Durante años, los equipos de seguridad han utilizado el mismo enfoque básico para la evaluación del riesgo de vulnerabilidad. Analizaron dos factores principales: cuánto daño podría causar una vulnerabilidad y qué probabilidades había de que fuera explotada. Los marcos industriales como CVSS han ayudado en esto al calificar tanto el impacto como el potencial.
Estas puntuaciones funcionaron bien durante mucho tiempo porque el desarrollo de exploits era difícil. Los atacantes necesitan habilidades avanzadas, conocimientos técnicos profundos y tiempo.
El artículo continúa a continuación.
Director de Gobernanza de Ciberseguridad en Black Duck.
Los gestores de riesgos de seguridad ahora deben repensar lo que realmente significa “probabilidad”. La forma en que CVSS estima las probabilidades se basa en suposiciones que ya no coinciden con el entorno de amenazas actual.
Las herramientas de codificación asistidas por IA han cambiado la rapidez y facilidad con la que las vulnerabilidades se pueden convertir en ataques reales. Como resultado, muchas puntuaciones de riesgo subestiman la rapidez con la que pueden moverse los atacantes.
Mientras que la habilidad ralentiza a los atacantes
En el pasado, explotar una vulnerabilidad no era fácil. Los atacantes necesitan comprender cómo funcionan los sistemas operativos, cómo se administra la memoria y cómo se comportan las aplicaciones bajo estrés. Incluso cuando una vulnerabilidad se documentaba públicamente, podía llevar semanas escribir un exploit que funcionara. Muchos atacantes no tenían las habilidades ni la paciencia para hacerlo.
Esta barrera de habilidades es importante. Esto ralentiza la explotación y limita quién puede aprovechar una falla. Incluso las vulnerabilidades críticas no siempre fueron explotadas inmediatamente. Los equipos de seguridad a menudo tenían tiempo para parchear los sistemas o implementar soluciones antes de que los atacantes pudieran actuar.
Los modelos de riesgo dependen silenciosamente de este retraso. Métricas como la complejidad del ataque y la disponibilidad de la prueba de concepto se han convertido en indicadores útiles. Si una vulnerabilidad es compleja y no existe ningún exploit, los equipos asumen que es hora de responder.
¿Qué ha cambiado la IA?
Hoy en día, las revelaciones de vulnerabilidades todavía explican cómo funcionan los ataques. Enumeran puntos de entrada, condiciones necesarias y resultados esperados. Lo que ha cambiado es lo fácil que es actuar basándose en esa información.
Las herramientas de codificación asistidas por IA ahora pueden convertir descripciones escritas en código de explotación procesable. Una persona ya no necesita conocimientos técnicos profundos para empezar. Uno puede describir lo que quiere hacer y la IA puede ayudar a construir el código, corregir errores y probar variaciones.
Las tareas que antes llevaban semanas ahora pueden llevar horas o incluso minutos. Las pruebas y la corrección de vulnerabilidades son rápidas y sencillas. Los esfuerzos que alguna vez frenaron a los atacantes han desaparecido en gran medida.
La IA no está creando nuevas vulnerabilidades. Está eliminando el esfuerzo humano que solía limitar la explotación.
Por qué los prospectos de CVSS ya no cuentan toda la historia
CVSS fue diseñado para describir detalles técnicos sobre vulnerabilidades. No está diseñado para predecir el comportamiento de los atacantes en un mundo donde la generación de exploits es rápida y barata. La puntuación de probabilidad estima la habilidad y el tiempo que necesitan los atacantes para actuar.
Esa suposición ya no se sostiene.
Una vulnerabilidad puede seguir siendo compleja, pero la complejidad ya no justifica demoras. Si la IA puede ayudar a escribir exploits, una puntuación de “alta complejidad” no proporciona mucha protección. Lo mismo ocurre con la explotación de la madurez. Cuando se confirma oficialmente un exploit, es posible que los atacantes ya lo estén utilizando.
En la práctica, las puntuaciones CVSS todavía describen bien el impacto. Pero a menudo se quedan cortos cuando se trata de posibilidades del mundo real.
La eficiencia ya no es una barrera importante
Es necesario cambiar otra suposición. Los equipos de seguridad suelen juzgar el riesgo en función de la habilidad del atacante. Esto se entiende cuando sólo los expertos pueden explotar determinados errores.
Con las herramientas de IA, esa brecha se ha reducido. Muchas más personas ahora pueden explotar la vulnerabilidad. Las habilidades son menos importantes que el acceso y las oportunidades.
La pregunta original ha cambiado. Ya no se trata de “¿Quién puede usarlo?” Ahora la pregunta es: “¿Hay algo que pueda detener la explotación?”
Lo que realmente impulsa la explotación hoy
En el entorno actual, la explotación depende más de las condiciones que de las capacidades del atacante. Los factores más importantes incluyen:
- ¿El sistema está abierto o es de fácil acceso?
- ¿Control de identidad y acceso débil?
- ¿Están las debilidades claramente documentadas?
- ¿Pueden los atacantes probar y adaptarse rápidamente?
Cuando existen estas condiciones, la ausencia de explotación pública no debe considerarse como seguridad. Si una vulnerabilidad está bien descrita, a menudo es explotable.
Por eso el tiempo entre la exposición y el ataque es tan corto. La IA ha roto la ventana entre comprender una vulnerabilidad y actuar en consecuencia.
Lo que esto significa para los líderes
Este cambio es importante a nivel de liderazgo.
Los ejecutivos y propietarios de riesgos deberían dejar de tratar el potencial CVSS como una posibilidad real. En cambio, deberían hacer preguntas diferentes:
- ¿Estamos confiando en retrasos que ya no existen?
- ¿Se está dando prioridad a los sistemas abiertos con la suficiente rapidez?
- ¿Son los controles de identidad lo suficientemente fuertes como para frenar a los atacantes?
La IA ha cambiado la dinámica del riesgo. Las decisiones basadas en viejos supuestos serán demasiado lentas. Los líderes que continúan confiando en las puntuaciones de los prospectos sin contexto pueden creer que tienen tiempo cuando no es así.
Actualización de prácticas de protección
CVSS sigue siendo útil. Describe bien los efectos y las características técnicas. Pero no debería utilizarse por sí solo para tomar decisiones urgentes.
Los equipos de seguridad deberían centrarse menos en si existe un exploit y más en si es posible. Una documentación clara y una exposición deberían ser suficientes para aumentar la prioridad.
La inteligencia sobre amenazas debe enfatizar las condiciones, no la novedad. La puntuación de riesgo debe reflejar la rapidez con la que puede actuar un atacante, no la habilidad que debe tener.
Llevar
La IA no ha hecho que la vulnerabilidad sea más peligrosa. Hace que sea fácil de absorber.
Cuando el desarrollo explotador ya no está limitado por las habilidades, el potencial es impulsado por la exposición y las condiciones, no por las habilidades. Los modelos de riesgo que ignoran esta variabilidad subestimarán constantemente la urgencia.
Los líderes que ajusten su forma de pensar ahora responderán más rápido y minimizarán los riesgos del mundo real. La gente ya no confiará en puntuaciones que no se correspondan con la realidad.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
