Un error recientemente descubierto en el software del intérprete de comandos Bash puede ser explotado por cibercriminales para tomar control de sistemas basados en UNIX. Los expertos advierten que es una amenaza más seria que el bug Heartbleed, que sacudió los medios a principios de año.

El bug en Bash, que no es un virus sino un error en el código, fue apodado "Shellshock" por algunos expertos, amenaza sistemas corriendo Unix así como sistemas operativos relacionados como Linux y Mac OS X.

Bash (Bourne Again Shell), es un software de Shell comúnmente usado que provee una interfaz de usuario de línea de comandos en muchas computadoras con sistemas basados en Unix.

Desarrollado por primera vez a finales de los años 80, Bash ha sido incluido en muchas versiones de Unix, Linux y OS X de Apple, lo que significa que una gran cantidad de equipos son potencialmente vulnerables a la explotación.

Al explotar el bug Shellshock, los cibercriminales son capaces de inyectar y modificar código dentro del Shell de sistemas operativos basados en Unix, permitiéndoles tomar el control de la computadora.

Debido a la severidad del exploit, el US-CERT (Computer Emergency Response Team de EE.UU.) emitió una advertencia sobre la vulnerabilidad.

US-CERT recomienda a los interesados en el fallo solicitar la ayuda del Blog de seguridad de Redhat o consultar a su respectivo proveedor de sistema operativo Linux o Unix para obtener asesoría.

Se dice que es más peligroso que el bug de Heartbleed, descubierto en abril, ya que permite a los cibercriminales controlar el sistema en lugar de sólo espiar en él.

El profesor Alan Woodward de la Universidad de Surrey considera que la amenaza planteada por este error se subestimó inicialmente. "Lo que muchos no se dan cuenta es que  más del 50% de los sitios web activos se ejecutan en un servidor web llamado Apache, el cual corre sobre Unix y por lo tanto es potencialmente vulnerable", dijo.

Woodward añadió: "Recién pasamos el punto donde hay mil millones de páginas web activas, eso signifia que pocomás de 500 millones de sitios podrían ser vulnerables a este fallo de seguridad, comparado con 500 mil sitios afectados por Heartbleed."

Darien Kindlund, director de investigación de amenazas de FireEye, hizo eco de las preocupaciones de Woodward. "Este fallo es horrible. Es peor que Heartbleed ya que afecta a los servidores que ayudan a gestionar grandes volúmenes de tráfico de Internet. Siendo conservadores, el impacto es de entre el 20 y el 50 por ciento de los servidores mundiales de soporte a páginas web", declaró Kindlund.

Mientras que los proveedores de los sistemas operativos afectados se están esforzando por lanzar parches para corregir el error, a Woodward le preocupa que para hacer frente a la amenza, los usuarios deben ser conscientes de ello y aplicar la corrección.

Él cree que los parches no serán aplicados a muchos sistemas y dispositivos como routers WiFi, los cuales corren Linux en segundo plano sin el conocimiento de los usuarios. "Si se incluyen estos dispositivos, el número de sistemas potencialmente vulnerables es enorme", concluyó Woodward.

El impacto del error de Bash aún no se ha resentido, pero con muchos viejos sistemas vulnerables, la gran cantidad de parches necesarios representa un gran problema.

Con Heartbleed se reveló que los ataques comenzaron en las primeras 24 horas a partir de su revelación, a pesar de que el bug estuvo por ahí desde tiempo antes.