Un perfil anónimo en GitHub está haciendo algo que pone en jaque a la industria de la ciberseguridad: publicar vulnerabilidades informáticas «zero-day» —fallos de seguridad que los fabricantes aún no conocen— sin avisar previamente a nadie. El repositorio, bautizado como exploitarium, ha aparecido de la nada y ya contiene decenas de pruebas de concepto (PoC) que demuestran cómo atacar programas muy utilizados.
¿Qué está pasando exactamente?
La cuenta bikini —de la que no se sabe quién está detrás— ha subido a GitHub un archivo con exploits funcionales para herramientas como Ghidra (el analizador de código de la NSA), nmap (el escáner de redes), Wireshark (el analizador de tráfico), c-ares (una librería de red usada en millones de aplicaciones) y hasta FFmpeg (el procesador de vídeo). Lo más llamativo es que, según el propio autor, ninguna de estas vulnerabilidades ha sido reportada a los desarrolladores. Es decir, son zero-days genuinos: fallos que los equipos de seguridad de estas empresas no saben que existen.
El repositorio viene con una declaración de intenciones sui generis: «Siéntete libre de reportarlos tú mismo y llevarte el crédito del CVE si lo conceden. Por favor, no abuséis de esto. Lo hago para atraer a gente al campo de la seguridad, y siempre he encontrado que esta es la forma más eficaz».
¿Es esto ético?
Aquí está el debate. Lo habitual en ciberseguridad es seguir la divulgación responsable: quien encuentra un fallo avisa primero al fabricante, le da un plazo (normalmente 90 días) para solucionarlo, y solo entonces lo hace público. Esto permite que los usuarios se actualicen antes de que los atacantes puedan aprovechar el agujero.
Publicar zero-days sin avisar es una bomba de relojería. Cualquier persona —desde un hacker ético hasta un grupo de ciberdelincuentes— puede usar esos exploits para colarse en sistemas que usen esos programas. La comunidad de Hacker News ya ha empezado a analizar el contenido: algunos exploits parecen sólidos, otros son más discutibles, pero en conjunto el archivo representa un riesgo real.
¿Qué significa para ti?
Aunque uses programas como Wireshark o FFmpeg solo de vez en cuando, estos fallos afectan a herramientas que están por todas partes. Las librerías como c-ares están en sistemas operativos, navegadores y aplicaciones que usas a diario. Si un hacker aprovecha uno de estos agujeros, podría tomar el control de un ordenador o robar datos sin que te des cuenta.
La buena noticia es que, gracias a que el archivo ya es público, los equipos de seguridad de las empresas afectadas pueden empezar a trabajar en parches. Algunos desarrolladores ya han confirmado que están investigando los informes. Pero hasta que lleguen las actualizaciones, la recomendación es la de siempre: mantén todo tu software actualizado y no confíes en herramientas que no sean de fuentes oficiales.
Este caso abre de nuevo el debate sobre cómo compartir vulnerabilidades: ¿es mejor la transparencia total o la divulgación responsable? Mientras unos ven en «exploitarium» una forma de atraer talento a la ciberseguridad, otros lo consideran una irresponsabilidad que pone en riesgo a usuarios de todo el mundo.
— Marta, para inteligencia intermitente.
