En el desafiante mundo de la informática, se han producido continuos avances en el desarrollo de herramientas y servicios. Foto: Archivo.
Sean todos bienvenidos una vez más a Código Seguro. En el desafiante mundo de la informática, se han producido continuos avances en el desarrollo de herramientas y servicios tanto para comprometer como para proteger las computadoras interconectadas a las grandes redes de datos.
El reciente crecimiento en el número y la calidad de las soluciones de ciberseguridad es un indicador de la necesidad percibida de disponer de más medios para proteger los sistemas informáticos de las amenazas. El uso eficaz de estas herramientas implica determinar los objetivos de intercambio, interpretación y correlación de una gran cantidad de información sobre vulnerabilidades informáticas. No obstante muchas veces dichos objetivos son muy difíciles de alcanzar.
Por lo tanto, en el día de hoy mis estimados lectores, les hablaré acerca de una herramienta clave en esta lucha, la cual sin dudas es la lista de Vulnerabilidades y Exposiciones Comunes (CVE, según acrónimo en idioma inglés), un recurso esencial para identificar y mitigar amenazas en el mundo digital.
El programa CVE, lanzado en 1999 por la corporación MITRE, proporciona un diccionario de vulnerabilidades y exposiciones de seguridad de la información. Cada entrada en la lista CVE incluye un número de identificación único (CVE-ID), una descripción de la vulnerabilidad, las versiones de software afectadas y posibles soluciones para mitigar la amenaza.
Según se publica en su portal web oficial, la misión de este programa desde sus inicios siempre ha sido identificar, definir y catalogar las vulnerabilidades de ciberseguridad divulgadas públicamente. Hay un registro CVE por cada vulnerabilidad del catálogo. Las vulnerabilidades son descubiertas, asignadas y publicadas por organizaciones de todo el mundo que se han asociado al mismo. Los socios publican estos registros para comunicar descripciones coherentes de las vulnerabilidades. Los profesionales de las tecnologías de la información y la ciberseguridad utilizan estos para asegurarse de que están hablando del mismo tema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.
Antes de continuar sería preciso definir qué entendemos por vulnerabilidad y exposición en este contexto. Una vulnerabilidad es una debilidad en el software que puede ser explotada por atacantes para obtener acceso no autorizado a sistemas informáticos. Esto puede permitir la ejecución de código malicioso, el acceso a la memoria del sistema, la instalación de programas malignos y la modificación o robo de datos confidenciales. Por otra parte una exposición es un error en el código o la configuración del software que permite a un atacante obtener acceso indirecto a sistemas y redes. Esto puede resultar en la recopilación de datos sensibles, credenciales de usuario e información de clientes.
No obstante nuestro conocido Decreto No. 360/2019 establece en su artículo 9 que una vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de un sistema. Teniendo en cuenta lo anterior, este autor considera que el Programa CVE constituye un gran esfuerzo internacional que mantiene un registro de datos abiertos y actualizados sobre las vulnerabilidades de ciberseguridad conocidas públicamente. Esto permite a las organizaciones identificar y categorizar las vulnerabilidades en software y firmware, facilitando la comunicación y el intercambio de información sobre las principales amenazas de seguridad existentes.
El concepto original de lo que se convertiría en la Lista CVE fue presentado por los cocreadores de CVE, David E. Mann y Steven M. Christey, en un artículo titulado Towards a Common Enumeration of Vulnerabilities (Hacia una enumeración común de vulnerabilidades), en el 2º Taller sobre investigación con bases de datos de vulnerabilidades de seguridad, celebrado durante los días 21 y 22 de enero de 1999 en la Universidad Purdue de West Lafayette, Indiana, EE.UU. A partir de ese concepto original, se formó un grupo de trabajo (que más tarde se convertiría en el Consejo Editorial de CVE inicial de 19 miembros), y se crearon los 321 Registros CVE originales. La Lista CVE se lanzó oficialmente al público en el mes de septiembre del mismo año.
Rápidamente la comunidad de la ciberseguridad refrendó su importancia mediante el desarrollo de productos y servicios interoperables con la información que se publicaba en dicha lista, pero no fue hasta doce años después que el Grupo de Relator de Ciberseguridad de la Unión Internacional de Telecomunicaciones, adoptó a CVE como parte de sus nuevas técnicas de intercambio de información sobre ciberseguridad global. A partir de ese momento su evolución y expansión fueron en total ascenso hasta nuestros días, según se puede apreciar en la siguiente figura.
Evolución y expansión en total ascenso hasta nuestros días. Foto: Archivo.
Entre sus principales ventajas se encuentran:
- Interoperabilidad: Los identificadores comunes de CVE permiten el intercambio de datos entre productos de