Estudiantes del TEC fortalecen la ciberseguridad global al evidenciar vulnerabilidad

los jóvenes analizan código en la computadora, junto al docente — Estudiantes José Ricardo Cardona Quesada (izq.) y José Eduardo Gutiérrez Conejo, junto al docente,Dr. Herson Esquivel Vargas, todos de la Escuela de Ingeniería en Computación del TEC. Ellos detectaron una vulnerabilidad en la biblioteca *Expat.* Foto: Kenneth Mora / TEC.

Ingeniería en Computación

Estudiantes del TEC fortalecen la ciberseguridad global al evidenciar vulnerabilidad

28 de Noviembre 2024 Por: Kenneth Mora Pérez [1]

Es la primera vez que estudiantes del TEC reportan una vulnerabilidad en un software real usado a nivel global

Hallazgo implica mayor seguridad para aplicaciones y dispositivos de todo tipo, desde teléfonos Android hasta impresoras y vehículos

Estudiantes del Tecnológico de Costa Rica (TEC) [2] demuestran que el talento y la curiosidad pueden trascender fronteras y hacer del mundo digital un lugar más seguro. Por primera vez, alumnos de esta Universidad encontraron y reportaron una vulnerabilidad en un software real usado a nivel global, con lo que han ayudado a prevenir ataques en aplicaciones y dispositivos de todo tipo.

Guiados por el profesor Dr. Herson Esquivel Vargas, los estudiantes José Eduardo Gutiérrez Conejo y José Ricardo Cardona Quesada, todos de la carrera de Ingeniería en Computación [3], lograron identificar una vulnerabilidad en la biblioteca de código abierto denominada Expat. [4]

En computación, una biblioteca es un conjunto de implementaciones funcionales, codificadas en un lenguaje de programación, que ofrece una interfaz bien definida para la funcionalidad que se invoca.

Actualmente Expat es una biblioteca utilizada en múltiples aplicaciones y sistemas [5] a nivel mundial, entre los que destacan el sistema Android, el explorador Firefox, Google Earth, LibreOffice y Python, entre otros, así como hardware de equipo de Yamaha, Mazda, HP y otras empresas de gran renombre mundial.

Hackeo ético

El hallazgo de los estudiantes descubrió una vulnerabilidad en estas y otras aplicaciones, distinguiendo un error de denegación de servicio (DoS por sus siglas en inglés) en esta biblioteca para manipular datos XML, el cual es un formato simple basado en texto para representar la información de manera estructurada de documentos, datos, configuraciones, libros, transacciones, facturas, y mucho más.

Según explican los jóvenes, esta vulnerabilidad permitiría que un ciber atacante pudiera causar la caída total del software que ejecuta esta biblioteca mediante un código malicioso.

Para evitar esto, de forma ejemplar, Gutiérrez y Cardona realizaron un reporte responsable a los desarrolladores, quienes corrigieron el error y lo registraron en la lista de Common Vulnerabilities and Exposures [6] (CVE por sus siglas en inglés) de MITRE: una base de conocimientos universalmente accesible y continuamente actualizada para modelar, detectar, prevenir y combatir amenazas de ciberseguridad basándose en el comportamiento conocido de los ciberdelincuentes adversarios, donde cada vulnerabilidad recibe un identificador único, similar a una "cédula" digital.

A esto se le conoce con el nombre de hackeo ético, una práctica que consiste en buscar vulnerar sistemas y dispositivos, pero no para aprovecharse o explotarlos, sino para advertir de posibles riesgos y mejorar la ciberseguridad de todas las personas usuarias.

jose ricardo

“Es una experiencia que nos abre los ojos a la importancia de colaborar en proyectos de código abierto y en seguridad informática. Es importante que la gente ayude a proyectos de código abierto y especialmente en seguridad”. José Ricardo Cardona Quesada, estudiante de Ingeniería en Computación.

jose eduardo

“Hacer esto nos brindó una perspectiva diferente, ya que muchas veces se nos inculca desarrollar por funcionalidades y no tanto por seguridad, por lo que esto nos da una nueva visión que no solo mejora la forma en que desarrollamos, sino también a tener un panorama más amplio del desarrollo de software en el mundo laboral”. José Eduardo Gutiérrez Conejo, estudiante de Ingeniería en Computación.

Ciberseguridad cada vez más como prioridad

El profesor Herson Esquivel destacó que la ciberseguridad es un área que se fortalece cada vez más en la formación que brinda el TEC. Además de los cursos optativos en criptografía y seguridad de software, el plan de estudios de Ingeniería en Computación ahora incluye un curso obligatorio en ciberseguridad para que todos los estudiantes de esta carrera desarrollen competencias en esta área esencial.

Complementariamente, Esquivel también dirige el "Hackatorio", un espacio de encuentro voluntario para estudiantes interesados en ciberseguridad mediante actividades periódicas de discusión y prácticas que se impulsan mediante simulaciones y retos de hackeo ético con fines educativos.

Según destacó el docente, con cada avance el TEC y sus estudiantes contribuyen a fortalecer la seguridad digital en Costa Rica y más allá.

“El trabajo de estos jóvenes no solo resalta su talento, sino también la importancia de una educación que integra la ciberseguridad como un aspecto transversal en la formación de los estudiantes. Brindamos de esta forma un legado de seguridad”, indicó el Dr. Herson Esquivel.

El logro de Gutiérrez y Cardona, guiados por el apoyo del docente e investigador Esquivel, no solo deja en alto al TEC, sino que también establece un precedente al ser la primera vez que se reporta una vulnerabilidad a un software real usado a nivel global por parte de estudiantes TEC, destacando cómo la dedicación y el conocimiento costarricense de carreras con enfoque en ciencia, tecnología, matemática e ingeniería (STEM por sus siglas en inglés) pueden generar cambios de alcance mundial.

EXPAT STUDENTS — Estudiantes José Ricardo Cardona Quesada yJosé Eduardo Gutiérrez Conejo, junto al docente, Dr. Herson Esquivel, todos de la Escuela de Ingeniería en Computación del TEC.