{"id":28917,"date":"2013-01-17T18:19:55","date_gmt":"2013-01-17T17:19:55","guid":{"rendered":"http:\/\/onsoftware.softonic.com\/?p=28917"},"modified":"2025-06-13T05:56:17","modified_gmt":"2025-06-13T03:56:17","slug":"que-es-una-vulnerabilidad","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/es\/que-es-una-vulnerabilidad\/","title":{"rendered":"\u00bfQu\u00e9 es un agujero de seguridad?"},"content":{"rendered":"

\"\"<\/a>Imagina por un momento que tu antivirus es el guardia de un banco: \u00e9l decide qu\u00e9 programas pueden pasar y cu\u00e1les deben quedarse fuera. Si el guardia es eficaz y el edificio est\u00e1 bien dise\u00f1ado, no habr\u00e1 forma alguna de que algo se cuele sin permiso<\/strong>.<\/p>\n

Ahora bien, si en el sistema operativo hubiera una puerta trasera<\/strong>, esta podr\u00eda ser aprovechada para penetrar en el interior y llevar a cabo todo tipo de fechor\u00edas. Los malos podr\u00edan entrar, robar datos y salir sin levantar las sospechas<\/strong> del guardia-antivirus.<\/p>\n

A este tipo de problema se le denomina vulnerabilidad<\/strong> o agujero de seguridad<\/strong>. En este art\u00edculo te explicar\u00e9 qu\u00e9 son los agujeros de seguridad, cu\u00e1les sus riesgos m\u00e1s comunes y c\u00f3mo prevenir su explotaci\u00f3n da\u00f1ina a costa de tu bolsillo y tu privacidad.<\/p>\n

\u00bfQu\u00e9 es una vulnerabilidad? \u00bfQu\u00e9 es un agujero de seguridad?<\/h3>\n

Entre las miles de l\u00edneas de c\u00f3digo<\/a> que forman un programa, siempre hay alg\u00fan fragmento que est\u00e1 mal dise\u00f1ado<\/strong> o que es tan complejo que prever su comportamiento en todos los escenarios resulta una tarea casi imposible.<\/p>\n

\"\"Cuando no afecta al funcionamiento de la aplicaci\u00f3n, ese fragmento de c\u00f3digo puede quedarse sin detectar durante mucho tiempo<\/strong>, lo que obviamente retrasa su correcci\u00f3n. Incluso cuando el defecto se conoce, puede que no sea arreglado por falta de recursos.<\/p>\n

En el momento en que alguien malintencionado descubra el fallo, es posible que intente aprovecharlo con fines destructivos, convirti\u00e9ndolo en un aut\u00e9ntico agujero de seguridad, uno que pueda ser aprovechado mediante un ataque inform\u00e1tico<\/strong> (exploit<\/em>).<\/p>\n

\u00bfQu\u00e9 puede hacerme a m\u00ed un agujero de seguridad?<\/h3>\n

A ti, directamente, nada. <\/em>Lo\"\"s agujeros no son m\u00e1s que la v\u00eda de entrada para problemas y dolores de cabeza inform\u00e1ticos. Lo que da\u00f1a a tus datos<\/strong> es lo que puede entrar a trav\u00e9s de los agujeros o lo que puede aprovechar esas vulnerabilidades con fines destructivos.<\/p>\n

Ese aprovechamiento se denomina \u201cataque\u201d<\/strong>, y puede ser activo o pasivo. Cuando es activo, el ataque da\u00f1a el sistema hasta que deja de funcionar. Los ataques activos<\/strong> \u201cfuerzan\u201d las entradas del sistema, y se usan, por ejemplo, para tumbar sitios web o desactivar software de importancia vital.<\/p>\n

Los ataques pasivos <\/strong>act\u00faan como un ninja: se introducen en el sistema sin causar da\u00f1o aparente. Mucho m\u00e1s peligrosos a largo plazo, tienen por objetivo la obtenci\u00f3n de privilegios en los sistemas atacados (lo que equivale a tener “superpoderes”), la instalaci\u00f3n de programas da\u00f1inos<\/a> (malware) y la sustracci\u00f3n de datos confidenciales<\/a>.<\/p>\n

Y los famosos “ataques de d\u00eda cero\u201d… \u00bfqu\u00e9 son?<\/h3>\n

Si un atacante aprovecha una vulnerabilidad reci\u00e9n descubierta<\/strong>, entonces hablamos de un ataque de d\u00eda cero<\/a>. Su potencial da\u00f1ino es mucho mayor, puesto que inicialmente no hay defensa alguna contra el mismo; es el autor del programa quien debe actuar lo antes posible para evitar el desastre.<\/p>\n

Muchas veces, por desgracia, pueden pasar meses o a\u00f1os antes de que el fallo se corrija<\/strong>.<\/p>\n

\"\"<\/p>\n

El temido Virus de la Polic\u00eda aprovecha una vulnerabilidad de la m\u00e1quina virtual de Java<\/a> para entrar en los PC<\/em><\/p>\n

En los casos m\u00e1s graves, que es cuando aparecen en aplicaciones muy populares, los ataques de d\u00eda cero se convierten en puertas abiertas para virus y ataques de todo tipo, lo que provoca aut\u00e9nticas emergencias a nivel mundial<\/strong>, como la vivida con el Virus de la Polic\u00eda<\/a>.<\/p>\n

\u00bfPor qu\u00e9 los programas tienen vulnerabilidades?<\/h3>\n

Ning\u00fan programador cuerdo dise\u00f1a sus aplicaciones para que tengan agujeros de seguridad. Al contrario, la mayor\u00eda se esfuerza para que sus programas sean lo m\u00e1s seguros posible. Es una cuesti\u00f3n no solo de seguridad, sino tambi\u00e9n de estabilidad: el c\u00f3digo seguro<\/strong> asegura un buen rendimiento en cualquier situaci\u00f3n.<\/p>\n

\"\"<\/p>\n

Cheat Engine<\/a> explota agujeros de seguridad de riesgo muy bajo o nulo: a los autores de juegos no les importan<\/em><\/p>\n

Lo que s\u00ed puede ocurrir es que los programas sean liberados con fallos de seguridad (bugs<\/em>) no detectados o considerados como poco importantes. O que la aplicaci\u00f3n incluya funciones no documentadas<\/strong>, como utilidades de control remoto o actualizaci\u00f3n de archivos.<\/p>\n

Finalmente, muchos agujeros no son detectados sencillamente porque nadie ha intentado encontrarlos ni ha efectuado pruebas de calidad<\/a>. Pero incluso cuando se pone a prueba un programa, es posible que algunos agujeros de seguridad graves queden sin descubrir.<\/p>\n

Esto pasa sobre todo con aplicaciones muy grandes; en el mundo del software, complejidad e inseguridad suelen ir de la mano<\/strong>. La existencia de agujeros de seguridad, en resumen, es inevitable.<\/p>\n

\u00bfC\u00f3mo consigue alguien encontrar\u00a0 y explotar vulnerabilidades?<\/h3>\n

Cuando un atacante comprueba un sistema en busca de vulnerabilidades es mucho m\u00e1s agresivo que el usuario promedio. Por ejemplo, puede intentar abrir una brecha<\/strong> introduciendo ejecutables en un formulario con el que solo deber\u00edan cargarse im\u00e1genes, o saturar de peticiones un programa hasta que este se reinicie o abandone toda resistencia.<\/p>\n

Todas las v\u00edas de entrada de un programa pueden forzarse o enga\u00f1arse<\/strong>. Y es que los programas, en el fondo, no son m\u00e1s que filtros por los que pasan los datos que nosotros, los usuarios, les proporcionamos: cuando lo que damos es excesivo, el filtro se atasca y rompe, dejando que pase de todo. Encontrar fallos requiere ingenio, perseverancia y, obviamente, herramientas<\/a>.<\/p>\n

\"\"<\/p>\n

Captura del excelente manual “Introducci\u00f3n a la explotaci\u00f3n de software en sistemas Linux” (PDF<\/a>)<\/em><\/p>\n

Una vez halladas las vulnerabilidades, el atacante puede crear un exploit o aplicar una t\u00e9cnica ya conocida<\/strong>. Mientras que lo primero exige un profundo conocimiento del programa y grandes habilidades t\u00e9cnicas, lo segundo es una mera cuesti\u00f3n de seguir los pasos de una receta<\/strong>; los atacantes que usan herramientas ya existentes reciben en el mundillo hacker el despectivo apodo de script-kiddies<\/em><\/a>.<\/p>\n

\u00bfC\u00f3mo se solucionan los agujeros de seguridad?<\/h3>\n

\"\"Se tapan o parchean<\/strong>. Los parches inform\u00e1ticos<\/a>, llamados as\u00ed en recuerdo a los parches que se aplicaban a las tarjetas perforadas y a las cintas magn\u00e9ticas de los primeros ordenadores, modifican trozos de c\u00f3digo problem\u00e1ticos de una aplicaci\u00f3n. A veces incluyen tambi\u00e9n mejoras.<\/p>\n

Un ejemplo conocido de parche son los que Microsoft aplica a sus productos<\/a> cada cierto tiempo, bien a trav\u00e9s de Windows Update<\/a>, bien bajo la forma de un Service Pack<\/em><\/a>, que no es sino un paquete con muchos parches<\/strong> reunidos en un solo instalador. Otros parches vienen directamente en forma de actualizaci\u00f3n <\/strong>de una aplicaci\u00f3n concreta.<\/p>\n

Sin embargo, los parches no siempre arreglan los problemas<\/strong> de seguridad detectados. Ha ocurrido, por ejemplo, con Java<\/a>, una plataforma que sigue padeciendo vulnerabilidades versi\u00f3n tras versi\u00f3n.<\/p>\n

El parcheo de las aplicaciones, adem\u00e1s, no es visto con buenos ojos<\/a> por usuarios y administradores cautelosos, quienes anteponen la estabilidad ante todo lo dem\u00e1s.<\/p>\n

\u00bfC\u00f3mo puedo saber si tengo agujeros de seguridad? \u00bfC\u00f3mo los evito?
\n<\/strong><\/h3>\n

Lo primero es mantener navegadores y plugins siempre actualizados<\/strong>. Los parches peri\u00f3dicos de Microsoft, Adobe y Oracle son esenciales para mantener a raya el ataque de malware oportunista. Los antivirus rara vez son eficaces<\/a> contra los ataques de d\u00eda cero, pero, si tu software est\u00e1 actualizado, el malware chocar\u00e1 contra una pared<\/strong>.<\/p>\n

Luego, te recomiendo usar un detector de vulnerabilidades<\/strong>. El mejor es Secunia PSI<\/a>, que analiza el equipo en busca de los programas instalados y comprueba si la versi\u00f3n que tienes sufre alguna vulnerabilidad cr\u00edtica. En caso positivo, Secunia PSI te insta a actualizar el programa a una versi\u00f3n m\u00e1s reciente y segura. \u00bfUna alternativa? Softonic for Windows<\/a>.<\/p>\n

\"\"<\/p>\n

Secunia PSI<\/a> es f\u00e1cil de usar y utiliza los datos de seguridad m\u00e1s recientes. Y tiene un modo autom\u00e1tico
\n<\/em><\/p>\n

Finalmente, debes mantenerte informado<\/strong>. La suscripci\u00f3n a boletines de seguridad y blogs de seguridad <\/strong>permite estar al tanto de los ataques reci\u00e9n descubiertos por la comunidad, lo que permite actuar antes de que sea demasiado tarde.<\/p>\n

Otra opci\u00f3n igual muy v\u00e1lida es seguir en Twitter<\/strong> a cuentas que hablen de seguridad y malware, como @InfoSpyware<\/a>, @ObservaInteco<\/a> y @OSISeguridad<\/a>.<\/p>\n

\u00bfQu\u00e9 haces t\u00fa para protegerte de las vulnerabilidades?<\/strong><\/p>\n

S\u00edgueme en Twitter: @remoquete<\/a><\/strong><\/p>\n

\n

A ti, directamente, nada. Per se<\/em>, los agujeros no son m\u00e1s que la v\u00eda de entrada para problemas y dolores de cabeza inform\u00e1ticos. Lo que da\u00f1a a tus datos<\/strong> es lo que puede entrar a trav\u00e9s de los agujeros o lo que puede aprovechar esas vulnerabilidades con fines destructivos.<\/ins><\/span><\/p>\n

<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Imagina por un momento que tu antivirus es el guardia de un banco: \u00e9l decide qu\u00e9 programas pueden pasar y cu\u00e1les deben quedarse fuera. Si el guardia es eficaz y el edificio est\u00e1 bien dise\u00f1ado, no habr\u00e1 forma alguna de que algo se cuele sin permiso. Ahora bien, si en el sistema operativo hubiera una … Continue reading “\u00bfQu\u00e9 es un agujero de seguridad?”<\/span><\/a><\/p>\n","protected":false},"author":1020,"featured_media":28961,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","wpcf-pageviews":1},"categories":[],"tags":[],"usertag":[],"vertical":[],"content-category":[],"class_list":["post-28917","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/posts\/28917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/users\/1020"}],"replies":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/comments?post=28917"}],"version-history":[{"count":1,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/posts\/28917\/revisions"}],"predecessor-version":[{"id":384406,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/posts\/28917\/revisions\/384406"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/media\/28961"}],"wp:attachment":[{"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/media?parent=28917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/categories?post=28917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/tags?post=28917"},{"taxonomy":"usertag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/usertag?post=28917"},{"taxonomy":"vertical","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/vertical?post=28917"},{"taxonomy":"content-category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/es\/wp-json\/wp\/v2\/content-category?post=28917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}