Vulnerabilidades de software: cómo funcionan los CVE y por qué debes parchear

Cada semana se publican cientos de nuevas vulnerabilidades de software. Estas vulnerabilidades son los puntos débiles que los atacantes explotan para comprometer sistemas, robar datos o instalar malware. Entender cómo funcionan, cómo se clasifican y qué significa cada término es fundamental para cualquier persona interesada en ciberseguridad, desde el administrador de sistemas hasta el usuario que quiere entender por qué las actualizaciones importan.

Qué es una vulnerabilidad de software

Una vulnerabilidad de software es un error, defecto o debilidad en el código de un programa que puede ser aprovechado por un atacante para hacer que el software haga algo que no debería: ejecutar código malicioso, revelar información confidencial, otorgar acceso no autorizado o causar una denegación de servicio.

Las vulnerabilidades no son siempre errores de programación obvios. Muchas son consecuencia de suposiciones incorrectas sobre cómo se usará el software, de interacciones imprevistas entre componentes, de decisiones de diseño que parecían razonables en su momento pero que resultaron ser problemáticas, o simplemente de la complejidad intrínseca de los sistemas modernos.

Los sistemas operativos actuales tienen millones de líneas de código. Los navegadores web tienen decenas de millones. Es matemáticamente inevitable que existan errores, y algunos de esos errores tienen implicaciones de seguridad.

El sistema CVE: cómo se identifican y clasifican las vulnerabilidades

CVE (Common Vulnerabilities and Exposures) es el sistema de referencia global para identificar y catalogar vulnerabilidades de seguridad conocidas públicamente. Cada vulnerabilidad recibe un identificador único con el formato CVE-AÑO-NÚMERO (por ejemplo, CVE-2024-12345), que permite a investigadores, empresas y administradores referirse a la misma vulnerabilidad sin ambigüedad.

El sistema CVE está mantenido por MITRE Corporation con financiación del gobierno de Estados Unidos. La base de datos NVD (National Vulnerability Database) del NIST amplía la información de cada CVE con análisis técnico detallado y puntuaciones de severidad.

CVSS (Common Vulnerability Scoring System) es el sistema de puntuación que asigna a cada CVE una puntuación de 0 a 10 según su severidad:

• 0.0: Sin impacto
• 0.1-3.9: Bajo
• 4.0-6.9: Medio
• 7.0-8.9: Alto
• 9.0-10.0: Crítico

La puntuación CVSS se calcula considerando factores como el vector de ataque (¿se puede explotar remotamente o requiere acceso físico?), la complejidad del ataque, los privilegios necesarios, si requiere interacción del usuario y el impacto en confidencialidad, integridad y disponibilidad.

Tipos de vulnerabilidades más comunes

Buffer overflow (desbordamiento de buffer). Un programa reserva un espacio de memoria (buffer) para almacenar datos, pero no comprueba correctamente que los datos recibidos caben en ese espacio. Si se introduce más datos de los que caben, el exceso sobreescribe memoria adyacente, que puede contener código ejecutable. Esta vulnerabilidad existe desde los años 70 y sigue siendo una de las más explotadas.

Inyección SQL. Una aplicación web incorpora directamente la entrada del usuario en una consulta SQL sin sanitizarla correctamente. El atacante introduce código SQL como entrada que modifica la consulta original para acceder a datos no autorizados, modificar la base de datos o ejecutar comandos en el servidor.

XSS (Cross-Site Scripting). Una aplicación web permite que un atacante inyecte código JavaScript malicioso que se ejecuta en el navegador de otros usuarios cuando acceden a cierta página. Se usa para robar cookies de sesión, redirigir a páginas de phishing o registrar las pulsaciones del teclado.

Path traversal. Una aplicación permite que un usuario acceda a archivos fuera del directorio permitido usando secuencias como "../../../etc/passwd" en los parámetros de la URL o formularios.

Zero-day. Una vulnerabilidad que es desconocida para el fabricante del software (y por tanto no tiene parche disponible) y que está siendo activamente explotada. Los zero-days son los más valiosos en el mercado negro porque no hay defensa posible excepto medidas compensatorias hasta que el fabricante publique un parche.

Para entender cómo los atacantes usan estas vulnerabilidades en campañas de malware reales, el artículo sobre ransomware: qué es y cómo protegerse muestra cómo la explotación de vulnerabilidades sin parchear es uno de los principales vectores de entrada de los ataques de ransomware.

Del CVE al exploit: el ciclo de vida de una vulnerabilidad

El camino desde el descubrimiento de una vulnerabilidad hasta su explotación masiva sigue generalmente este ciclo:

1. Descubrimiento. Un investigador (interno o externo al fabricante), un grupo de cibercrime o una agencia de inteligencia descubre la vulnerabilidad.

2. Divulgación responsable (o no). El investigador puede notificar al fabricante de forma privada dándole tiempo para desarrollar un parche antes de publicar los detalles (divulgación responsable), o publicar los detalles directamente (full disclosure). Los grupos criminales y los estados no suelen divulgar: guardan la vulnerabilidad como arma.

3. Desarrollo del parche. El fabricante analiza la vulnerabilidad, desarrolla y prueba un parche y lo distribuye a los usuarios.

4. Publicación del CVE. Una vez disponible el parche (o a veces antes), se publica el CVE con los detalles técnicos de la vulnerabilidad.

5. Desarrollo de exploits. Con los detalles técnicos públicos, los atacantes desarrollan exploits (código que aprovecha la vulnerabilidad). Herramientas como Metasploit Framework integran los exploits más conocidos, haciendo su uso accesible incluso para atacantes con pocos conocimientos técnicos.

6. Explotación masiva. Los sistemas sin parchear quedan expuestos. El tiempo entre la publicación de un CVE y los primeros ataques masivos que lo explotan se mide en días o incluso horas.

Por qué actualizar el software es la defensa más importante

La razón por la que las actualizaciones de seguridad son tan críticas es exactamente este ciclo: en el momento en que se publica un CVE con parche disponible, el reloj empieza a contar. Los atacantes analizan el parche para entender exactamente qué vulnerabilidad corrige (el parche en sí es una pista sobre dónde estaba el problema) y desarrollan exploits.

Los sistemas que no se parchean en días o semanas son objetivos fáciles para ataques automatizados que escanean internet buscando versiones vulnerables. El ataque de ransomware WannaCry (2017), que afectó a más de 200.000 sistemas en 150 países, explotó una vulnerabilidad de Windows (EternalBlue) para la que Microsoft había publicado un parche dos meses antes. La mayoría de los sistemas afectados simplemente no habían aplicado esa actualización.

Cómo monitorizar las vulnerabilidades que te afectan

CVE Details (cvedetails.com). Interfaz web que permite buscar CVEs por software, fabricante, tipo de vulnerabilidad y rango de fechas. Muy útil para comprobar el historial de vulnerabilidades de un software específico antes de adoptarlo.

NVD del NIST (nvd.nist.gov). La fuente oficial de información detallada sobre cada CVE, con análisis técnico, puntuación CVSS y referencias a parches disponibles.

Alertas del fabricante. Suscribirse a los boletines de seguridad de los fabricantes del software que usas (Microsoft Patch Tuesday, Adobe Security Bulletins, etc.) permite estar informado de las vulnerabilidades críticas en el momento en que se publican los parches.

Conclusión

Las vulnerabilidades de software son inevitables en sistemas de la complejidad actual. Lo que sí es evitable es quedarse expuesto a vulnerabilidades para las que ya existe un parche. Mantener el software actualizado, especialmente el sistema operativo, los navegadores y los plugins, es la medida de seguridad con mayor retorno posible, aplicable por cualquier usuario sin conocimientos técnicos especializados.