Aclarando conceptos

Cada vez que se publica una vulnerabilidad en algún producto informático tiene mayor repercusión en el público. Todos nos estamos acostumbrando a desayunar con una noticia que informa sobre tal o cual problema. Pero al igual que ocurre con los virus, gusanos y troyanos, en un mismo saco se meten conceptos distintos que conviene aclarar.

Cuando se habla de una vulnerabilidad, en muchos casos se confunde con un exploit, un bug o un ataque. Cada uno de estos conceptos es distinto, aunque en muchos casos pueden estar relacionados.

Un bug es un error que tiene una aplicación o sistema. Sus consecuencias pueden ser muchas, generalmente un cierre inesperado de la aplicación, el cuelgue del sistema, etc. Si ese bug provoca que el sistema o el programa puedan volverse débiles por algún motivo, se le denomina vulnerabilidad, es decir, es un bug que les vuelve vulnerables. Si un hacker se da cuenta de la vulnerabilidad, podrá crear un exploit. Los exploit son pequeños programas que aprovechan la existencia de una vulnerabilidad, aprovechándola para algún fin. Los peores exploits son los que se utilizan para lanzar ataques contra los programas o sistemas vulnerables.

Pero ¿qué es exactamente un 0-day? Ese concepto se empezó a difundir hace tiempo, empleándolo para los exploits que se creaban en el mismo día que una vulnerabilidad. Es decir, que ni siquiera había pasado un día desde el descubrimiento de la vulnerabilidad y ya había un exploit para ella.

Cada vez es más frecuente el uso del adjetivo “0-day” para las vulnerabilidades. Bajo mi punto de vista, ese adjetivo, por muy extendido que esté, es erróneo. “0-day” especifica de manera muy clara una situación temporal. Si lo consideramos como un adjetivo calificativo especificativo, complementa muy bien el tipo de exploit del que estamos hablando, pero aplicado a una vulnerabilidad, pierde sentido.

¿Qué característica temporal especial añade a la vulnerabilidad el ser “0-day”? Se suele argüir que es una vulnerabilidad no hecha pública, caso en el que el la temporalidad indicada en “0-day” pierde completamente el sentido. Si la vulnerabilidad se hace pública cuando ya existe el exploit, la información aportada por “0-day” no tiene especial sentido, igual podría aplicarse, por ejemplo, “churrigueresca” como adjetivo a ese tipo de vulnerabilidad.

Si trazamos un esquema cronológico de una vulnerabilidad, su exploit y su publicación, en algún momento del tiempo debemos establecer un “momento 0”, un inicio, que es el que nos determinaría la situación a calificar como “0-day”.

Podría ser, por supuesto, el momento en el que se descubre la vulnerabilidad, con lo que la vulnerabilidad pasaría a ser “0-day”. ¿Qué información añade el adjetivo a la vulnerabilidad? En principio, ninguna. Un titular “descubierta vulnerabilidad 0-day” significaría “descubierta vulnerabilidad hoy mismo”, por lo que el adjetivo “0-day” dejaría de ser correcto un día después.

Si el “0-day” se aplica a el exploit, se está informado de que es un exploit creado con mucha rapidez, en el mismo momento en el que la vulnerabilidad se hace pública. Hay que reconocer que es muy poco probable que se descubra un exploit para una vulnerabilidad y no se descubra el mismo día, cuando menos, la vulnerabilidad que explota.

Así, pues, y bajo mi modesto entender, creo incorrecto el uso de “0-day” para calificar a una vulnerabilidad. Cierto es que está ampliamente usada, y que grandes y muy buenos investigadores de seguridad la emplean, lo que no quiere decir que esté bien empleada. No menos importantes son los estudiosos que usan las palabras “encriptar”, “refuerzo de políticas de seguridad” o “perimetral”, cuando lo que quieren decir es “cifrar”, “aplicación de políticas de seguridad” o “perimétrico”. Es simplemente una gran laguna en el conocimiento de la lengua que se habla.

“Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber.» Confucio.

Fernando de la Cuadra