:quality(75)/media/dinero/images/2022/03/ataques-google-chrome.jpg)
MADRID.- El equipo de Seguridad de Chrome reconoció la existencia de vulnerabilidades en el navegador de tipo día cero, una tendencia que parece estar en crecimiento y que desde la compañía han analizado para entender su gravedad.
La tendencia creciente de vulnerabilidades activamente atacadas puede deberse a varios factores, siendo uno de ellos, el más preocupante, la existencia de muchos más exploits, es decir, fallos que exponen la seguridad de los sistemas informáticos. Las de día cero, además, son las que el desarrollador no conoce en el momento de su identificación.
Por otra parte, puede deberse a que hay una mayor visibilidad, lo que desde Google destacan como positivo porque se pueden ofrecer parches antes. En este sentido, los responsables de los navegadores no siempre han hecho pública la identificación de vulnerabilidades de día cero atacadas, si bien en la actualidad hay más información y es más detallada.
Los cambios adoptados en los propios navegadores han obligado a los atacantes a cambiar su forma de aprovecharse de las vulnerabilidades. Un ejemplo es Flash, hoy obsoleto, pero en su día objetivo de los ciberatacantes por la cantidad de brechas de seguridad que encontraban y explotaban, la mayoría de día cero.
Otra limitación a la explotación activa de vulnerabilidades de día cero es el aislamiento de sitios, que impide que un error en el navegador sea suficiente para aprovecharse de él, obligando a que los atacantes "encadenen al menos dos errores" para poder actuar.
"El software tiene errores", afirman desde Chrome, y muchos de esos errores son explotables, algunos incluso inevitables. Por ello, desde la compañía señalan que los datos de la tendencia "son una parte importante de la historia, pero la cantidad absoluta de errores explotados no es una medida suficiente del riesgo de seguridad".
"Reconocemos que no tenemos una visión completa de la explotación activa, y solo porque no detectamos ningún día cero durante esos años, no significa que la explotación no ocurrió. Los datos de explotación disponibles sufren de sesgo de muestreo", señalan en un comunicado.
Por ello, entienden que es más importante "la forma en que un proveedor de software diseña su software (de modo que el impacto de cualquier error individual sea limitado) y responde a los errores de seguridad críticos".
:quality(75)/media/dinero/images/2019/05/puedes-borrarte-de-google-de-forma-definitiva.jpg)
:quality(75)/media/dinero/images/2014/02/googleglass.jpg)
:quality(75)/media/dinero/images/2021/07/ransomware-dia-cero.jpg)