Tendemos a pensar que los ciberdelincuentes pasan gran parte de su tiempo buscando vulnerabilidades nuevas y, por tanto, desconocidas para los desarrolladores. Eso es cierto en ocasiones, sobre todo en los casos de las vulnerabilidades zero-day. Estas son vulnerabilidades desconocidas y para las que, por tanto, no existen soluciones. Son muy «rentables» una vez descubiertas, pero costosas a la hora de identificarlas.

Por eso, gran parte del tiempo de actividad de los ciberdelincuentes se emplea en sacar partido de los errores ya conocidos y todavía no parcheados. Parece irónico, ¿verdad? Es, sobre el papel, muy fácil protegerse de estos ataques: basta con actualizar los programas instalados en nuestro dispositivo con sus últimas versiones de seguridad conocidas.

El usuario suele ser el punto más débil de toda la cadena de ciberseguridad, así que, sí: la tarea de parchear el software a veces se queda huérfana. Nadie se encarga de ello cuando toca, o bien se programan las actualizaciones para una fecha concreta que no es inmediata. Las razones de que suceda esto: falta de tiempo, de personal o de recursos. La realidad es que, en muchas empresas, los fallos de seguridad críticos no se corrigen a tiempo. Es ahí cuando los ciberdelincuentes sacan rendimiento a sus ataques «obvios».

¿Cuándo atacan los ciberdelincuentes? ¿Cómo lo hacen?
Para lanzar este tipo de ataques, los ciberdelincuentes buscan no sólo cómo llevarlos a cabo, sino en qué momento van a ser más efectivos. Según el análisis de Barracuda, un proveedor de servicios de seguridad, los bots automatizados de los delincuentes suelen lanzar sus ataques durante los días laborables.

De esta manera, el tráfico que se genera al atacar los sistemas se camufla mejor entre el tráfico normal de un día de trabajo. Es más difícil detectar las prácticas maliciosas durante esos días que en un fin de semana, con mucha menor actividad.

En el informe se anotan algunas técnicas conocidas que utilizan los delincuentes para realizar los ataques. De hecho, observaron cómo los ataques se correspondían con los tipos más comunes. Por ejemplo, se realizan intentos de reconocimiento o fuzzing y ataques contra las vulnerabilidades de las aplicaciones (WordPress es aquí la más popular).

El fuzzing (o fuzz testing) es una técnica que consiste en realizar pruebas semiautomáticas o automáticas en las que se inyectan datos al azar, inválidos y no esperados en la entrada de datos de un determinado software. Es una técnica que se utiliza para comprobar la seguridad de la entrada en lo que respecta a la validación de datos, pero que también puede revelar de manera sencilla vulnerabilidades que pueden aprovechar los delincuentes.

Por otro lado, la inyección de comandos es el tipo de ataque más común, especialmente contra Windows (o contra un sistema operativo, en general). En estos ataques, los delincuentes ejecutan comandos arbitrarios con la esperanza de comprometer una aplicación vulnerable. Otro de los métodos más comunes y utilizados es el ataque de inyección SQL. Mediante este ataque se inyectan sentencias SQL maliciosas a través de un formulario web u otra interfaz de cliente que los admita.

Cómo protegerse de estos ataques
El primer paso es mantener todo el software actualizado con los últimos parches de seguridad. Aparte de esto, es necesario proteger a la organización contra todos los fallos de seguridad posibles, así que es recomendable utilizar un cortafuegos de aplicaciones web o un producto WAF (Web Application Firewall) como servicio.

Lo ideal, en realidad, sería una solución WAF-as-a-Service o WAAP (Web Application API Protection) que incluya, al menos, mitigación de bots, protección contra DDoS, seguridad de APIs y protección contra el robo de credenciales. Y