Expertos de la empresa israel\u00ed JSOF han hallado 19 vulnerabilidades de d\u00eda cero, algunas de ellas cr\u00edticas, que afectan a cientos de millones de dispositivos del Internet de las cosas (IdC). La peor parte es que algunos dispositivos nunca recibir\u00e1n actualizaciones. Todas las vulnerabilidades se hallaron en la biblioteca de TCP\/IP de Treck Inc., que la empresa ha estado desarrollando por m\u00e1s de dos d\u00e9cadas. El sistema de vulnerabilidades se denomina Ripple20.<\/p>\n
Puede que nunca hayas escuchado de Treck o de su biblioteca de TCP\/IP, pero dado el n\u00famero de dispositivos y vendedores afectados, probablemente tu red corporativa incluye al menos uno. La biblioteca est\u00e1 presente en toda suerte de soluciones del IdC, lo que significa que los dispositivos vulnerables del IdC incluyen art\u00edculos que van de impresoras dom\u00e9sticas y de oficina a equipo industrial y m\u00e9dico.<\/p>\n
La creaci\u00f3n de Treck es una biblioteca de bajo nivel que permite que los dispositivos interact\u00faen rec\u00edprocamente con el internet. Durante los \u00faltimos 20 a\u00f1os, desde el lanzamiento de la primera versi\u00f3n, numerosas empresas la han utilizado, pues\u00a0 a menudo, es m\u00e1s f\u00e1cil tomar una biblioteca prefabricada que desarrollar la propia. Algunos la implementaron sin m\u00e1s; otros la modificaron para adaptarla a sus necesidades o la integraron con otras bibliotecas.<\/p>\n
Por otra parte, al buscar empresas afectadas por Ripple20, los investigadores hallaron diversos casos en la cual el comprador original de la librer\u00eda hab\u00eda cambiado su nombre. En algunos casos, otra empresa hab\u00eda asumido el control. En \u00faltima instancia, no es sencillo evaluar el n\u00famero real de dispositivos que utilizan esta biblioteca. Los \u201ccentenares de millones\u201d es una estimaci\u00f3n preliminar aproximada. Podr\u00edan ser incluso miles de millones.<\/p>\n
Esta cadena de suministro m\u00e1s bien compleja es tambi\u00e9n la raz\u00f3n de que algunos dispositivos nunca reciban parches.<\/p>\n
El nombre gen\u00e9rico Ripple20 cubre un total de 19 vulnerabilidades con grados variables de criticidad. Los investigadores a\u00fan tienen que divulgar todos los detalles t\u00e9cnicos; planean hacerlo en una conferencia Black Hat<\/em> a fines del verano. No obstante, se sabe que al menos cuatro vulnerabilidades se consideran cr\u00edticas, que presentan una puntuaci\u00f3n CVSS<\/a> (sistema de puntuaci\u00f3n de vulnerabilidades comunes) de m\u00e1s de 9.0.<\/p>\n Otras cuatro vulnerabilidades que no est\u00e1n presentes en la versi\u00f3n m\u00e1s reciente de la biblioteca aparecen en las iteraciones anteriores que todav\u00eda se usan en dispositivos;\u00a0 la biblioteca se ha actualizado por razones diferentes a la seguridad, y muchos vendedores han seguido utilizando versiones m\u00e1s viejas.<\/p>\n De acuerdo con JSOF, algunas de las vulnerabilidades permiten que los atacantes (qui\u00e9nes pueden estar al acecho durante a\u00f1os sin ser detectados) tomen el control total de un dispositivo y lo utilicen para robar datos de las impresoras o cambiar el comportamiento del dispositivo. Dos vulnerabilidades cr\u00edticas permiten la ejecuci\u00f3n remota de c\u00f3digo arbitrario. En el sitio web de los investigadores<\/a> est\u00e1 disponible una lista de vulnerabilidades y un video de demostraci\u00f3n.<\/p>\nQu\u00e9 hacer al respecto<\/h2>\n