Publicado: El jueves 27 abril 2017, a las 11:54
Visto en: Tuexperto
Microsoft tardó medio año en cerrar un agujero de Word que conocía

La historia que os traemos parte de una elaborada investigación a cargo de Reuters. Es la historia de un parche de seguridad que buscaba solventar el fallo de seguridad conocido como CVE-2017-0199. ¿Cuál fue el problema? El parche, que llegó el pasado 11 de abril a los sistemas operativos de cada casa, lo hizo seis meses después de que se le diera el primer aviso.

¿Qué ocurrió entre medias? La ‘puerta trasera‘ que generaba ese fallo fue usada para realizar espionaje en Rusia, y en Australia, fue usada para robar millones en cuentas de bancos online. Vamos a analizar el caso por partes para que se entienda bien.

En qué consistía el agujero

Originalmente era un fallo que Microsoft Word mostraba al intentar reproducir documentos de otros formatos. Este fallo permitía al hacker insertar enlaces o programas maliciosos que se hiciesen con el control de quien abriese el documento. Si ese fallo se combinaba con otras debilidades del sistema, se podía conseguir hacer bastante daño.

Cadena de acontecimientos

Este descubrimiento lo hizo el consultor de seguridad Ryan Hanson en julio de 2016. Tras probar a hacer el error lo más letal posible, avisó en octubre a Microsoft de ese fallo, para así cobrar una mayor recompensa por haberlo descubierto y reportado. Un viejo truco. A partir de aquí comienza la cuenta atrás.

Y Microsoft decidió esperar

Microsoft podría haber hecho un cambio en los ajustes de Word y mandar avisos a los usuarios para decirles como evitar el problema. Pero claro, haciendo eso, también estarían dando esa información a los posibles hackers que se quisieran aprovechar.

Microsoft tardó medio año en cerrar un agujero de Word que conocía

La solución entonces habría pasado por incluir un parche en su actualización mensual de seguridad. Y ahí vino el problema. Microsoft decidió no parchear y en lugar de eso, informarse un poco más del problema. No tenían constancia de que nadie estuviera utilizando el fallo descubierto por Hanson. Todavía.

En enero de 2017, llegaron los ataques. Las primeras víctimas fueron ciudadanos rusos que recibían emails con documentos adjuntos con material relativo a operaciones militares rusas en Ucrania. La idea era infiltrarse en los ordenadores de rebeldes pro-ucranianos. Fueron ataques selectivos.

Sin embargo, en marzo, la empresa de seguridad FireEye Inc se dio cuenta que existía una gran cantidad de software de hackeo financiero usando el fallo descubierto por Hanson. Al relacionarlo con los ataques hechos en Rusia, avisaron a Microsoft. Y Microsoft confirmó que un parche de seguridad saldría el día 11 de abril.

El arma se vuelve viral

Pero sólo unos días antes de que ocurriera, el 6 de abril, otra empresa de seguridad, McAfee, descubrió el error. Y el día siguiente, escribió sobre su descubrimiento en su blog oficial. En ese artículo que describía el fallo, había suficientes datos para que los hackers replicaran los ataques ya realizados. La noticia se hizo viral, y para el día 9 ya había salido en el mercado negro un programa para explotar este fallo. Para el día 10 de abril, los ataques eran masivos.

Microsoft tardó medio año en cerrar un agujero de Word que conocía

El día 11 salió el parche, pero desde que salió hasta que la mayoría de los ordenadores se lo descargaron, se cuenta un margen de tiempo. Entre ese tiempo y ese día, quién sabe cuántos ordenadores espiados habrá, y cuantas cuentas bancarias hackeadas.

¿Cómo pudo ocurrir?

Los márgenes de tiempo para arreglar un fallo de seguridad suelen moverse entre los 45 y 90 días. Sin embargo, estos 6 meses de tiempo son una situación bastante inaudita. En este caso, la decisión de Microsoft de esperar para investigar más a fondo el fallo ha tenido consecuencias que todavía no se pueden valorar, pero serán cuantiosas.

La puntilla fue la falta de comunicación entre empresas como McAfee y Microsoft . Esto fue un elemento clave para hacer que la amenaza se convirtiera en viral. Por otro lado, es la consecuencia de dejar pasar todo ese tiempo desde la notificación del problema hasta dar con la solución. Esperamos que para futuras ocasiones, Microsoft se confíe menos y sea más asertiva. Por el bien de todos.