Una vulnerabilidad o fallo de seguridad, es todo aquello que provoca que nuestros sistemas informáticos funcionen de manera diferente para lo que estaban pensados, afectando a la seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la pérdida y robo de información sensible.

Para entenderlo mejor hagamos una analogía con el mundo real. Es fácil imaginar qué ocurriría si dejáramos abierta la puerta de nuestro domicilio o nuestro coche, y es que tendríamos bastantes posibilidades de que al menos nos sustrajeran nuestras pertenencias. El descuidar este detalle no implica que seamos objeto de un hurto, pero si que nos encontramos predispuestos a que se produzca. En este sentido la única manera de protegernos sería cerrando la puerta. En el mundo de las vulnerabilidades informáticas el funcionamiento es muy similar; existe un agujero de seguridad y mientras éste permanezca abierto estaremos predispuestos a sufrir un ataque que utilice dicho agujero.

En un plano más formal el término vulnerabilidad, se puede definir como la posibilidad de que una amenaza se materialice sobre un activo. En este contexto debemos entender "activo" como un recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Esto incluye tanto elementos físicos como abstractos: información, servicios, etc.Y una "amenaza" es definida como un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Por ejemplo la pérdida de información, deterioro de hardware, indisponibilidad de un servicio, etc.

Aunque esta sección se centra en los fallos de seguridad basados en software asumiendo que son los más empleados para realizar intrusiones e infectar sistemas, también podemos encontrar otro tipo de vulnerabilidades que se centran en el ámbito físico. En este sentido podemos pensar que estamos completamente protegidos desde el punto de vista de ataques infomáticos, virus, etc. pero puede que no sirva de nada todo ese esfuerzo si por el contrario no se ha previsto cómo hacer frente ante un posible incendio o permitimos el acceso no autorizado al CPD.

Para entender más en profundidad. El proceso existente para proteger un sistema que adolece de un fallo de seguridad viene determinado por el ciclo de vida de una vulnerabilidad. A través de éste ciclo se pueden conocer las diferentes fases y actores que entran en escena desde el inicio o descubrimiento hasta la publicación de la solución.

En función del fallo de seguridad podemos encontrar distintos tipos de vulnerabilidades. Éstos se distinguen en función del mecanismo que está comprometido y el método que se emplea para aprovechar la vulnerabilidad.

Para obtener información acerca de un determinado producto, software o fabricante, se puede consultar nuestro buscador de vulnerabilidades. Además la suscripción a nuestro servicio de RSS, a través del cual mantendremos informado con las últimas vulnerabilidades aparecidas.