CNET también está disponible en español.

Ir a español

Don't show this again

Cultura tecnológica

Expertos: falla Bash es peor que Heartbleed

Sólo unos meses después de que Heartbleed conmocionara Internet, otra vulnerabilidad de seguridad amenaza desde servidores hasta dispositivos con conectividad.

appcybersecurity300x225.jpg

Una nueva vulnerabilidad en la seguridad conocida como Bash o Shellshock puede resultar en un desastre para las grandes compañías digitales, los pequeños web hosts y hasta los dispositivos conectados a Internet.

La falla de seguridad, que ya tiene unos 25 años, permite que se ejecute un código maligno dentro del programa informático Bash (que se puede acceder comúnmente a través del Símbolo del Sistema [Command Prompt] en PC o la aplicación Terminal en las Mac) para tomar control del sistema operativo y tener acceso a la información confidencial.

Una publicación de la compañía de software Red Hat advirtió que "es común en muchos programas correr el Bash en el fondo", y el fallo se activa cuando se añade código extra dentro de las líneas del código de Bash.

El experto en seguridad Robert Graham ha advertido que el fallo Bash es mayor que Heartbleed, porque "el fallo interactúa con otro software de manera inesperada" y porque un "gran porcentaje" de software interactúa con el programa Bash.

"Nunca seremos capaces de catalogar todo el software que es vulnerable al fallo Bash", dijo Graham. "Mientras que los sistemas conocidos (como tu servidor de web) se han remendado, los sistemas desconocidos continúan con la falla de seguridad. Lo vemos con Heartbleed: seis meses después, cientos de miles de sistemas aún siguen siendo vulnerables".

El sitio Arts Tecnica reporta que esta falla de seguridad afecta a los dispositivos Unix y Linus como también a hardware que corre Mac OS X. Según Ars, una prueba realizada a Mac OS X Mavericks (versión 10.9.4) demostró que era "una versión vulnerable a Bash".

Graham también advirtió que Bash es particularmente peligroso para los dispositivos de Internet de las cosas porque su software está construido con códigos Bash, que son "menos probables de remendar ... y que son más propensos a exponer la vulnerabilidad al mundo exterior". Graham dijo que el fallo ha existido por un "largo, largo tiempo", lo que significa que un gran número de dispositivos más antiguos son vulnerables.

"El número de sistemas que necesitan ser remendados, pero que no lo serán, es mucho más elevado que Heartbleed", dijo.

Heartbleed, una falla de seguridad que se reveló en abril, se adentró a OpenSSL más de dos años atrás. Permite la extracción de bits de memoria de los servidores afectados. El investigador de seguridad Bruce Schneier calificó esta falla de seguridad como "catastrófica".

"En una escala del 1 al 10, esto es un 11", dijo Schneier, quien calculó que medio millón de websites son vulnerables a este fallo.

Arreglando la falla

Tod Beardsley, de la firma de seguridad Rapid7, advirtió que aunque la complejidad de la falla es baja, la amplia gama de dispositivos afectados requiere que los administradores de sistemas empiecen a remendar los sistemas inmediatamente.

"Esta vulnerabilidad tiene el potencial de ser algo grande", le dijo Beardsley a CNET. "Tiene una calificación de 10 en severidad, lo que significa que tiene un máximo impacto, y está clasificado con una 'baja' complejidad, lo que significa que es fácil para que los cibercriminales lo utilicen".

"El software afectado, Bash, se usa extensamente, así que los cibercriminales pueden utilizar esta debilidad para manipular una gran variedad de dispositivos y servidores de Web de forma remota. Al aprovecharse de esta falla, los criminales pueden tomar el control total de los sistemas operativos, acceder información confidencial, hacer cambios".

Después de realizar un rápido examen de Internet para poner a prueba esta debilidad, Graham señaló que el fallo "puede fácilmente traspasar firewalls e infectar muchos sistemas", que, según él, marcaría el final de las grandes redes.

"Examina tu red y busca cosas como Telnet, FTP y versiones antiguas de Apache (masscan es extremadamente útil para esto). Todo lo que responda a este examen es probablemente un dispositivo antiguo que necesita remendar el Bash. Y, como la mayoría no puede ser arreglado, seguro ya te fregaste".