El miércoles de la semana pasada se informó acerca de una grave vulnerabilidad de software llamada Shellshock. El error podría ser utilizado para comprometer millones de servidores y otros dispositivos en todo el mundo. Aún se desconoce la amplitud y el coste del problema, pero ya sabemos que Shellshock es más grave que la vulnerabilidad Heartbleed, que recibió amplia atención en abril de este año.

Heartbleed afectaba al software utilizado por los servidores para cifrar y asegurar las comunicaciones. El fallo permitía a los atacantes obtener información confidencial, como claves de cifrado o contraseñas, de servidores vulnerables que podían utilizarse para acceder secretamente al sistema más adelante, por ejemplo para robar datos personales.

Shellshock da mucho más poder al atacante. Se puede usar para hacerse con el control completo de un sistema incluso sin tener un nombre de usuario y contraseña. Aprovechar la vulnerabilidad es simple y no requiere conocimientos avanzados.

Puesto que un atacante puede utilizar Shellshock para ejecutar remotamente cualquier código en un sistema, podría utilizarse para crear un "gusano" autoreplicante. Utilizaría un sistema comprometido para atacar a otros sistemas, y así sucesivamente, propagándose en la red y comprometiendo cientos o miles de sistemas en poco tiempo.

La vulnerabilidad Shellshock fue encontrada en un paquete de software llamado Bash, un intérprete de línea de comandos o 'shell', que proporciona una forma potente y flexible de ejecutar comandos en un ordenador. Se usa de forma predeterminada en todos los sistemas operativos basados ​​en Linux y en el Mac OS X de Apple. Bash también se usa ampliamente en dispositivos simples conectados a internet, muchos de los cuales ejecutan versiones de Linux, lo que significa que no sólo los servidores podrían verse comprometidos, sino también algunos routers domésticos, cámaras IP, etc.

Ya se ha identificado la vulnerabilidad en algunos dispositivos de redes populares y ampliamente utilizados por empresas. Los dispositivos móviles no están en riesgo, a menos que un dispositivo Apple o Android se haya modificado para tener más control sobre su software.

Shellshock es una vulnerabilidad peligrosa porque aunque Bash no está directamente expuesto a internet, un software que sí lo esté puede utilizar Bash internamente. Por ejemplo, el software "DHCP" que negocia la conexión a las redes wifi puede pasarle comandos a Bash. Esto significa que alguien que tenga un sistema operativo vulnerable (principalmente Linux) podría ser atacado cuando se conecte a una red wifi no fiable. (Vale la pena señalar que conectarse a redes wifi no fiables supone siempre un riesgo).

Al día siguiente de publicarse la información sobre Shellshock, surgieron indicios de que estaba siendo utilizando para realizar ataques "en la naturaleza". Los departamentos de seguridad de la información en todas las empresas y organizaciones deberían tomar medidas preventivas, tales como aplicar parches de seguridad y vigilar con precaución las redes internas. El Equipo de Preparación ante Emergencias Informáticas de EEUU ha emitido una alerta, y junto con otras organizaciones de seguridad en todo el mundo está recomendando a los usuarios y administradores de sistemas que apliquen parches de seguridad tan pronto como sea posible.

Sin embargo, aún es demasiado pronto para confeccionar una lista exhaustiva de los dispositivos afectados que deben actualizarse. Y aunque los investigadores y fabricantes de dispositivos están publicando detalles sobre qué dispositivos son vulnerables y cuáles no, en el caso de algunos dispositivos en uso nadie va a supervisarlos porque ya no son compatibles, o falta la documentación.

Cuanto más rápido se identifiquen y corrijan los sistemas, menor será el número de compromisos y pérdidas financieras provocados por Shellshock. Es posible que los efectos económicos de esta vulnerabilidad acaben siendo graves, ya que un sistema comprometido puede afectar a un gran número de usuarios. Por ejemplo, un sitio de comercio electrónico comprometido no sólo podría perder ventas por culpa del tiempo de inactividad necesario para colocar el parche, sino también por exponer los datos de millones de tarjetas de crédito, lo que podría molestar muchísimo a los consumidores.

Cesar Cerrudo es el director de tecnología de la empresa de seguridad informática IOActive Labs.