Por Giancarlo Pasquale Bellido
Giancarlo Pasquale es ingeniero de sistemas, master en ciberseguridad en la Universidad Ramon Llull La Salle – Campus Barcelona, maestrante en la universidad de Alcalá – Madrid, España, ganador del premio al talento a la Ciberseguridad Barcelona – España 2019. Especialista en Cybersecurity for Bussiness, Seguridad de la Información, cacería de amenazas, análisis de ciber inteligencia, hacking ético, monitoreo y respuesta a Incidentes. Actualmente desempeña funciones como Analista Líder de Centro de Operaciones de Seguridad de la Informacion en el Banco Bisa S.A.
No es secreto que grandes compañías, organizaciones, universidades o empresas en general alrededor de todo el mundo, utilicen software de código abierto (Open Source) para sistematizar sus tareas, procesos, entre otros, para integrarse a la era digital.
Antes de adentrarnos más al tema y aterrizar en Bolivia, debemos tener en claro el término principal que iremos mencionando a lo largo de este blog.
El software de código abierto es, valga la redundancia, el código que está abierto para todo el mundo, que es compartido para quien lo requiera y para quien lo necesite. Si bien en la práctica todo software libre se puede calificar como código abierto, esto no quiere decir que todo el software de código abierto tiene que ser libre.
En Bolivia, es muy común ver a empresas y universidades (públicas y privadas) utilizar estos sistemas. El motivo principal del por qué los utilizan es por su fácil acceso al código, que permite ser modificado y sobre todo, el ahorro de costos. Este último es muy importante debido a que no solamente hablamos de costos económicos, que considerándolos muy bien, nos ahorramos bastante dinero, sino también, en el tiempo que nos costaría programar, diseñar, validar y probar un sistema que nos ayude a alcanzar nuestros objetivos.
Podemos implementar una página, herramienta o plataformas web en cuestión de minutos y sin invertir grandes cantidades de dinero.
A muchos de estos sistemas se los conoce como CMS, que significa Content Management System, o en español, Sistema de gestión de Contenidos. Estos sistemas como su nombre lo indica, nos ayudan a gestionar el contenido que deseamos publicar al mundo digital.
De cierta manera, los CMS son muy útiles y muchas empresas y universidades los usan hoy en día en sus Webs, tal como podemos apreciar en los siguientes ejemplos:
Hasta ahora hablamos de las ventajas y de lo maravilloso que son los sistemas de código abierto, pero, no todo es color de rosa… Sabemos que no existe el bien sin el mal, y como esto, podemos utilizar un sinfín de analogías para saber que no todo es bonito en esta clase de software.
Los CMS son propensos a que cualquier persona pueda encontrar errores en el sistema y no todos los que encuentren estos errores son necesariamente buenos, o en su caso, sus acciones no son de las mejores.
Según W3Techs, el 54,5% de las webs en todo el mundo usan un CMS y el 45,5%, no usa ninguno. Como se observa a continuación, más de la mitad de las webs usan algún tipo de sistema de gestión de contenidos.
Al ser los más utilizados en el mundo, los ciberdelincuentes buscan vulnerar o “hackear” estos sistemas por diferentes objetivos y esto llegaría a atentar a la confidencialidad, integridad y disponibilidad de la información de estas organizaciones.
Las vulnerabilidades más comunes en estos CMS son los backdoors o puertas traseras, descargas forzosas, redirecciones maliciosas y contraseñas robadas.
De acuerdo con varias fuentes:
- Un 52% de las vulnerabilidades están relacionadas a los plugins de estos CMS.
- Un 38% son causados por el aprovechamiento a fallas en el sistema core de los CMS.
- Un 11% de los ataques son causados por los temas de apariencia.
- Un 64% del hacking es causado por sitios desactualizados de los CMS.
Como se observa, el porcentaje más grande por el cual estos sistemas son vulnerados por los ciberdelincuentes es por errores por parte de la administración de los sitios. Es decir, que cuando se encuentra un error en una determinada versión del sistema de código abierto, la obligación del creador del sistema, es subsanar los errores que se encontraron para que no sigan siendo aprovechados por ciberdelincuentes.
Estas actualizaciones son publicadas y es deber de los que administran estos sistemas, actualizar a las versiones mas recientes para evitar ser atacados.
Estas instituciones, como universidades y empresas del sector público o privado, tienen sus respectivas áreas de tecnología, las cuales tienen la obligación de identificar estos problemas y subsanarlos en el menor tiempo posible.
Mas del 90% de las instituciones públicas de Bolivia utiliza uno o varios sistemas open source o sistemas de gestión de contenidos en sus entornos informáticos.
Mas del 80% de las universidades públicas y privadas en Bolivia utilizan sistemas open source, donde no solamente hablamos de sistemas de contenido informativo, sino, de gestión de usuarios, gestión de plataformas educativas, gestión de revistas científicas, entre otros (WordPress, Joomla, Drupal, Moodle, OJS).
Ahora, la palabra «actualizar» suele generar cierta incomodidad, ya que alude a cambios que quizá no estemos deseosos o dispuestos de introducir.
Existe una natural resistencia para aceptar modificaciones, especialmente debido a la sensación de que estas actualizaciones puedan cambiar las cosas a las que ya estamos acostumbrados. Aun así, debemos darnos cuenta de la importancia de mantener el software actualizado y es una necesidad prioritaria.
Existen muchos factores por los cuales no se actualizan estos sistemas, como la falta de información, la falta de conocimiento, el miedo a los cambios o la falta de un plan de acción para actualizar los sistemas en producción.
Los ataques informáticos son muy comunes hoy en día tanto que, cuando esto llega a suceder puede causar un gran impacto social y dañar la reputación de estas instituciones.
Estos ataques en su mayoría quedan registrados en páginas de reportes, ranking, noticias y sitios como archive.org, que es un histórico de todas las páginas web.
En la siguiente imagen podemos observar la publicación de un grupo de ciberdelincuentes que logro vulnerar un sitio del gobierno de Bolivia.
Analizando la web, observamos que se trata de un Sistema de Gestión de Contenidos.
En este contexto, existen dos posibles opciones por las cuales los atacantes pudieron vulnerar la seguridad del sistema. La primera por un error de configuración en el hosting que los atacantes pudieron aprovechar o la segunda (y la más creíble), que el sistema utilizado tuviera una vulnerabilidad o falla de seguridad conocida, la cual no fue subsanada y pudo ser aprovechada por ciber atacantes o ciber delincuentes.
Realizando un análisis de ciber inteligencia podemos observar que la web tiene una versión totalmente discontinuada de WordPress. Además, que la misma posee vulnerabilidades severas y con exploits conocidos.
Realizamos el mismo análisis, pero esta vez con una universidad del sistema boliviano, en el cual encontramos los mismos errores.
En resumen, la importancia de la actualización de los sistemas open source debe estar en la mente de los desarrolladores o administradores de sistemas para evitar posibles incidencias de seguridad.
“Ningún sistema es 100% seguro”