Si el talón era la vulnerabilidad de Aquiles en la Ilíada, la flecha envenenada de Paris era un exploit. Alegorías mitológicas a parte, un exploit es un dispositivo o un método a través del cual un atacante se aprovecha de una vulnerabilidad en el hardware o en el sistema de un software.
Las vulnerabilidades son puntos débiles. En algunas ocasiones son bugs derivados de un pequeño error por parte del programador a la hora de desarrollar un producto. En otras ocasiones, se introducen de forma intencionada para poder obtener el acceso a dicho producto una vez está en el mercado. Y en otras (y quizás las más frecuentes) son consecuencias inevitables de la innovación.
A medida que los hackers mejoran sus herramientas y los equipos son más poderosos, las prácticas, que en su día se consideraban seguras, se convierten en obsoletas.
Pensad en la seguridad tradicional: antes de la pólvora, los castillos eran prácticamente impenetrables. Se construían fosos infranqueables para que los enemigos no pudiesen entrar y mantener el reino a salvo. Tras el descubrimiento de la pólvora, una cosa llevó a la otra, y se inventaron mísiles capaces de sobrevolar fosos y puentes y destruir los castillos por completo.
De todas las vulnerabilidades existentes, solo un pequeño porcentaje es perjudicial o malicioso. La gran mayoría solo produce algunas molestias y poco más. Pero, también existen otras vulnerabilidades realmente peligrosas pero explotarlas resulta muy costoso o difícil. Las únicas vulnerabilidades útiles para los hackers son aquéllas que permiten ejecutar códigos maliciosos de forma remota o escalar los privilegios, proporcionando al cibercriminal los mismos derechos que el usuario o el administrador del equipo.
Las vulnerabilidades siempre existirán. Por ejemplo, yo siempre instalo todos las actualizaciones posibles; no obstante, ahora mismo estoy trabajando en un equipo Windows vulnerable con un sinfín de pestañas abiertas en un navegador también vulnerable. En resumidas cuentas, las vulnerabilidades siempre estarán ahí, solo es cuestión de que alguien las descubra y desarrolle un exploit para beneficiarse de ellas.
En realidad, los conceptos de vulnerabilidad y exploit son fáciles de comprender; la parte más complicada reside en saber cómo aparecen dichas vulnerabilidades y qué hacen los hackers para explotarlas.
En un ataque de phishing, la vulnerabilidad reside en la inocencia de los usuarios que creen a pies juntillas los correos maliciosos que reciben.
La única protección posible frente a los exploits es instalar las actualizaciones, usar una solución antivirus fuerte, evitar conectarse a redes WiFi públicas y no abrir correos con adjuntos procedentes de desconocidos.