La transformación digital de industrias, servicios y medios ha impulsado el bienestar de la sociedad, pero también ha abierto la caja de Pandora a amenazas desconocidas, como los exploits. Pese a carecer de la ‘fama’ del ransomware, este tipo de ciberataques ha protagonizado en las últimas décadas, algunos de los ataques y brechas de seguridad más sonados.
Todos los tipos de exploit se remontan a un gusano de red conocido como Blaster o LoveSan 3a1, que fue pionero en explotar las vulnerabilidades de la tecnología DCOM de Microsoft. Este primer exploit se detectó en el verano de 2003: veinte años después, es difícil clasificar los archivos maliciosos que, en oleada, han tomado su testigo.
Exploit: así es la amenaza informática que aprovecha las vulnerabilidades del sistema
Antes de profundizar en las clases de exploit que proliferan en internet, conviene definir este software, código o línea de comandos desarrollado con fines malintencionados, vandálicos e incluso delictivos.
Los exploits son ciberataques diseñados para aprovechar las vulnerabilidades de un sistema y acceder a la información y recursos de sus usuarios o entidades. En sí mismo, el exploit no supone una amenaza. Pero su introducción en un cierto dispositivo o sistema informático genera una reacción inesperada que permite a los atacantes el logro de sus objetivos.
Este anglicismo proviene del verbo to exploit, traducible en español como «aprovechar» o «explotar» cualquier cosa en beneficio propio, y se utiliza para referir tanto el ataque como el programa o código que lo ha causado, indistintamente.
Con sus diferencias y particularidades, los tipos de virus exploit actúan como ‘llaves’ que habilitan permisos y puertas traseras, fundamentalmente. Con ellas, el responsable puede sustraer información privada, introducir anuncios y correos basura (spamming), acometer ataques DDoS o realizar otras acciones que, en condiciones normales, serían contrarrestadas por antivirus y otros programas similares.
Como ejemplos de exploits, pueden citarse Heartbleed, que posibilita la extracción de datos confidenciales de sistemas con OpenSSL; EternalBlue, que explota las vulnerabilidades de Windows; Log4Shell, capaz de ejecutar código de forma remota en dispositivos con bibliotecas Log4j2 del software Apache, o Shellshock, similar al anterior pero orientado a terminales equipados con la interfaz Bash.
¿Cuántos tipos de exploits hay y cómo son?
Sorprende que los investigadores y expertos en ciberseguridad solo haya descubierto un pequeño porcentaje de las vulnerabilidades de los sistemas operativos, interfaces, etcétera. El resto, o siguen en la oscuridad, o están siendo utilizadas por hackers sin que se tenga conocimiento de ello. Por esta razón, es lógico que los exploits se dividan en dos grupos: conocidos y desconocidos.
Exploit de Ataques conocidos
A esta categoría pertenecen Heartbleed, Log4Shell y otros exploits bien documentados y estudiados por las partes interesadas en su control. En general, están ligados a reconocidas marcas y proveedores de software, como sucede el exploit EternalBlue y sus derivados, que aprovechan las flaquezas del protocolo SMBv3 de Microsoft.
Que el exploit sea ampliamente conocido y estudiado no disminuye su peligrosidad. Un claro ejemplo es ‘wp-config.php’, que continúa siendo empleado para acceder a las bases de datos del popular CMS WordPress. No obstante, este tipo de amenazas exploit encuentra mayores dificultades para triunfar que otro de nuevo cuño.
Exploit Ataques ‘zero day’
En ciberseguridad, los exploits que carecen de registros previos al ataque reciben el nombre de zero day o ‘de día cero’. El desconocimiento de sus efectos y de los puntos débiles que explotan, los convierte en graves amenazas para usuarios y entidades públicas y privadas.
Justo es reconocer que todos los exploits comienzan siendo zero day, hasta que acumulan un historial de actividades que permite documentarlos cabalmente y desarrollar parches de seguridad. Por esta razón, mantener actualizado el sistema operativo es una de esas cosas que debes saber sobre la seguridad de tu PC.
La forma en que el exploit infecta el dispositivo admite una segunda clasificación —local, remota y vía aplicación— que repasaremos en las siguientes líneas:
Exploit Local
Esta clase de exploit requiere que los ciberdelincuentes accedan al sistema en cuestión, para otorgarse así los privilegios necesarios para poner en práctica sus acciones.
Exploit Remoto
Estos ataques de tipo exploit se caracterizan por carecer de un objetivo definido. Se distribuyen aleatoriamente por la red en forma de archivos maliciosos. Cuando entrar en contacto con un equipo, pueden vulnerar su seguridad sin haber accedido previamente a sus sistemas.
Exploit Vía aplicación
Estos exploits utilizan las apps y programas instalados en el dispositivo a modo de cómplices indirectos. Se trata de programas corrientes cuyas debilidades internas pueden ser instrumentalizadas por los ciberdelincuentes para vulnerar la seguridad del dispositivo.
