Los expertos han descubierto una grave falla de seguridad que le permitiría a los hackers tomar control a distancia de su computadoras. Esta vulnerabilidad llamada Shellshock, tiene más de 20 años de antigüedad, pero no salió a la luz hasta esta semana.
La autoridad estadounidense para emergencias informáticas, Computer Emergency Readiness Team (US-CERT), cataloga su peligrosidad con el máximo de 10 sobre 10 y les recomienda a los administradores de sistemas y a los usuarios que puedan verse afectados que apliquen inmediatamente 'parches' de seguridad.
El virus tiene un 10, lo más alto en la escala, por su impacto y facilidad para sacarle provecho, según el Sistema Común de Calificación de Vulnerabilidad, un estándar de la industria que evalúa la peligrosidad de las fallas en seguridad.
Los expertos indicaron que Bash no corre en computadoras que usan el sistema operativo Windows.
¿Quién está en peligro?
La vulnerabilidad Shellshock está dentro de un componente de software llamado Bash, un acrónimo de Bourne-Again Shell. Bash es un programa informático que interpreta órdenes y forma parte de la plataforma Unix, sobre la que otros sistemas operativos están construidos, como Linux y el de Apple, Mac OS.
Los hackers podrían potencialmente tomar control a distancia de casi cualquier computadora o sistema que use Bash, así que esta falla de seguridad puede afectar a usuarios individuales pero también a gobiernos, bancos y autoridades militares, que pueden estar utilizando servidores de Internet que operan con el sistema Linux.
Debido al poder de Linux, más de la mitad de los servidores de Internet, teléfonos Android y la mayoría de los dispositivos del Internet de las Cosas (IoT), el alcance de Shellshock es muy amplio', advierte Nunnikhoven, ingeniero de seguridad de Trend Micro,a través de un comunicado.
Lo que hace tan peligroso a Shellshock es que puede estar prácticamente en cualquier dispositivo que se conecta a internet, desde una cerradura inteligente, hasta el servidor de una gran compañía, explicó Robert Graham, experto en ciberseguridad en su blog.
Peligro real
Según los expertos en seguridad, llevar a cabo ataques cibernéticos aprovechando esta vulnerabilidad es muy simple, por eso esta falla es particularmente preocupante: los criminales podrían obtener rendimientos explotando una falla de baja complejidad.
Algunos expertos creen que Shellshock es más grave que la falla Heartbleed, descubierta el pasadoabril. Según Alan Woodward, investigador de seguridad de la universidad inglesa de Surrey, esta vulnerabilidad le da a un hacker un acceso directo al sistema. 'La puerta está abierta de par en par', dijo.
'Explotando esta vulnerabilidad, los atacantes podrían potencialmente tomar el control del sistema operativo, acceder a información confidencial, hacer cambios, etcétera', le dijo a la BBC Tod Beardsley, ingeniero de la firma especialista en ciberseguridad Rapid7.
Medidas
No hay una solución rápida y efectiva para protegerse. Un usuario común solo puede esperar que los proveedores de servicio realicen las actualizaciones, pues para determinar si sus dispositivos están infectados necesitará de algunos conocimientos en programación.
En general, la responsabilidad de protección recae sobre los administradores de servidores y los administradores de sistemas informáticos, que tendrán que actualizar sus sistemas con los parches de seguridad adecuados.
'Cualquier persona que utilice sistemas que usan Bash necesita aplicar inmediatamente un parche de seguridad', dijo Beardsley.
Algunos expertos advierten, sin embargo, que los parches de seguridad son 'incompletos' y no podrán asegurar totalmente los sistemas.
Por su parte el investigador Alan Woodward le recomienda a los usuarios preocupados por la seguridad de sus dispositivos personales que visiten las páginas web de los fabricantes para estar pendientes de posibles actualizaciones, particularmente en lo que se refiere a dispositivos de hardware como routers.
Los usuarios de Linux y Mac pueden aplicar parches individualmente, pero no es algo que cualquier individuo pueda hacer fácilmente, a pesar de que hay tutoriales en internet.
Se estima que Shellshock podría afectar a 500 millones de usuarios.
