Microsoft tardó medio año en cerrar un agujero de Word que conocí­a

La historia que os traemos parte de una elaborada investigación a cargo de Reuters. Es la historia de un parche de seguridad que buscaba solventar el fallo de seguridad conocido como CVE-2017-0199. ¿Cuál fue el problema? El parche, que llegó el pasado 11 de abril a los sistemas operativos de cada casa, lo hizo seis meses después de que se le diera el primer aviso.

¿Qué ocurrió entre medias? La ‘puerta trasera‘ que generaba ese fallo fue usada para realizar espionaje en Rusia, y en Australia, fue usada para robar millones en cuentas de bancos online. Vamos a analizar el caso por partes para que se entienda bien.

En qué consistí­a el agujero

Originalmente era un fallo que Microsoft Word mostraba al intentar reproducir documentos de otros formatos. Este fallo permití­a al hacker insertar enlaces o programas maliciosos que se hiciesen con el control de quien abriese el documento. Si ese fallo se combinaba con otras debilidades del sistema, se podí­a conseguir hacer bastante daño.

Cadena de acontecimientos

Este descubrimiento lo hizo el consultor de seguridad Ryan Hanson en julio de 2016. Tras probar a hacer el error lo más letal posible, avisó en octubre a Microsoft de ese fallo, para así­ cobrar una mayor recompensa por haberlo descubierto y reportado. Un viejo truco. A partir de aquí­ comienza la cuenta atrás.

Y Microsoft decidió esperar

Microsoft podrí­a haber hecho un cambio en los ajustes de Word y mandar avisos a los usuarios para decirles como evitar el problema. Pero claro, haciendo eso, también estarí­an dando esa información a los posibles hackers que se quisieran aprovechar.

Microsoft Word

La solución entonces habrí­a pasado por incluir un parche en su actualización mensual de seguridad. Y ahí­ vino el problema. Microsoft decidió no parchear y en lugar de eso, informarse un poco más del problema. No tení­an constancia de que nadie estuviera utilizando el fallo descubierto por Hanson. Todaví­a.

En enero de 2017, llegaron los ataques. Las primeras ví­ctimas fueron ciudadanos rusos que recibí­an emails con documentos adjuntos con material relativo a operaciones militares rusas en Ucrania. La idea era infiltrarse en los ordenadores de rebeldes pro-ucranianos. Fueron ataques selectivos.

Sin embargo, en marzo, la empresa de seguridad FireEye Inc se dio cuenta que existí­a una gran cantidad de software de hackeo financiero usando el fallo descubierto por Hanson. Al relacionarlo con los ataques hechos en Rusia, avisaron a Microsoft. Y Microsoft confirmó que un parche de seguridad saldrí­a el dí­a 11 de abril.

El arma se vuelve viral

Pero sólo unos dí­as antes de que ocurriera, el 6 de abril, otra empresa de seguridad, McAfee, descubrió el error. Y el dí­a siguiente, escribió sobre su descubrimiento en su blog oficial. En ese artí­culo que describí­a el fallo, habí­a suficientes datos para que los hackers replicaran los ataques ya realizados. La noticia se hizo viral, y para el dí­a 9 ya habí­a salido en el mercado negro un programa para explotar este fallo. Para el dí­a 10 de abril, los ataques eran masivos.

virus vibrador huawei

El dí­a 11 salió el parche, pero desde que salió hasta que la mayorí­a de los ordenadores se lo descargaron, se cuenta un margen de tiempo. Entre ese tiempo y ese dí­a, quién sabe cuántos ordenadores espiados habrá, y cuantas cuentas bancarias hackeadas.

¿Cómo pudo ocurrir?

Los márgenes de tiempo para arreglar un fallo de seguridad suelen moverse entre los 45 y 90 dí­as. Sin embargo, estos 6 meses de tiempo son una situación bastante inaudita. En este caso, la decisión de Microsoft de esperar para investigar más a fondo el fallo ha tenido consecuencias que todaví­a no se pueden valorar, pero serán cuantiosas.

La puntilla fue la falta de comunicación entre empresas como McAfee y Microsoft . Esto fue un elemento clave para hacer que la amenaza se convirtiera en viral. Por otro lado, es la consecuencia de dejar pasar todo ese tiempo desde la notificación del problema hasta dar con la solución. Esperamos que para futuras ocasiones, Microsoft se confí­e menos y sea más asertiva. Por el bien de todos.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.