Vulnerabilidad

Vulnerabilidades

La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño .

Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño.

Dependiendo del contexto de la institución, se puede agrupar las vulnerabilidades en grupos característicos: Ambiental, Física, Económica, Social, Educativo, Institucional y Política.

En referencia al folleto ¡Pongámos las pilas! , se recomienda leer el capitulo “Algunas verdades incómodas”, página 14 a 21, donde se aborda el tema de las amenazas y vulnerabilidades.

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la dimensión que ha cobrado en la actualidad. En efecto, las vulnerabilidades se han vuelto una materia en sí misma, ya que su búsqueda, desarrollo de pruebas de concepto,  explotación y publicación de las actualizaciones que las corrigen son parte de un ciclo que involucra múltiples actores interesados, entre los que pueden citarse instituciones académicas, investigadores independientes, empresas especializadas, gobiernos y hasta organizaciones supranacionales.

Una vulnerabilidad es una debilidad de un bien o de un control, que puede ser aprovechada por una amenaza. Se trata de una característica negativa del bien, también conocido como activo o recurso de información, o de un control que se implementó sobre él, que lo hace vulnerable. En efecto esa vulnerabilidad es susceptible de ser aprovechada y varía de acuerdo con los cambios en las condiciones que dieron origen a su existencia o a las acciones que se tomen con el fin de evitar su explotación o aprovechamiento.

De esta definición se desprende que las vulnerabilidades afectan a los bienes de una organización, pero también pueden darse sobre un procedimiento destinado a protegerlo. En cada uno de estos casos, corresponderá analizar las posibilidades de que las vulnerabilidades sean aprovechadas, sus características y su ciclo de vida.

Un caso particular lo constituye el software utilizado masivamente, como por ejemplo las aplicaciones Web, los sistemas operativos y la ofimática, para el cual el tema de las vulnerabilidades constituye además una pérdida de confianza en productos y proveedores. Su origen y las causas por las cuales aparecen, su divulgación, los vectores de ataque, sus posibles impactos y su alcance, entre otros factores, vuelven al tema complejo y en continuo avance, resultando motivo tanto de grandes especulaciones como de alarma real en algunos casos.

En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseño, por una codificación deficiente o insegura, por errores en la implementación o por falta de mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementación y mantenimiento de una pieza de software es susceptible de poseer una debilidad que es factible usar para alterar su funcionamiento. Un ejemplo significativo es el protocolo utilizado para el envío de correos electrónicos, que no fue diseñado pensando en la seguridad y que provoca que hoy suframos la consecuencia de este problema de diseño, por citar un caso, cuando se usa para distribuir phishing, suplantando identidades.

Un tipo especial de vulnerabilidad es la conocida como día cero o “zero-day”. Recibe esta calificación desde el momento en que es descubierta y hay evidencias de que existe un código que puede aprovecharla, denominado como “exploit”, hasta que se hace públicamente conocida y el fabricante del producto afectado no la corrige. Mientras no aparezcan soluciones o medidas de mitigación, este tipo de vulnerabilidades abre una ventana de tiempo que puede utilizarse para infectar una gran cantidad de sistemas, con una alta probabilidad de éxito. Esto genera la existencia de un mercado de compra-venta de vulnerabilidades, en el cual se les asigna un valor monetario.

Las vulnerabilidades que logran ser aprovechadas impactan a usuarios hogareños, organizaciones gubernamentales y empresas de todo tamaño. Valen como ejemplo los casos ocurridos en febrero de este año con Java, cuando las redes internas de Facebook, Twitter y Apple fueron infectadas por código malicioso.

Obtenido de :
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://www.magazcitum.com.mx/?p=2193