Microsoft (y Adobe, con el mismo propósito) dio a conocer una serie de actualizaciones de seguridad en la edición de mayo de 2013 de su publicación mensual del Parche del Martes. Como siempre, si el equipo no está configurado para instalar automáticamente las actualizaciones, debes asegurarte de instalarlos cuando se te pida hacerlo por Microsoft (o Adobe).
No hay una buena razón para no instalar las actualizaciones de seguridad. Ni una sola. No tienes que hacer nada más un clic en “sí”, o, en la mayoría de los casos, esperar un par de minutos, mientras arranque tu máquina y las instale automáticamente. De hecho, mientras escribía esto, Adobe me informó que ha sido actualizado correctamente. Yo ni siquiera sabía que se estaba instalando algo. Así de fácil era el asunto.
Dejando la facilidad de lado, no instalar las actualizaciones de seguridad es como no vacunarse contra la gripe: pone a todos los demás en mayor riesgo de contraer la infección, porque cuando huyes de tus actualizaciones, estas contribuyendo a la piscina cada vez más voluminosa de máquinas fácilmente explotables. A medida que más máquinas están en peligro, más poder tienen los ciberdelincuentes para acceder a potenciales ataques de phishing, y otros recursos que pueden utilizar para comprometer más y más máquinas.
Y estas actualizaciones no son lo único intangible que nadie entiende. Los criminales explotan una de las vulnerabilidades del, ahora parcheado, Internet Explorer para realizar ataques al Departamento de Empleo de los Estados Unidos. El ataque al Departamento de Empleo se cree que ha sido un paso en una campaña más amplia de selección de armas nucleares del programa de investigación del Departamento de Energía. En los días que siguieron al ataque, la misma vulnerabilidad fue explotada en Camboya, con ataques a la Agencia de EE.UU. para el Desarrollo Internacional (USAID).
Los ataques llamados “water hole” son una técnica mediante la cual los atacantes pueden comprometer un sitio web que ellos crean que su verdadero objetivo visitará. Por lo tanto, en estos casos, los atacantes infectaron el sitio web del Departamento de Empleo para atrapar al Departamento de Energía y otros empleados públicos valiosos, y también fue utilizado para atacar con phishing a trabajadores del USAID en Camboya.
Tal vez lo más alarmante, sin embargo, sea que Adobe haya parcheado una vulnerabilidad en su plataforma de desarrollo de aplicaciones de ColdFusion, en donde los atacantes ya habían logrado explotar los servidores que pertenecen al sistema judicial del estado de Washington para comprometerlos, dejando al descubierto la asombrosa cantidad de 160000 números de seguridad social, así como también números de licencias de conducir y los nombres de más de un millón de personas.
Como lo notó el expert de Kaspersky Lab y amigo del blog, Kurt Baumgartner, Microsoft también aplicó ciertas correcciones importantes de las vulnerabilidades de privilegios. Las EOP, como se les llama, se utilizan a menudo, después de un compromiso, para que los atacantes puedan obtener los derechos de usuario de los equipos infectados. Por supuesto, una vez que un atacante tiene los derechos de usuario, puede hacer lo que sea.