Por qué las actualizaciones de software pueden provocar ciberataques y qué hacer

Las actualizaciones de software son esenciales para mantener los sistemas en funcionamiento y reparar vulnerabilidades conocidas, así que ¿cómo pueden dar lugar a ciberataques? Sorprendentemente, existen varias formas en las que los atacantes, las amenazas internas o incluso los usuarios finales pueden convertir una solución inocua en una ciberamenaza. ¿Cuáles son los riesgos de las actualizaciones? Y lo que es más importante, ¿cómo pueden las personas proteger sus datos y dispositivos?

¿Cuándo las actualizaciones de software se convierten en riesgos de seguridad?

A veces, los lanzamientos introducen nuevas funciones, mecanismos o integraciones. Incluso si los desarrolladores revisan minuciosamente miles de líneas de código en busca de posibles debilidades, es probable que pasen por alto algunas. Los atacantes pueden explotar estas vulnerabilidades de día cero poco después de que se publique el parche, lo que les da tiempo para atacar a los usuarios finales mientras los miembros del equipo se esfuerzan por encontrar una solución.

Una solución incompleta tiene un resultado similar. La mayoría de las personas se entusiasman con la lectura de las notas del parche, por lo que no se dan cuenta de que puede haber algunas debilidades que aún no se han solucionado. Su falsa sensación de seguridad los hace vulnerables a las amenazas, especialmente porque los atacantes pueden leer el registro de cambios para determinar qué aprovechar.

Las versiones defectuosas son poco frecuentes, pero ocurren. Pueden bloquear un sistema o exponer información confidencial, lo que les da una oportunidad a los atacantes. Los ciberataques ocurren cuando las personas confían demasiado en los desarrolladores y se descuidan con sus medidas de seguridad. En los Estados Unidos, El 92% de las empresas han experimentado un incidente de ciberseguridad debido a un proveedor externo.

Las actualizaciones pirateadas son relativamente poco comunes, pero pueden ocurrir. Un atacante podría tomar el control del sistema de administración de dispositivos del fabricante del equipo original o agregar de manera encubierta un script malicioso al código. En ese caso, podría inyectar malware directamente en el dispositivo de cualquiera que actualice su programa.

En marzo, un ingeniero de software de Microsoft descubrió que alguien había... secuestró una actualización del código fuente para xz Utils (un compresor de datos de código abierto muy utilizado en todo el ecosistema Linux) para crear una puerta trasera en el sistema operativo. El culpable fue Jia Tan, un desarrollador solitario que se ganó la confianza aportando código útil antes de inyectar malware.

Este ataque estuvo “terriblemente cerca” de tener éxito. Si lo hubiera tenido, habría sido catastrófico y habría afectado a los sistemas Linux de todo el mundo. La programación inalámbrica (parches que se envían a los dispositivos a través de una red inalámbrica) es conocida por ser vulnerable a estos incidentes de ciberseguridad porque se instalan automáticamente a través de Internet.

¿Por qué la actualización de software conduce a ciberataques?

En la mayoría de los casos, los errores de los usuarios son los culpables de los ciberataques. Correos electrónicos de phishing Pueden disfrazarse como actualizaciones de software. , engañando a personas desprevenidas para que instalen malware en lugar de actualizar sus aplicaciones. Los mensajes emergentes son otro vector de ataque común. Afirman que la persona usa una versión obsoleta o que puede beneficiarse de una actualización.

Las ventanas emergentes especialmente maliciosas no tienen un botón para cancelar, sino que muestran opciones como “instalar ahora” e “instalar durante la noche”, que engañan a los usuarios haciéndoles creer que no tienen otra opción que aceptar. Estas versiones falsas inyectan software espía o malware, lo que compromete el dispositivo de destino. Como la víctima espera que se instale algo, es posible que ni siquiera se dé cuenta de su error al principio.

Los investigadores recientemente Descubrieron un software espía camuflado en una aplicación de Android que utiliza esta estrategia. Este troyano de acceso remoto envía una notificación push que parece una actualización del sistema. Si los usuarios la aceptan, roba sus datos de ubicación, archivos de imágenes, registros de llamadas y listas de contactos. También escucha a escondidas utilizando el micrófono del teléfono y espía utilizando la cámara.

Incluso si la actualización es legítima, pueden surgir problemas. Los errores de usuario, como integraciones incorrectas, funciones de seguridad deshabilitadas y configuraciones incorrectas, pueden generar vulnerabilidades desconocidas. A los actores maliciosos les gusta atacar poco después de que se implementen las correcciones porque tienen una oportunidad cuando la gente comete esos errores.

Un entorno en vivo difiere significativamente de una prueba controlada, por lo que las vulnerabilidades inesperadas son inevitables. Los problemas de compatibilidad son un factor común para estas ciberamenazas. Incluso si no existen vulnerabilidades de día cero, los actores maliciosos pueden aprovechar los errores de los usuarios para infiltrarse en las redes y atacar los sistemas.

Las consecuencias de instalar actualizaciones maliciosas

La inyección de malware es la consecuencia más común de un parche apresurado, incompleto, defectuoso o no oficial. Los actores maliciosos pueden instalar ransomware, keyloggers, virus o spyware. Esto les permite bloquear los dispositivos de las víctimas a cambio de rescates o monitorear la actividad para recopilar datos confidenciales. Si atacan a una empresa, pueden exfiltrar información confidencial y de identificación personal.

En estas situaciones, las pérdidas económicas son habituales. El coste medio de una filtración de datos en Estados Unidos alcanzó un récord de 9,48 millones de dólares en 2023, frente a los 9,44 millones de dólares de 2022. Las personas pagan menos porque los piratas informáticos saben que tienen menos liquidez y menos dispositivos que comprometer. Sin embargo, siguen gastando cientos o incluso miles de dólares en la recuperación.

Mientras las personas están en el proceso de respuesta y recuperación ante incidentes, los atacantes pueden robar datos confidenciales, lo que las hace vulnerables al robo de identidad, la suplantación de identidad y los ciberataques posteriores. Además, es probable que tengan que cerrar cualquier programa o sistema que esté causando el ciberataque, lo que provocará tiempos de inactividad o demoras inesperados.

Por qué los usuarios deben actualizar de todas formas a pesar del riesgo

Los investigadores pasaron casi dos décadas creando el mayor conjunto de datos sobre actualizaciones de usuarios jamás creado mediante el seguimiento de los cambios de software de servidores de más de 150.000 empresas medianas y grandes. Descubrieron que El 57% de estas organizaciones utilizó código con graves vulnerabilidades incluso cuando había versiones seguras disponibles.

Saber con qué facilidad una solución sencilla puede convertirse en un vector de ciberataques evitará que algunas personas actualicen sus sistemas. Sin embargo, esta forma de proceder es peor que la alternativa. Los parches abordan vulnerabilidades conocidas que los piratas informáticos buscan explotar activamente. También protegen las integraciones al actualizar la compatibilidad, el procesamiento y las funciones.

Aunque las versiones desactualizadas pueden introducir debilidades o comprometer directamente un dispositivo, rechazarlas tiene consecuencias más graves para la ciberseguridad. Las personas que utilizan versiones desactualizadas tienen más probabilidades de ser el objetivo de los cibercriminales, lo que da lugar a ataques más frecuentes y sofisticados, que tienen muchas más posibilidades de tener éxito.

Las personas no deberían asumir que están a salvo solo porque se supone que un parche las protege. La realidad de la era digital es que, sin importar qué protecciones se implementen, alguien eventualmente encontrará una falla o una debilidad que explotar. Suena sombrío, pero debería ser tranquilizador: significa que el software es como cualquier otro activo. La mayoría de las veces, la vigilancia es una de las mejores defensas.

Cómo proteger datos y dispositivos

Dado que ignorar las actualizaciones de software no es una opción, las personas deben seguir las mejores prácticas y utilizar todas las herramientas de seguridad relevantes a su disposición.

1. Desactivar las actualizaciones automáticas

Las actualizaciones automáticas y por aire ofrecen una ventaja a los atacantes. Las personas deberían desactivarlas y actualizar sus sistemas a medida que los desarrolladores publiquen correcciones. También deberían verificar la identidad del servidor y asegurarse de que su conexión esté cifrada antes de continuar.

2. Revisar las notas del parche

Los usuarios finales deben revisar constantemente las notas de los parches, los registros de cambios y el código para identificar posibles manipulaciones maliciosas. Este enfoque también les permite ver qué vulnerabilidades se solucionaron y cuáles no, lo que elimina cualquier falsa sensación de seguridad.

3. Utilice configuraciones seguras por defecto

La Agencia de Ciberseguridad y Seguridad de la Información recomienda utilizar configuraciones seguras por defecto Para mejorar la postura de ciberseguridad, lo que incluye el uso de medidas de autenticación de identidad y el cambio de contraseñas predeterminadas por otras más seguras.

4. Utilice múltiples herramientas de seguridad

Los parches no solucionan todas las debilidades de seguridad. Como dice el refrán, por cada vulnerabilidad que encuentran los desarrolladores, existen otras cinco. Los propietarios de dispositivos deberían instalar cortafuegos, monitorización de red, autenticación multifactor y redes privadas virtuales para proteger sus datos.

5. Actualización desde la fuente

La desconfianza por defecto se está convirtiendo en una práctica de ciberseguridad muy extendida. Las personas deberían asumir automáticamente que cualquier mensaje que las dirija a visitar un sitio web o hacer clic en un enlace es un intento de phishing. Deberían dirigirse directamente a la fuente oficial para obtener información o instalaciones.

Manténgase alerta para proteger el software y los datos

Los cibercriminales son astutos y escurridizos, por lo que seguirán inventando nuevas formas de piratear, manipular o envenenar parches. La mejor medida es permanecer alerta y cauteloso. Seguir las mejores prácticas, aprovechar herramientas de seguridad sólidas y leer los registros de cambios podría marcar la diferencia entre convertirse en víctima de un ciberataque y mantenerse a salvo.