Esta brecha de seguridad lleva 18 años abierta. Ni Apple ni Google han hecho nada hasta ahora
Un pequeño grupo de investigadores se acaba de dar cuenta de una de las mayores vulnerabilidades informáticas de nuestra era y de que nadie hizo nada para evitarlo durante dos décadas
Dieciocho años. Es el tiempo que lleva abierto el túnel más oscuro y escondido de la red. Una brecha de seguridad en los navegadores de las principales tecnológicas del mundo que ha existido durante casi dos décadas sin que nadie lo supiera. Años en los que hackers de todo el mundo han aprovechado un tremendo agujero para colarse y obtener datos privados y robar información confidencial de los usuarios. Una puerta abierta que ni ahora mismo las mayores empresas del mundo son capaces de sellar por completo. Un puzle infinito con miles de víctimas sin un culpable establecido. Así es cómo un pequeño grupo de investigadores se acaba de dar cuenta de una de las mayores vulnerabilidades de nuestra era y de que nadie hizo nada para evitarla.
Chrome, Firefox, Safari… los navegadores más importantes y que todo el mundo usa han compartido una debilidad durante mucho tiempo. Sin quererlo, proporcionaban a los ciberdelincuentes una vía para acceder a las redes internas de ordenadores personales y de empresas. A esta brecha se le ha llamado “Day 0.0.0.0” y ha salido a la luz tras ser descubierta por un grupo de expertos en ciberseguridad de una startup israelí llamada Oligo. Una prueba de cómo hasta los colosos de la tecnología pueden pasar por alto descuidos tan diminutos y a la vez tan graves como este.
Básicamente, consiste en la forma en que los navegadores redirigen las consultas enviadas a la dirección de protocolo de Internet (IP) 0.0.0.0.
Espera. ¿Qué es todo esto de protocolos, IP y ese número tan raro?
Empecemos desde el principio. Sin entrar en demasiados vericuetos técnicos, hay que saber que Internet es una red global y gigantesca de ordenadores regida por protocolos y reglas. Estas definen cómo se comunican los dispositivos y transmiten sus datos. Todos ellos necesitan una manera de identificarse, y por eso se crearon las direcciones IP, como si se tratara de una dirección de correo postal. En lugar de recibir correo físico, con las direcciones IP se garantiza la recepción de los datos solicitados, resultados de búsqueda, webs, comunicaciones, etc.
Cuando se solicita algo en el mundo virtual, Internet 'sabe' dónde enviar esa solicitud gracias a la dirección IP. Por ejemplo, al teclear una consulta de búsqueda en Google, como "El Confidencial", Internet recupera esos datos (en este caso, unos resultados de búsqueda como un enlace a nuestro periódico) y se los envía al dispositivo. Todo esto ocurre al instante. En definitiva, una forma de mapear la web, enviar datos al lugar adecuado y no caer en el caos más absoluto.
De entre todas las IP, hay un pequeño puente para acceder a la de uno mismo llamado localhost y suele ser 127.0.0.1. Por lo tanto, comunicarnos con 127.0.0.1 sería como hablar con nuestro propio ordenador.
Volvamos a la vulnerabilidad…
Hasta ahora, las consultas enviadas a la dirección IP 0.0.0.0 han sido redirigidas por los navegadores web a otras direcciones IP, incluida la dirección localhost, las de los propios usuarios. Los investigadores descubrieron que, al acceder a 0.0.0.0 y ser redirigidos a dicho punto, los piratas informáticos podían obtener datos del sistema. “Los atacantes pueden poner sus manos en todo lo que está presente en esa máquina: archivos, mensajes, credenciales”, explicaba Avi Lumelsky, autor principal del estudio. Y esto ha estado sucediendo durante años.
Como resultado, la aparentemente inofensiva dirección IP 0.0.0.0 puede convertirse en una herramienta poderosa: un hacker engañaría a su objetivo para que visitara su sitio web, pero enviaría una solicitud maliciosa para acceder a los archivos a través de 0.0.0.0. Y va más allá. Los ciberdelincuentes podrían de esta manera ejecutar también código malicioso en el equipo del visitante. Con este modus operandi, el equipo de Oligo asegura haberlo hecho con una plataforma de IA llamada Ray, utilizada por algunas de las empresas más reconocidas, incluidas Amazon e Intel, para entrenar modelos de lenguaje de inteligencia artificial.
Soluciones desesperadas
Tanto Google como Apple ya están al tanto y, según una exclusiva de Forbes, están trabajando para tratar de cerrar esa enorme laguna. De hecho, tras el informe de Oligo, Apple realizó cambios importantes en WebKit que bloquean el acceso a 0.0.0.0. Como parte de este cambio, agregaron una verificación a la dirección IP del host de destino. Si son todos ceros, la solicitud se bloquea. El fabricante del iPhone bloqueará todos los intentos de los sitios web de consultar la dirección IP 0.0.0.0 en la versión beta de macOS 15 Sequoia. Y, de la misma manera, los equipos de seguridad de Chromium y Chrome de Google planean hacer lo mismo, implementando estos cambios gradualmente en las versiones a partir de Chromium 128.
“Hemos recibido múltiples informes de malware que aprovechan esto para atacar marcos de herramientas de desarrollo específicos”, señaló David Adrian, un desarrollador de seguridad de Google, en una publicación de un foro de Chromium hace unas semanas. Si bien los ataques son factibles en los ordenadores Mac de Apple y en máquinas Linux, los Windows no son vulnerables porque Microsoft decidió bloquear 0.0.0.0 en su sistema operativo.
Sin embargo, el que sí se ha visto amenazado es Mozilla, que aún no ha encontrado una solución en Firefox. Al parecer, bloquear 0.0.0.0 podría provocar que los servidores que usan la dirección como sustituto de localhost queden fuera de juego. "Imponer restricciones más estrictas conlleva un riesgo significativo de introducir problemas de compatibilidad", decía un portavoz de la compañía. "Mientras que la discusión de estándares y el trabajo para comprender esos riesgos de compatibilidad están en curso, Firefox no ha implementado ninguna de las restricciones propuestas. Planeamos continuar nuestro compromiso en ese proceso", añadía.
Los investigadores creen que dejar 0.0.0.0 abierto sigue siendo un riesgo muy alto. “Así se permite todo lo que se ha bloqueado durante años”, subrayaba el cofundador y director de tecnología de Oligo. El temor no es baladí, sobre todo porque el porcentaje de sitios web que se comunican con 0.0.0.0 está aumentando, con una cifra que ronda los 100.000 sitios web, según los contadores de Chromium.
Con el tiempo, lo más seguro es que todos los navegadores bloqueen 0.0.0.0, pero al mismo tiempo, se ha puesto de relieve que el mercado necesita un estándar común a seguir. Algo que se quiere empezar a discutir en los próximos días en el DEF CON de Las Vegas, una de las convenciones de ciberseguridad y hackers más importantes del mundo.
Los navegadores siempre han sido un blanco de la ciberdelincuencia, lo que ha llevado a los desarrolladores a introducir originales conceptos de seguridad como el sandboxing y cookies HTTPS-ONLY, o implementar estándares como CORS (Cross Origin Resource Sharing). Todo esto mantiene a los sitios web maliciosos lejos de los datos privados de los usuarios. Este tipo de medidas es algo esencial, ya que los navegadores de internet como Chrome, Safari o Firefox están presentes en todo tipo de dispositivos, sean móviles, tabletas u ordenadores, y son la ventana por la cual millones de usuarios acceden a la red. Irremediablemente, también la puerta de entrada para actividades mucho más siniestras.
Dieciocho años. Es el tiempo que lleva abierto el túnel más oscuro y escondido de la red. Una brecha de seguridad en los navegadores de las principales tecnológicas del mundo que ha existido durante casi dos décadas sin que nadie lo supiera. Años en los que hackers de todo el mundo han aprovechado un tremendo agujero para colarse y obtener datos privados y robar información confidencial de los usuarios. Una puerta abierta que ni ahora mismo las mayores empresas del mundo son capaces de sellar por completo. Un puzle infinito con miles de víctimas sin un culpable establecido. Así es cómo un pequeño grupo de investigadores se acaba de dar cuenta de una de las mayores vulnerabilidades de nuestra era y de que nadie hizo nada para evitarla.
- Este aparato me iba a convertir en 'hacker'. La realidad es que no pude robar ni mi propio coche Carlos Martínez
- 13.000 € por golpe: caen en Sevilla y Asturias los 'hackers' que robaban a la DGT y a ITVs A. Sanchis M. A. Méndez
- Un 'hacker' robó información secreta de OpenAI hace un año. La empresa lo ocultó P. Cubria de Gorostegui