corregirlo. El problema sería que esto fuera utilizado para atacar al software por cibercriminales.
Falta de actualizaciones e importancia
Después de lo comentado, como se puede imaginar, la falta de actualizaciones en un sistema provoca que ese mismo sistema sea vulnerable a ciertos ataques. No quiere decir que por no instalar ciertas actualizaciones, al día siguiente se hagan con el control del dispositivo, pero si es cierto que el grado de exposición y las probabilidades de que esto ocurra aumentan.
Igualmente, debemos conocer que, en este sentido, nuestros sistemas nacen con una fecha de caducidad en lo que a actualizaciones se refiere. Es decir, los fabricantes cubren las actualizaciones y seguimiento de seguridad, un número de años fijado. Pueden ser dos, tres, cinco, diez, … lo que el fabricante o desarrollador estime. Pero llegados a esa fecha, tenemos que conocer que nuestro dispositivo (y sobre todo, nuestros datos) quedan expuestos.
Actualizaciones en organizaciones
Hasta ahora hemos hablado de actualizaciones en sistemas del “día a día”, pero esto mismo aplica también al entorno profesional. En este escenario, todo se complica exponencialmente pues las actualizaciones afectan a sistemas críticos donde su aplicación no es trivial.
Prácticamente el 100% de sistemas de una empresa, tiene que actualizarse. El problema puede ocasionarse cuando es una vulnerabilidad muy grave, el sistema está expuesto, y a su vez, aplicar esa actualización implica dejar sin servicio a miles y miles de usuarios. Por si fuera poco, dependiendo en donde, las actualizaciones hay que probarlas. Es decir, no se puede actualizar un sistema crítico y, debido a ello, que tenga peores implicaciones.
Este tipo de acciones, en ciertas ocasiones para los profesionales de ciberseguridad, es un quebradero de cabeza, teniendo que buscar la mejor de las soluciones pero siempre pasando por la actualización. En este sentido, los fabricantes de soluciones también pueden ayudar y realizar actualizaciones sin tanto impacto y muy probadas.
¿Qué sucede si no se hace un buen estudio de actualización?
Uno de los ejemplos más claros y que me gustaría citar en esta entrada, es el ocurrido el día 19 de julio de 2024. En esa fecha, un problema en una actualización de seguridad de un sistema antimalware muy conocido y utilizado en el sector, dejó alrededor de 8,5 millones de equipos totalmente inoperativos.
La afección supuso enormes pérdidas en salud o finanzas, pero donde más impacto y repercusión tuvo fue en el sector transportes, concretamente, en el aéreo. Se estima que fueron unos 1000 vuelos los que se cancelaron en tierra, repercutiendo muy negativamente para estas compañías. Igualmente, la empresa matriz del problema, así como terceras asociadas, tuvieron enormes pérdidas esos días.
Mas allá del incidente y su impacto, esto abrió un estudio de como tienen que realizarse las actualizaciones en las diferentes compañías. Aunque fue un problema puntual, debe existir un plan de actuación, donde las actualizaciones sean probadas y no distribuidas masivamente confiando en su buen desempeño.
Conclusiones
Como resumen y conclusión, citar nuevamente la importancia que tienen las actualizaciones en los sistemas. No son para nada, técnicas de obsolescencia ni se envían con otra finalidad que la de proteger ante nuevas amenazas o vulnerabilidades.
Siempre debemos tener nuestros sistemas totalmente actualizados a la última versión. De no hacerlo, estamos asumiendo un riesgo sobre nuestros datos y nuestra vida. Actualmente existen configuraciones que nos facilitan esta tarea mediante actualizaciones programadas o automáticas, considerando esta acción como un acto trivial, e incluso transparente.
