GOOGLE RECONOCE QUE EXISTEN VULNERABILIDADES DE DÍA CERO EN EL NAVEGADOR Y QUE ESTÁN SIENDO ATACADAS
Existen vulnerabilidades de tipo día cero en el navegador de Google Chrome que están siendo atacadas. Así lo ha reconocido el equipo de seguridad de la compañía. Según señalan en un comunicado, se trata de una tendencia en crecimiento y por ello han realizado un análisis para entender tanto la gravedad y el alcance de los ataques, como las posibles consecuencias.
Uno de los factores que puede explicar la tendencia al alza de vulnerabilidades activamente atacadas es la existencia de muchos más ‘exploits’ o lo que es lo mismo, de fallos o brechas que terminan exponiendo la seguridad de los sistemas informáticos de una empresa.
En concreto, las vulnerabilidades de día cero o ‘zero day’ son aquellas que el desarrollador no conoce en el momento de su identificación, es decir, que desconocía la existencia de esos fallos dentro del sistema hasta que son atacados. Esto quiere decir que con este tipo de ataques se puede llegar a ejecutar un código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas tanto para los usuarios como para el propio fabricante del producto o sus trabajadores.
Fruto de esta nueva tendencia, los navegadores han adoptado ciertos cambios como respuesta a este tipo de ataques, lo cual ha obligado a los ciberdelincuentes a cambiar su modus operandi y tener que buscar otras formas de aprovecharse de las vulnerabilidades.
Algunos de estos cambios por parte de las compañías son el aislamiento de sitios, una práctica que impide que una brecha en el navegador sea suficiente para poder introducir código malicioso en la estructura de la página web. De esta forma, se obliga a los ciberdelincuentes a encadenar “al menos dos errores" para poder actuar.
Desde Chrome han afirmado que "el 'software' tiene errores", y que además muchos de ellos son explotables, incluso en ciertos casos inevitables. Debido a esto, desde la multinacional apuntan y destacan que los datos registrados actualmente "son una parte importante de la historia, pero la cantidad absoluta de errores explotados no es una medida suficiente del riesgo de seguridad".
"Reconocemos que no tenemos una visión completa de la explotación activa, y solo porque no detectamos ningún día cero durante esos años, no significa que la explotación no ocurrió. Los datos de explotación disponibles sufren de sesgo de muestreo", han señalado en un comunicado los responsables de Chrome, admitiendo así que no pueden asegurar que haya habido explotación en los navegadores basados en Chromium entre 2015 y 2018.
Elena Vivar
