Conoce los tipos de vulnerabilidades en seguridad informática

¿Qué es una vulnerabilidad informática? Cuando nos referimos a este concepto estamos hablando de una debilidad o fallo en los sistemas de información que pone en riesgo su seguridad, y que por lo tanto deja una puerta abierta a los ciberataques que comprometen la integridad, disponibilidad y confidencialidad de la información. Esta es la definición del INCIBE, que también nos indica que estas brechas pueden producirse debido a fallos de diseño, configuración o errores en los procedimientos. 

Las vulnerabilidades informáticas dejan los ordenadores, redes, servidores… expuestos a amenazas. Una amenaza no es lo mismo que una vulnerabilidad, aunque a veces en el lenguaje se confunden: la amenaza es una acción que aprovecha una vulnerabilidad preexistente para atacar la seguridad de un sistema de información, con objetivos como la extracción de datos, el robo o simplemente dañar a su objetivo. Una vulnerabilidad es, entonces, una característica o condición previa para que las amenazas se salden con éxito. Y siempre va a haber alguien que quiera sacar provecho de una vulnerabilidad, así que es obligación de las empresas conocer las suyas y resolverlas en la medida de lo posible. 

Tipos de vulnerabilidades en seguridad informática

Estas son algunas de las vulnerabilidades (también conocidas como exploits) que debemos tener en cuenta:

1. Vulnerabilidad de desbordamiento de buffer. Esta vulnerabilidad informática se produce cuando una aplicación es incapaz de controlar la cantidad de datos que se copian en buffer; si esa cantidad supera a su capacidad los bytes sobrantes se almacenan en otras zonas de la memoria y reescriben el contenido original. Como resultado, se puede aprovechar el problema para ejecutar un código que otorga al atacante privilegios como administrador. 
2. Vulnerabilidad de race condition. La condición de carrera se refiere a lo que ocurre cuando varios procesos tienen acceso a un recurso compartido al mismo tiempo. 
3. Vulnerabilidades de format string bugs. Se traduciría como errores de cadena de formato; el motivo de estos errores es aceptar sin validar la entrada de datos que proporciona el usuario. Es un error de diseño de las aplicaciones, un despiste en el momento de programar. Debido a esta vulnerabilidad se puede ejecutar un código arbitrario que facilite el robo de datos. 
4. Vulnerabilidades de XSS (Cross Site Scripting). Estas vulnerabilidades se usan en ataques que permiten ejecutar scripts de lenguajes como VBScript y JavaScript. Este tipo de problemas se encuentran en las aplicaciones que usamos para mostrar información en un navegador web cualquiera, si no está debidamente protegida contra estos ataques (phishing sobretodo). 
5. Vulnerabilidades de inyección SQL. Éstas se producen cuando se inserta o adjunta código SQL que no formaba parte del código SQL programado. La técnica tiene el propósito de alterar el funcionamiento de una base de datos, con código externo que permite el proceso de datos que el atacante quiera hacer.
6. Vulnerabilidades de denegación de servicio. La denegación de servicio se usa con el propósito que los usuarios no puedan usar ese servicio. Lo consiguen mediante la pérdida de conectividad de la víctima del ataque por un consumo excesivo de ancho de banda de red o de recursos conectados al sistema. 
7. Vulnerabilidades de ventanas engañosas. Esta es una vulnerabilidad muy popular y habitual. También se conoce como “Window spoofing” y permite al atacante mostrar ventanas y mensajes de notificación en nuestros ordenadores, con engaños sobre premios, sorteos y estafas similares. 

Como habéis podido comprobar, el listado de vulnerabilidades de los sistemas de información es amplio y variado, y continuamente aparecen nuevas brechas de seguridad que hemos de tapar para evitar amenazas. La colaboración de compañías de ciberseguridad y ciberinteligencia como S2 Grupo en la protección de los activos de una empresa y la realización de auditorías de ciberseguridad y acciones de gestión de riesgos para minimizar el impacto de posibles ataques es una muy buena opción para conservar, en las mejores condiciones, los datos y recursos de una organización. Es imposible erradicar al 100% todas las vulnerabilidades informáticas, pero siempre hay que trabajar para intentar conseguirlo.