Los protocolos de red carecen de seguridad.

Existen agujeros de seguridad en los sistemas operativos.

Existen agujeros de seguridad en las aplicaciones.

Hay errores en la configuración del sistema.

En los sistemas operativos hay fallos de seguridad: Sirvan como ejemplo algunos de UNIX, como el sendmail en versiones bajas (que propició, en parte, el ataque del gusano en el 88), que el fichero /etc/passwd que es legible a todos los usuarios, o el comando finger, que permite visualizar los usuarios conectados a la red e intentar averiguar su password. En las aplicaciones que utilizan los protocolos de red hay fallos de seguridad que se van publicando y corrigiendo. Todos los días se publican avisos y advertencias en Internet sobre agujeros o debilidades de sistemas operativos, navegadores de Internet, gestores de correo o aplicaciones en general. Si el fallo necesita de alguna acción por parte del usuario para sufrir un ataque, no se suele publicar un parche, sino que se corrige en la siguiente versión de la aplicación (es, por ejemplo, la política de Microsoft). Cuando realmente son fallos del programa, que se pueden explotar sin que el usuario atacado pueda hacer nada, el distribuidor suele publicar una solución, un parche (patch) que se ha de descargar de Internet. Pero no todos los usuarios de programas de ordenador pueden estar diariamente comprobando si todas las aplicaciones que tienen siguen siendo seguras, y por eso, sigue habiendo mucha gente que utiliza programas de versiones atrasadas que son manifiestamente inseguras. Tenemos algunos claros ejemplos:

Ventana real de aviso de peligro.

Ventana tapada con mensaje de bienvenida.

Un fallo de Internet Explorer 4 reconocido por Microsoft es el llamado "Cuartango Security Hole" que permite a cualquiera cuya página se visite, obtener cualquier archivo de la máquina visitante por medio de las sencillas utilidades cortar y pegar. Existe un parche para este fallo. Puede consultar todos los parches aquí.

A este "Agujero Cuartango" le siguió el "Hijo del agujero Cuartango" y el "Nieto del agujero Cuartango", así como al menos dos versiones de fallo que permite a cualquiera ver el contenido del portapapeles del visitante.

Todos estos fallos del Explorer 4 fueron descubiertos por Juan Carlos García Cuartango. Pues bien, hay mucha gente que sigue utilizando Internet Explorer 4 sin ningún parche, y por lo tanto son susceptibles de ser atacados con estos métodos.

El último fallo del Internet Explorer descubierto por Cuartango es que, gracias a una facilidad del software llamada "Active Setup", se puede ejecutar código en nuestras máquinas sin preguntar nada siempre que dicho código venga firmado por Microsoft, es decir, que Microsoft tiene una puerta trasera de tal manera que puede ejecutar el código que quiera siempre que visitemos su página o recibamos un e-mail suyo. Además, cualquiera podría renombrar código fiemado por Microsoft con el nombre de un archivo del sistema y provocar que se sobreescribiese. La explicación en Ingés, de Cuartango, aquí. Y la explicación en un artículo suyo, en castellano, aquí.

Además de este fallo, se ha descubierto otro más grave que en esta ocasión afecta a Internet Explorer 5.01 y a algunas aplicaciones de Office 2000 como Access, PowerPoint y Excel cuando se utilizan para crear objetos en Internet Explorer. A través de la etiqueta <OBJECT>, auténtico comodín de usos múltiples para Internet Explorer, Georgi Guninski, descubridor del fallo, consigue abrir una base de datos Access 2000 de forma remota. En su interior, el fichero MDB cuenta con un formulario que contiene los distintos comandos que se ejecutarán aprovechando el lenguaje VBA ('Visual Basic for Applications').