¿Cuál es la diferencia entre un stack overflow y un heap overflow?

Un stack overflow sobrescribe datos en la pila de ejecución, donde se almacenan variables locales, direcciones de retorno y marcos de función. El atacante puede redirigir el flujo de ejecución sobrescribiendo la dirección de retorno. Un heap overflow corrompe la memoria dinámica asignada con malloc() o new. Es más difícil de explotar porque la disposición del heap es menos predecible, pero permite corromper punteros de función, metadatos de gestión de memoria y estructuras de datos críticas.

¿Por qué los buffer overflows siguen existiendo si se conocen desde 1988?

Tres razones principales. Primera: millones de líneas de código legacy en C y C++ siguen en producción y no se van a reescribir. Segunda: lenguajes como C no verifican los límites de los arrays por diseño, priorizando el rendimiento. Tercera: las variantes modernas (use-after-free, type confusion, integer overflow que deriva en buffer overflow) son más sutiles y escapan a análisis estáticos básicos. CWE-787 (Out-of-bounds Write) sigue en el Top 25 de MITRE CWE en 2024.

¿Qué es un NOP sled y para qué sirve en un exploit?

Un NOP sled (también llamado NOP slide o NOP ramp) es una secuencia de instrucciones NOP (No Operation, 0x90 en x86) que se coloca antes del shellcode en un payload de exploit. Su función es aumentar la probabilidad de que la ejecución aterrice en el shellcode. Si la dirección de retorno sobrescrita apunta a cualquier punto dentro del NOP sled, el procesador ejecutará instrucciones NOP (que no hacen nada) hasta deslizarse hacia el shellcode. Era especialmente útil antes de ASLR, cuando las direcciones de memoria eran predecibles pero no exactas.

¿ASLR es suficiente para proteger contra buffer overflows?

No por sí solo. ASLR aleatoriza las direcciones base de la pila, el heap, las bibliotecas compartidas y el ejecutable, pero tiene limitaciones. En sistemas de 32 bits, la entropía es baja y se puede derrotar por fuerza bruta. Técnicas como information leaks permiten filtrar direcciones reales y anular ASLR. Return-Oriented Programming (ROP) reutiliza fragmentos de código existente (gadgets) cuyas direcciones relativas son conocidas. Por eso se necesita la combinación de ASLR + DEP/NX + stack canaries + PIE + CFI para una defensa efectiva.

¿Qué lenguajes de programación son inmunes a buffer overflows?

Los lenguajes con gestión automática de memoria y verificación de límites en tiempo de ejecución son inmunes a buffer overflows clásicos. Esto incluye Python, Java, C#, Go, Rust (en modo safe), JavaScript y Ruby. Sin embargo, sus runtimes e intérpretes están escritos en C o C++, por lo que una vulnerabilidad en el propio intérprete de Python (CPython) o en la JVM puede exponer un buffer overflow a nivel inferior. Rust es especial porque garantiza seguridad de memoria en tiempo de compilación sin sacrificar rendimiento.

Intermediovulnerabilidadesbuffer-overflowexploitfundamentos

Buffer Overflow: La Vulnerabilidad que Definió una Era

El desbordamiento de buffer ha sido la vulnerabilidad más explotada durante tres décadas. Del Morris Worm en 1988 a los CVEs de 2025, este artículo explica cómo funciona un buffer overflow, por qué sigue siendo relevante y qué mitigaciones lo combaten.

MalwareIntel Research·20 de mayo de 2026·15 min lectura·2 técnicas ATT&CK

Serie: Vulnerabilidades que Cambiaron la Historia — Parte 1

Qué es un buffer overflow

Un buffer overflow (desbordamiento de buffer) ocurre cuando un programa escribe datos más allá del límite de un bloque de memoria asignado. Es la vulnerabilidad que dio forma a la seguridad informática moderna. Desde el primer gusano de Internet en 1988 hasta los CVEs críticos de 2025, el principio subyacente no ha cambiado: si un programa no verifica cuántos datos caben en un espacio de memoria, un atacante puede sobrescribir datos adyacentes y tomar el control del sistema.

La idea es engañosamente simple. Los programas almacenan datos temporales (variables locales, parámetros de función, direcciones de retorno) en regiones de memoria contiguas. Si se escribe más allá del espacio reservado, los datos adyacentes se corrompen. Dependiendo de qué se corrompa, las consecuencias van desde un crash hasta la ejecución de código arbitrario con los privilegios del proceso vulnerable.

CWE-120 (Classic Buffer Overflow) y su hermano CWE-787 (Out-of-bounds Write) llevan décadas en los rankings de vulnerabilidades más peligrosas. En 2024, CWE-787 ocupa la primera posición del Top 25 de MITRE CWE.

Anatomía de la pila: cómo funciona el stack

Para entender un stack buffer overflow, hay que entender cómo funciona la pila de ejecución (stack) en arquitectura x86. Cada vez que se llama a una función, el sistema crea un nuevo marco de pila (stack frame) que contiene:

Los parámetros de la función (empujados por el llamador).
La dirección de retorno (return address): la dirección de la instrucción a la que debe volver tras ejecutar la función.
El puntero de marco (saved EBP/RBP): referencia al marco del llamador.
Las variables locales de la función: buffers, enteros, punteros.

La pila crece hacia direcciones bajas de memoria (de arriba hacia abajo), pero los datos dentro de un buffer se escriben hacia direcciones altas (de abajo hacia arriba). Esta asimetría es la raíz del problema.

Diagrama ASCII: la pila antes y después del overflow

PILA ANTES DEL OVERFLOW              PILA DESPUÉS DEL OVERFLOW
(dirección alta)                      (dirección alta)
+-------------------------+           +-------------------------+
|   Parámetros función    |           |   Parámetros función    |
+-------------------------+           +-------------------------+
|   Dirección de retorno  |  <--+     | 0x41414141 (AAAA)       |  <-- sobrescrita
+-------------------------+     |     +-------------------------+
|   Saved EBP             |     |     | 0x41414141 (AAAA)       |  <-- sobrescrito
+-------------------------+     |     +-------------------------+
|   buffer[64]            |     |     | AAAAAAAAAAAAAAAAAAAAA   |  <-- desbordado
|   [datos normales]      |  ---+     | AAAAAAAAAAAAAAAAAAAAA   |
+-------------------------+           +-------------------------+
(dirección baja)                      (dirección baja)

Cuando la función termina, ejecuta la instrucción RET, que lee la dirección de retorno de la pila y salta a ella. Si el atacante ha sobrescrito esa dirección con la ubicación de su shellcode, el procesador ejecutará código malicioso en lugar de retornar al llamador legítimo.

Ejemplo educativo: una función vulnerable en C

Este código ilustra el patrón clásico de buffer overflow. Es código educativo, no funcional como exploit.

#include <stdio.h>
#include <string.h>

// VULNERABLE: no verifica la longitud de la entrada
void funcion_vulnerable(char *entrada_usuario) {
    char buffer[64];  // solo 64 bytes reservados

    // strcpy NO verifica límites: copia hasta encontrar '\0'
    strcpy(buffer, entrada_usuario);

    printf("Datos copiados: %s\n", buffer);
}

// SEGURA: usa strncpy con límite explícito
void funcion_segura(char *entrada_usuario) {
    char buffer[64];

    // strncpy limita la copia a sizeof(buffer) - 1
    strncpy(buffer, entrada_usuario, sizeof(buffer) - 1);
    buffer[sizeof(buffer) - 1] = '\0';  // asegurar terminación

    printf("Datos copiados: %s\n", buffer);
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        printf("Uso: %s <texto>\n", argv[0]);
        return 1;
    }

    // Si argv[1] tiene más de 64 bytes, strcpy desborda el buffer
    // y sobrescribe la dirección de retorno de funcion_vulnerable
    funcion_vulnerable(argv[1]);

    return 0;
}

El problema está en strcpy(): copia bytes hasta encontrar un terminador nulo (\0), sin importar cuántos bytes quepan en el destino. Si entrada_usuario tiene 200 bytes, los 136 bytes sobrantes sobrescriben el saved EBP, la dirección de retorno y todo lo que haya más arriba en la pila.

Las funciones inseguras clásicas son strcpy(), strcat(), gets(), sprintf() y scanf() sin especificador de longitud. Sus versiones seguras (strncpy(), strncat(), fgets(), snprintf()) aceptan un parámetro de longitud máxima.

Stack overflow vs. heap overflow

Stack overflow

El stack buffer overflow es el más clásico y el más estudiado. El objetivo principal es sobrescribir la dirección de retorno para redirigir la ejecución. Es relativamente predecible porque la disposición de la pila sigue un orden determinista: variables locales, saved frame pointer, dirección de retorno, parámetros.

Las técnicas de explotación incluyen:

Sobrescritura directa de return address: el atacante calcula el offset exacto entre el buffer y la dirección de retorno, la sobrescribe con la dirección de su shellcode.
NOP sled + shellcode: se llena el buffer con instrucciones NOP (0x90) seguidas del shellcode. La dirección de retorno apunta a algún lugar dentro del NOP sled.
Return-to-libc: en lugar de inyectar shellcode, se redirige la ejecución a funciones de la biblioteca estándar como system() para ejecutar comandos del sistema.

Heap overflow

El heap es la región de memoria donde se almacenan los datos asignados dinámicamente (con malloc(), calloc(), new). A diferencia del stack, la disposición del heap depende del algoritmo del asignador de memoria (ptmalloc2 en glibc, jemalloc, tcmalloc) y del historial de asignaciones y liberaciones.

Un heap overflow permite:

Corromper los metadatos del asignador de memoria (chunk headers) para conseguir una escritura arbitraria (write-what-where).
Sobrescribir punteros de función almacenados en el heap.
Corromper estructuras de datos (vtables en C++, objetos con callbacks).

El heap overflow es más complejo de explotar, pero las vulnerabilidades modernas más graves (use-after-free, double-free, type confusion) operan en el heap.

Historia: los buffer overflows que cambiaron el mundo

Morris Worm (1988): el nacimiento de una era

El 2 de noviembre de 1988, Robert Tappan Morris, estudiante de Cornell, lanzó el primer gusano de Internet. Uno de sus tres vectores de ataque era un stack buffer overflow en el demonio fingerd de Unix BSD. El gusano enviaba 536 bytes al servicio finger, desbordando un buffer de 512 bytes y sobrescribiendo la dirección de retorno para ejecutar código que descargaba y ejecutaba el cuerpo principal del gusano.

Infectó aproximadamente 6.000 máquinas, cerca del 10% de la Internet de entonces. El incidente llevó directamente a la creación del CERT/CC en Carnegie Mellon University.

Code Red (2001): un millón de servidores en 24 horas

Code Red explotaba un buffer overflow en el componente ISAPI de Microsoft IIS (CVE-2001-0500, MS01-033). El gusano enviaba una petición HTTP GET con una URL de más de 200 bytes de la letra "N" que desbordaba un buffer en el indexing service. En su pico, infectó más de 359.000 servidores en menos de 14 horas. La variante Code Red II añadió un backdoor que permitía acceso remoto completo.

SQL Slammer (2003): 376 bytes que paralizaron Internet

SQL Slammer explotaba un buffer overflow en el SQL Server Resolution Service (CVE-2002-0649, MS02-039, puerto UDP 1434). Todo el gusano cabía en un único paquete UDP de 376 bytes. Infectó 75.000 servidores SQL en 10 minutos, duplicando su tasa de infección cada 8,5 segundos. Fue el malware de propagación más rápida jamás registrado.

Blaster/MSBlast (2003): DCOM RPC

Blaster explotaba un buffer overflow en la interfaz DCOM RPC de Windows (CVE-2003-0352, MS03-026). Afectó a millones de sistemas Windows 2000 y XP. El parche existía desde hacía 26 días, pero la ventana de exposición fue suficiente. La respuesta directa de Microsoft fue Windows XP SP2, que activó el firewall por defecto y habilitó DEP.

Conficker (2008): el último gran gusano de red

Conficker explotaba un buffer overflow en el servicio Windows Server (CVE-2008-4250, MS08-067). Infectó entre 9 y 15 millones de máquinas. Fue el último gusano de propagación masiva basado en buffer overflow de red, marcando el fin de una era. Después de Conficker, los atacantes migraron hacia técnicas más sofisticadas: spear phishing, watering holes y exploits del lado del cliente.

CVEs notables recientes (2024-2025)

Los buffer overflows no son un problema del pasado. Estos CVEs demuestran que siguen siendo una amenaza activa:

CVE-2025-0282 (Ivanti Connect Secure): buffer overflow basado en stack por uso incorrecto de strncpy(). Explotado activamente en 262 instancias entre enero y febrero de 2025. Afectaba a VPNs corporativas, permitiendo ejecución remota de código sin autenticación.
CVE-2025-32756 (Fortinet): stack-based buffer overflow en múltiples productos Fortinet (FortiOS, FortiProxy, FortiMail). Otro caso de dispositivos de red perimetrales comprometidos.
CVE-2025-4096 (Google Chrome): heap buffer overflow en el parser HTML. Permite ejecución de código a través de una página web especialmente diseñada.
CVE-2024-0519 (Chrome V8): vulnerabilidad use-after-free (la variante moderna del buffer overflow) en el motor JavaScript V8. Explotada activamente en enero de 2024.

Un patrón claro: los dispositivos de red (VPNs, firewalls, load balancers) escritos en C/C++ son los objetivos preferidos, porque operan con privilegios elevados y están expuestos a Internet.

Mitigaciones: las defensas del sistema operativo

La industria ha desarrollado múltiples capas de defensa para dificultar la explotación de buffer overflows. Ninguna es infalible por sí sola, pero su combinación eleva significativamente la barrera.

DEP/NX (Data Execution Prevention / No eXecute)

Introducido en hardware con el bit NX de AMD (2004) y XD de Intel, DEP marca regiones de memoria como no ejecutables. La pila y el heap se marcan como datos: se pueden leer y escribir, pero no ejecutar. Si un atacante inyecta shellcode en el stack y redirige la ejecución hacia él, el procesador lanza una excepción de violación de acceso.

Bypass: Return-Oriented Programming (ROP). En lugar de inyectar código nuevo, el atacante encadena fragmentos de código existente en el ejecutable y sus bibliotecas (llamados "gadgets") para construir una cadena de ejecución. Cada gadget termina en una instrucción RET, encadenando la ejecución de uno a otro.

ASLR (Address Space Layout Randomization)

ASLR aleatoriza las direcciones base de la pila, el heap, las bibliotecas compartidas y, con PIE (Position-Independent Executable), del propio ejecutable. Fue introducido en Linux (PaX, 2001), Windows Vista (2007) y macOS Leopard (2007).

Si las direcciones son impredecibles, el atacante no sabe dónde está su shellcode ni dónde están los gadgets ROP.

Bypass: Information leaks. Si el atacante puede filtrar una dirección de memoria (por ejemplo, a través de un format string bug o un read out-of-bounds), puede calcular las direcciones reales y anular ASLR. En sistemas de 32 bits, la entropía es tan baja (8-16 bits) que se puede derrotar por fuerza bruta en segundos.

Stack canaries (cookies de stack)

Un valor aleatorio (el "canario") se coloca entre las variables locales y la dirección de retorno al entrar en una función. Antes de retornar, el compilador inserta código que verifica si el canario ha sido modificado. Si lo ha sido, el programa aborta inmediatamente.

+-------------------------+
|   Dirección de retorno  |
+-------------------------+
|   Saved EBP             |
+-------------------------+
|   CANARIO (aleatorio)   |  <-- si cambia, abort()
+-------------------------+
|   buffer[64]            |
+-------------------------+

Implementado por GCC (-fstack-protector), MSVC (/GS), Clang. Es eficaz contra sobrescrituras lineales, pero no protege contra escrituras arbitrarias que saltan el canario (heap overflows, format string bugs).

Bypass: si el atacante puede leer memoria (information leak), puede obtener el valor del canario y reproducirlo en su payload.

Control Flow Integrity (CFI)

La defensa más moderna. CFI verifica que cada salto indirecto (llamada a puntero de función, retorno, salto por vtable) apunte a un destino válido según el grafo de flujo de control del programa. LLVM CFI, Intel CET (Control-flow Enforcement Technology) y ARM BTI (Branch Target Identification) implementan versiones de esta protección.

CFI dificulta enormemente ROP y JOP (Jump-Oriented Programming), pero añade overhead de rendimiento y requiere recompilación del software.

Compilación con seguridad por defecto

Los compiladores modernos activan múltiples protecciones simultáneamente:

Protección	GCC flag	MSVC flag
Stack canaries	`-fstack-protector-strong`	`/GS`
PIE (ASLR completo)	`-fPIE -pie`	`/DYNAMICBASE`
RELRO (GOT read-only)	`-Wl,-z,relro,-z,now`	N/A
Fortify source	`-D_FORTIFY_SOURCE=2`	N/A
CFI	`-fsanitize=cfi`	`/guard:cf`

La evolución: del buffer overflow al use-after-free

A medida que las mitigaciones hicieron más difícil explotar buffer overflows clásicos en el stack, los atacantes se adaptaron. La vulnerabilidad dominante en la última década es el use-after-free (UAF): el programa libera un bloque de memoria y luego sigue usándolo a través de un puntero obsoleto (dangling pointer). Si el atacante consigue que el sistema reasigne ese bloque con datos controlados, puede inyectar punteros de función maliciosos.

El use-after-free es, conceptualmente, un descendiente del buffer overflow. Ambos explotan la gestión manual de memoria en C/C++. La diferencia es que el UAF no necesita desbordar nada: explota la temporalidad de las asignaciones de memoria.

En 2024, Google reportó que el 70% de las vulnerabilidades de seguridad en Chrome son errores de seguridad de memoria, con use-after-free como la categoría dominante. Microsoft reportó cifras similares para Windows.

Según el informe M-Trends 2024 de Mandiant, el tiempo medio entre la publicación de un CVE y su explotación activa se redujo a cinco días en 2023, comparado con 32 días en 2021. Los buffer overflows y UAFs en software de red (VPNs, firewalls) son los más codiciados por los atacantes porque ofrecen acceso remoto sin autenticación.

CISA y el movimiento "Secure by Design"

En noviembre de 2024, CISA (Cybersecurity and Infrastructure Security Agency) publicó un alerta titulado "Secure by Design: Eliminating Buffer Overflow Vulnerabilities", instando a los fabricantes de software a:

Adoptar lenguajes seguros en memoria (Rust, Go, Java, C#) para código nuevo.
Usar funciones seguras de manejo de cadenas en código C/C++ existente.
Activar todas las mitigaciones del compilador y del sistema operativo.
Implementar análisis estático y fuzzing continuo en el pipeline de CI/CD.

El gobierno de Estados Unidos ha clasificado los buffer overflows como una categoría de vulnerabilidad que debería ser eliminada de raíz, no simplemente mitigada. Es un cambio de paradigma: pasar de "defender contra buffer overflows" a "hacer imposibles los buffer overflows" mediante la elección del lenguaje.

Google, Microsoft y el proyecto Linux kernel ya están integrando Rust en componentes críticos. Android 14 reportó una reducción del 50% en vulnerabilidades de memoria en código nuevo escrito en Rust. El kernel de Linux acepta módulos en Rust desde la versión 6.1 (diciembre 2022).

Por qué importa hoy

El buffer overflow no es una reliquia del pasado. Es el fundamento conceptual de toda la seguridad de memoria. Entenderlo en profundidad permite comprender:

Cómo funcionan las mitigaciones modernas (DEP, ASLR, CFI) y por qué existen.
Por qué los lenguajes memory-safe como Rust son relevantes para la seguridad.
Cómo interpretar CVEs de severidad crítica en dispositivos de red.
Por qué el código legacy en C/C++ sigue generando vulnerabilidades décadas después.
El ciclo ataque-defensa que ha definido la seguridad ofensiva y defensiva durante 35 años.

Para un analista SOC, reconocer que un CVE es un buffer overflow en un servicio de red expuesto significa prioridad máxima de parcheo. Para un desarrollador, significa entender que la gestión manual de memoria tiene un coste de seguridad que ya no se puede ignorar.

Línea temporal: 35 años de buffer overflows

Año	Evento	Impacto
1988	Morris Worm (fingerd overflow)	10% de Internet. Nace el CERT/CC
1996	"Smashing The Stack For Fun And Profit" (Aleph One, Phrack 49)	Democratización del conocimiento de exploits
2001	Code Red (IIS ISAPI overflow)	359.000 servidores en 14 horas
2003	SQL Slammer (SQL Server UDP overflow)	75.000 servidores en 10 minutos
2003	Blaster (DCOM RPC overflow)	Millones de Windows XP/2000
2004	Windows XP SP2: DEP y firewall por defecto	Primera respuesta sistémica
2004	Sasser (LSASS overflow)	Último gran gusano de stack overflow
2007	Windows Vista: ASLR	Aleatorización de memoria en Windows
2008	Conficker (MS08-067 overflow)	9-15 millones de máquinas
2014	Heartbleed (CVE-2014-0160, buffer over-read en OpenSSL)	17% de servidores HTTPS
2024	CWE-787 (Out-of-bounds Write) #1 en MITRE Top 25	Sigue siendo la categoría más peligrosa
2024-25	CVEs activos en Ivanti, Fortinet, Chrome	Buffer overflows en dispositivos de red perimetrales

Conclusión

El buffer overflow lleva 35 años definiendo el campo de la seguridad informática. Cada mitigación (DEP, ASLR, canaries, CFI) fue una respuesta directa a técnicas de explotación cada vez más sofisticadas. Cada bypass (ROP, information leaks, heap spraying) fue la respuesta de los atacantes. Este ciclo de ataque y defensa ha producido la arquitectura de seguridad de los sistemas operativos modernos.

La solución definitiva no es añadir más capas defensivas sobre código inseguro, sino eliminar la causa raíz: la gestión manual de memoria. Rust, Go y los esfuerzos por integrar lenguajes memory-safe en sistemas críticos representan la dirección correcta. Mientras tanto, millones de líneas de C y C++ seguirán en producción, y los buffer overflows seguirán siendo relevantes para cualquier profesional de la ciberseguridad.

Artículo de la serie Vulnerabilidades de MalwareIntel. Análisis técnico con fines educativos y defensivos.

Técnicas MITRE ATT&CK referenciadas

T1203 T1068

Preguntas frecuentes

Libros recomendados

Hacking: The Art of Exploitation (Jon Erickson)

Amazon (enlace afiliado)

The Shellcoder's Handbook (Chris Anley et al.)