Me parece que se me había pasado comentaros pero…
En los últimos tiempos el paisaje de las vulnerabilidades zero-day se ha visto alterado por un fenómeno cuando menos curioso, el marketing. Y no me refiero a la técnica utilizada por hackers o investigadores de seguridad para venderlas, sino al sistema utilizado para mostrarlas al público, o mejor dicho a los medios de comunicación (tanto especializados como generalistas).
Como hasta ahora, los factores clave para conseguir fama a través de una zero-day son que esta afecte a un gran número de servidores de forma universal y que sea “fácilmente” explotable. Pero el marketing está ganando fuerza progresivamente, ya que logra que la gente hable de ello y que el reporte no pase sin pena ni gloria por las redes sociales. Cada vez más personas están interesadas en conocer los entresijos de los servicios que utilizan y los medios están dispuestos a suplirles con tanta información como les sea posible.
Algunos de los ejemplos más claros y que más han impulsado esta idea de funcionamiento han sido HeartBleed, ShellShock y Poodle. Siguiendo la línea actual, parece que cuando alguien encuentra una vulnerabilidad zero-day tiene que seguir los siguientes pasos antes de reportarla:
- Nombre: Encontrar un nombre pegadizo y fácil de recordar. Tampoco puede ser muy largo, o se convertirá en acrónimo en un abrir y cerrar de ojos. Hay que tener en cuenta que tiene que mostrar la relación de la vulnerabilidad con el servicio para que la gente lo relacione rápido y no le de demasiadas vueltas a la cabeza.
- Imagen: Crear un logotipo que sea capaz de llamar la atención de un posible lector de un vistazo, como se suele decir, una imagen vale más que mil palabras. Tranquilo que si el diseño gráfico no es tu especialidad, porque lo tuyo son claramente los unos y ceros, algún alma caritativa lo hará por ti e intentará esparcirlo por todo lo largo y ancho del globo para conseguir que su diseño sea el más usado y se lleve algo de fama aunque sea de refilón.
- Web: Qué sería una vulnerabilidad sin una página que muestre el porcentaje de servidores vulnerables a nivel mundial o que permita comprobar si el nuestro también es vulnerable. Disponer de toda esa información permite mostrar el peligro real que tiene.
A nivel personal, el último punto me parece que verdaderamente aporta información relevante a la hora de reportar una vulnerabilidad zero-day, pero el resto de los puntos apartan a la comunidad de la información relevante. Si se sigue esta estela, el mundo acabará con menos zero-days reportados «cuando deberían» por perder el tiempo en factores menos importantes, eso sí, jamás olvidaremos sus nombres y logos.
El que avisa no es traidor.