"Ya lo haré mañana". Todo el mundo es culpable de decir esas palabras alguna vez. Puede que sea alguna tarea del hogar o un trabajo que tienes que entregar esta semana. O puede que sea un agujero de seguridad de Windows 10 que lleva dos años al aire libre, como le ha ocurrido a Microsoft.

El error fue descubierto por primera vez hace dos años, a mediados de agosto de 2018. Ya entonces era evidente que con este bug era posible saltarse la seguridad de Windows para tomar el control del sistema; pero no parecía haber solución, al menos no inmediata.

Desde entonces, de vez en cuando un investigador de seguridad ha llamado la atención sobre este problema, sin mucho éxito. El problema es que Microsoft sabía de la existencia de esta vulnerabilidad, pero no tenía planes para solucionarla.

Dos años con un peligroso bug de Windows 10

Como explican en KrebsOnSecurity, en enero de 2019, un investigador de VirusTotal hizo públicos sus descubrimientos sobre esta vulnerabilidad. Como es habitual en este tipo de hackers, antes que nada avisó a Microsoft para que le diese tiempo a solucionarla.

La respuesta de la compañía fue que había decidido no solucionar el problema; ante esto, VirusTotal decidió que podía publicar el descubrimiento para ayudar a empresas y usuarios a prepararse. La vulnerabilidad se llamó GlueBall, y su existencia ya era pública.

De hecho, si VirusTotal había investigado este bug era porque ya estaba siendo aprovechado para crear nuevos virus, que su sistema había empezado a detectar en archivos maliciosos.

De manera periódica, investigadores han ido publicando artículos sobre GlueBall durante estos años; el último, en junio de 2020. Hasta que finalmente, Microsoft lanzó un parche con la última actualización de Windows 10, publicada el pasado 11 de agosto.

Cómo funciona esta vulnerabilidad

GlueBall afecta a la manera en la que los programas de Windows son firmados por los desarrolladores; esta firma garantiza la identidad de los creadores y por lo tanto, es vital para asegurarse de que hemos instalado un programa seguro. Es probable que al instalar un programa hayas visto que Windows de repente lo para todo y muestra una ventana, preguntando si realmente queremos instalar el programa y mostrando información de su creador.

El problema es que la firma sigue siendo válida incluso si se une código al final del instalador; por lo tanto, este código será instalado como si tuviese una firma y por lo tanto, no sería sospechoso para el usuario. Una manera de aprovecharse de esto es incluir un archivo Java al final de un archivo MSI con una firma válida, como la de Microsoft, Google, o cualquier otro (por ejemplo, el instalador de Chrome).

Ese archivo se ejecuta saltándose las medidas de seguridad de Windows, y a partir de ahí estamos a merced del atacante; de esta manera es posible instalar todo tipo de malware, como virus o ransomware.

Los expertos de seguridad, como Tal Be'ery de Zengo, se han extrañado por la manera en la que Microsoft ha gestionado todo esto. La vulnerabilidad ya estaba siendo aprovechada hace dos años, por lo que la urgencia debería haber sido mayor. Por su parte, Microsoft no ha explicado los motivos de la tardanza, sólo indicando que si hemos instalado la última actualización de Windows (algo que nuestro ordenador debería haber hecho por si solo), no corremos peligro.

Este no es el bug más viejo de Windows (no hace mucho hablábamos de uno de 24 años), pero sí uno de los más preocupantes por el poder que otorga a los atacantes.