{"id":2725,"date":"2021-11-12T20:03:58","date_gmt":"2021-11-12T20:03:58","guid":{"rendered":"https:\/\/www.eaprende.com\/blog\/?p=2725"},"modified":"2022-06-02T12:17:37","modified_gmt":"2022-06-02T12:17:37","slug":"vulnerabilidades-documentadas-y-no-documentadas","status":"publish","type":"post","link":"https:\/\/www.eaprende.com\/blog\/2021\/11\/12\/vulnerabilidades-documentadas-y-no-documentadas\/","title":{"rendered":"Vulnerabilidades documentadas y no documentadas."},"content":{"rendered":"\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><a href=\"https:\/\/www.eaprende.com\/blog\/wp-content\/uploads\/2021\/11\/Vulnerabilidades_Software_1.jpg\"><img decoding=\"async\" loading=\"lazy\" width=\"266\" height=\"190\" src=\"https:\/\/www.eaprende.com\/blog\/wp-content\/uploads\/2021\/11\/Vulnerabilidades_Software_1.jpg\" alt=\"\" class=\"wp-image-2730\"\/><\/a><\/figure><\/div>\n\n\n\n<p>Aunque ciertamente hay una fuerte apuesta, para un futuro no muy lejano, de reemplazar al programador por inteligencia artificial y este tema ameritar\u00eda un extenso posteo, por el momento dejo por aqu\u00ed un <a href=\"https:\/\/programmerclick.com\/article\/1318815420\/\"><span style=\"text-decoration: underline;\">link<\/span><\/a> m\u00e1s que interesante, hoy nos enfocaremos en algo m\u00e1s concreto.<\/p>\n\n\n\n<p>En esta oportunidad hablar\u00e9 sobre el desarrollo del software actual, si partimos de una simple premisa: <strong>\u201cel software es escrito por humanos\u201d <\/strong>entendemos del por que no est\u00e1 exento de errores en su creaci\u00f3n. Ciertos errores en la programaci\u00f3n, voluntaria o involuntariamente, insertos en el dise\u00f1o del software, generan lo que podemos llamar como <em>candidato a una vulnerabilidad<\/em>; si es un software <em>\u201capetecible\u201d<\/em> para la comunidad de <em>hackers<\/em>, lo m\u00e1s probable es que no se tarde mucho tiempo en descubrirse ese error. Si esto se descubre y se comunica oportunamente al fabricante, ya sea porque lo hicieron los <em>hackers \u00e9ticos<\/em> o bien por haberse debido a programas de incentivo para detectar fallos, que son promovidos por los propios fabricantes; sea cual sea el motivo del descubrimiento, esto genera lo que conocemos como informe  <span style=\"text-decoration: underline;\"><strong><a href=\"https:\/\/www.eaprende.com\/blog\/2020\/11\/30\/explicacion-del-concepto-cve\/\" title=\"Explicaci\u00f3n del concepto CVE\">CVE<\/a><\/strong> <\/span>y estos se comparten a la comunidad bajo una identificaci\u00f3n \u00fanica, incluyen en entre otras cosas, la manera de solucionar el fallo.<\/p>\n\n\n\n<p>D\u00eda a d\u00eda se genera mucha informaci\u00f3n referente a las vulnerabilidades del software reportadas y documentadas en informes <strong><a href=\"https:\/\/www.eaprende.com\/blog\/2020\/11\/30\/explicacion-del-concepto-cve\/\" title=\"Explicaci\u00f3n del concepto CVE\">CVE<\/a><\/strong>, estos documentos se hallan p\u00fablicos en varios sitios referentes como por ejemplo: <a href=\"https:\/\/cve.mitre.org\/\" target=\"_blank\" rel=\"noreferrer noopener\"><span style=\"text-decoration: underline;\">https:\/\/cve.mitre.org\/<\/span><\/a><\/p>\n\n\n\n<p>En el 2020 se documentaron m\u00e1s de 18mil vulnerabilidades, la abrumadora cantidad de informaci\u00f3n que se genera (y que tiende en aumento) podr\u00eda estar atosigando al usuario al introducir mucho \u00abruido\u00bb en su realidad tecnol\u00f3gica y podr\u00eda acarrear una problem\u00e1tica denominada <em>fatiga de alertas<\/em>, que b\u00e1sicamente podr\u00eda desencadenar que aquellas vulnerabilidades cr\u00edticas pasen desapercibidas, por lo tanto no es un problema menor. Los fabricantes con m\u00e1s vulnerabilidades descubiertas, seg\u00fan las estad\u00edsticas p\u00fablicas, revelan que los productos de Microsoft est\u00e1n a la cabeza en esa lista, seguido muy de cerca por Google, pero esta tendencia tiene una explicaci\u00f3n, son productos con mucha cuota de mercado global e interesantes para la comunidad de <em>hackers<\/em>. Hasta donde sabemos, las respuestas de estos fabricantes para lanzar los parches de seguridad para solucionar estos inconvenientes tambi\u00e9n tienden a ser r\u00e1pidas.<\/p>\n\n\n\n<p>En este contexto, no todas las vulnerabilidades detectadas son peligrosas, existen mecanismos de medici\u00f3n del impacto en los sistemas denominados <strong><a href=\"https:\/\/www.first.org\/cvss\/\" target=\"_blank\" rel=\"noreferrer noopener nofollow\" title=\"https:\/\/www.first.org\/cvss\/\"><span style=\"text-decoration: underline;\">CVSS<\/span><\/a><\/strong>, que son m\u00e9tricas est\u00e1ndares que, tomando varios par\u00e1metros, etiquetan a la vulnerabilidad en niveles de gravedad que van de 0 a 10, y aquellas que sobrepasan el valor 6.9 son las de gravedad cr\u00edtica y deber\u00edan ser solucionadas en el menor tiempo posible. Lo que hace, principalmente, que una vulnerabilidad sea cr\u00edtica o no, son los <strong>exploits<\/strong>, que ser\u00edan c\u00f3digos o programas que se aprovechan de dicho fallo en el software.<\/p>\n\n\n\n<p>En el contexto de los problemas que pueden afectar al software, como vimos, adem\u00e1s de aquellas vulnerabilidades documentadas, encontramos tambi\u00e9n aquellas que a\u00fan no han sido reportadas al fabricante pero que ya tienen exploits, y lo que es m\u00e1s cr\u00edtico a\u00fan, normalmente algunos c\u00f3digos maliciosos ya se comercializan en el mercado negro mucho antes de que el fabricante o el usuario se enteren, esta problem\u00e1tica se denomina exploits del <strong>d\u00eda cero<\/strong>.<\/p>\n\n\n\n<p>Pero no todo est\u00e1 perdido, en siguientes posteos, daremos el vistazo de algunas opciones para estar alertados de las vulnerabilidades documentadas y posiblemente tambi\u00e9n de aquellas del <strong>Zero Day<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ciertos errores en la programaci\u00f3n, voluntaria o involuntariamente, insertos en el dise\u00f1o del software, generan lo que podemos llamar las vulnerabilidades<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0},"categories":[53,81],"tags":[82],"_links":{"self":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2725"}],"collection":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/comments?post=2725"}],"version-history":[{"count":19,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2725\/revisions"}],"predecessor-version":[{"id":2931,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/posts\/2725\/revisions\/2931"}],"wp:attachment":[{"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/media?parent=2725"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/categories?post=2725"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.eaprende.com\/blog\/wp-json\/wp\/v2\/tags?post=2725"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}