See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/370654209

La relación entre compiladores y la seguridad informática: un análisis estático

Preprint · May 2023

CITATIONS READS
0 122

2 authors, including:

Alvaro Norberto García Meza

University of San Carlos of Guatemala
1 PUBLICATION 0 CITATIONS

SEE PROFILE

All content following this page was uploaded by Alvaro Norberto García Meza on 10 May 2023.

The user has requested enhancement of the downloaded file.

Organización de lenguajes y compiladores 1
.
La relación entre compiladores y la seguridad informática: un análisis
estático.
Alvaro Norberto García Meza
e-mail: 3046971840116@ingenieria.usac.edu.gt
researchgate: https://www.researchgate.net/profile/Alvaro-Garcia-Meza
RESUMEN: En este artículo se explora la relación
entre los compiladores y la seguridad informática,
enfocándose en el análisis estático y en como esta
técnica puede ayudar a mejorar la calidad y seguridad de
los programas informáticos. Se define las
vulnerabilidades en el software y cómo pueden ser
aprovechadas por atacantes. Se detalla la importancia del
análisis estático en la detección de vulnerabilidades y
errores en el código fuente de los programas. Además, se
discute cómo los analizadores léxicos y sintácticos de los
compiladores son componentes importantes en el
proceso de análisis estático y cómo se relacionan con las
vulnerabilidades en el código fuente. También se aborda
la importancia de la implementación de segura de las
características del lenguaje en los compiladores para
prevenir defectos. Por último, se discuten algunas
herramientas de análisis estático y su papel en la mejora
de la seguridad informática de los programas.
PALABRAS CLAVE: Análisis estático, compiladores,
código fuente y vulnerabilidades.
INTRODUCCIÓN
Los compiladores son una herramienta esencial en
el proceso de desarrollo de software, ya que se encargan
de traducir el código fuente escrito por los programadores
a un lenguaje de bajo nivel que puede ser ejecutado por
la máquina. Sin embargo, los compiladores también
pueden ser utilizados para mejorar la seguridad de los
programas informáticos mediante el análisis estático del
código fuente.
El análisis estático es una técnica de revisión de
código que se realiza sin necesidad de ejecutar el
programa, lo que permite detectar posibles
vulnerabilidades de seguridad y errores en el código
antes de que sea utilizado en un entorno de producción.
Las partes más utilizadas de un compilador en el análisis
son el analizador léxico ya que este descompone el
código fuente en tokens y símbolos, por otro lado, el
analizador sintáctico verifica que estos tokens formen
estructuras sintácticamente correctas.
En este artículo, se explorará la relación entre los
compiladores y la seguridad informática, enfocándose en
el análisis estático y en cómo esta técnica puede ayudar
a mejorar la calidad y seguridad de los programas
informáticos.
1
DESARROLLO
1.1 ¿Qué son las vulnerabilidades?
Las vulnerabilidades en el software son
simplemente debilidades en un sistema que los atacantes
pueden utilizar como ventaja para realizar actividades
ilícitas. En el contexto de seguridad informática las
vulnerabilidades son defectos o descuidos específicos en
una parte del software que permite que los atacantes
hagan cosas maliciosas donde pueden exponer
información sensible, corromper o destruir un sistema o lo
peor de todo, tomar control de un sistema y beneficiarse
de él [1].
Una palabra muy conocida en el mundo de la
informática es “bug”, su traducción literal al español es
“bicho” pero en el contexto informático su significado
puede referirse a todos aquellos errores, descuidos o
defectos en un programa que dan como resultado un
comportamiento inesperado y típicamente indeseable. La
mayoría de las vulnerabilidades en el software son bugs,
pero solo algunos bugs resultan ser vulnerabilidades de
seguridad que ponen en riesgo la integridad del sistema
[1].
El proceso de atacar vulnerabilidades en un
programa es llamado “exploiting” su traducción al español
al igual que “bug” no tiene un significado especifico, pero
hace referencia a como los atacantes pueden explotar
una vulnerabilidad ejecutando el programa de una
manera inteligente alterando o monitoreando el
comportamiento de un sistema [2].
1.1.1. Vulnerabilidades en el código fuente
Las vulnerabilidades en el análisis de código fuente
pueden estar relacionadas con la forma en que los
compiladores procesan el código fuente. Los defectos
pueden estar en el propio compilador donde, cualquier
atacante conociendo las herramientas podría ser capaz
de ejecutar código malicioso en el sistema que utiliza el
compilador.
Los problemas más comunes donde el compilador
se relaciona y existen vulnerabilidades son en el análisis
estático del código, a pesar de que este análisis utiliza
componentes de un compilador para su funcionamiento,
existen posibilidades donde esta técnica no esté
preparada para ciertos tipos vulnerabilidades ya que el
código no es ejecutado, estas pueden filtrarse de manera
impredecible. Esto está estrechamente relacionado al
otro problema que es la inyección de código malicioso
donde si el compilador no está preparado el atacante
puede insertar código en el momento de la ejecución que
sea perjudicial para el sistema o software.
Organización de lenguajes y compiladores 1
.
Otra vulnerabilidad que es independiente del
atacante es en el momento de la implementación de las
características del lenguaje donde estas deben estar
implementadas de manera segura y consistente, si hay
un problema en la implementación de una función de
seguridad critica, podría abrir la puerta a una
vulnerabilidad.
1.2 Análisis estático
El termino de análisis estático se refiere a cualquier
proceso de evaluar código sin ejecutarlo. El análisis
estático es muy poderoso porque permite la rápida
consideración de muchas posibilidades sin comprometer
al sistema. Las herramientas de los análisis estáticos
pueden explorar una larga cantidad de “¿y sí?”
escenarios sin la necesidad de ir dentro de los procesos
computacionales requeridos. Un bueno analizador
estático provee una rapidez en obtener un consistente y
detallada evaluación del cuerpo del código fuente [3].
En el caso de seguridad informática, el análisis
estático es utilizado para examinar código fuente u objeto
de un programa ya que esta técnica detectará posibles
vulnerabilidades de seguridad y errores en el código que
podrían ser explotados por atacantes. El análisis estático
se realiza mediante el uso de herramientas de análisis
que examinan el código en busca de patrones que
puedan indicar la presencia de vulnerabilidades o errores.
Durante el proceso de análisis, se examinan
aspectos del código fuente, como la sintaxis, la semántica
y la estructura del programa. Es por eso que se dice que
los analizadores estáticos comparten muchos procesos
de un compilador debido que, como similitud los
compiladores realizan un análisis sintáctico y semántico
del código para asegurarse de que cumple con las reglas
de la sintaxis del lenguaje para traducir el código a
lenguaje máquina. Todo esto puede realizar el analizador
estático con la gran diferencia que no ejecuta ni una sola
línea de código.
1.2.1. Tipos de análisis de código fuente
relacionados con partes de un compilador
En el análisis estático, los compiladores se
utilizan para llevar a cabo la fase de análisis léxico y
sintáctico del código fuente. Además, existen
herramientas de análisis estático que se basan en la
generación de árboles de sintaxis abstracta (AST).
El análisis de flujo de datos es una técnica que
se centra en el seguimiento de los datos a través del
código fuente para identificar vulnerabilidades, como
fugas o inyecciones de información.
En cuanto al código que se audita en el análisis
estático, se trata del código fuente en si mismo. El código
es procesado por el compilador para generar el árbol de
sintaxis abstracta, que luego es utilizado para por algunas
herramientas de análisis para identificar posibles
vulnerabilidades.
2
1.2.2. Técnicas para extraer información de un
código fuente que utilizan ideas o partes de
un compilador
Existen varias técnicas y mecanismos los cuales
se utilizan para extraer información clave de un código
fuente. Como, por ejemplo:
1. Grep Análisis es una herramienta de línea de
comando utilizada para buscar patrones específicos
dentro de archivos de código fuente, donde da como
resultado todas las líneas del archivo analizado las
coincidencias con el texto especificado. Es capaz de
buscar patrones complejos utilizando expresiones
regulares. Todo esto lo hace utilizando como
concepto el análisis léxico el cual se encarga de
separar en tokens las palabras claves de un código
fuente y formar patrones especiales mediante la
combinación de expresiones regulares y caracteres
especiales.
2. Comprobación de sangrado de código, en términos
simples asegura que el código se escriba de manera
consistente y fácil de leer, lo que evita de errores y
vulnerabilidades de seguridad.
3. Búsqueda de patrones en el código, esta técnica se
utiliza para encontrar ocurrencias de patrones
específicos en el código. Pueden existir patrones de
diferentes tipos, tanto de errores como de
vulnerabilidad.
Mucho de los compiladores de hoy en día ya
cuentan con medidas de seguridad integradas para
prevenir los diferentes ataques en las diferentes fases del
compilador. Sin embargo, es importante tomar en cuenta
que aún pueden existir vulnerabilidades desconocidas o
no corregidas en los compiladores.
1.2.3. Fases de construcción de un modelo de
análisis estático
En la Figura 1 se observa un esquema que
describe las fases de construcción de un modelo de un
analizador estático, donde al igual que las fases de un
compilador estas se ejecutan una seguida de la otra. Lo
que provoca que la salida de una etapa sea la entrada de
la otra.
Como las primeras fases del compilador, análisis
léxico y sintáctico, un modelo de análisis estático cuenta
también con una fase importante, la internalización,
donde se define la calidad del modelo final.
La fase que le sigue a la Internalización en la
Figura 1 es la Derivación donde se genera un modelo del
conjunto de entidades y con modelo de ejecución, donde
se aplican técnicas de análisis que permitan extraer
información del código y generar informes.
Organización de lenguajes y compiladores 1
.
Figura 1. Fases de construcción de un analizador
estático de código fuente.
1.2.4. Etapa de Internalización
La internalización que se muestra en la Figura 1 es
la que más relacionada esta a las fases de un compilador,
sin decir que esta etapa ofrece herramientas para realizar
el parseo, recorridos de sintaxis y muchas más.
El objetivo en esta etapa es intentar aplicar técnicas
como el parseo para generar un árbol AST.
En la Figura 2 se observa las dos fases de un
compilador, cuando se crean los tokens de código fuente
y luego el AST generado por la implementación de
herramientas que generan la tarea de transformación.
Existen muchas herramientas que ahorran el trabajo, pero
su entorno de trabajo se ve reducido a unos cuantos
lenguajes, en el caso de C se cuenta con Gcc, en Java
con Mono y Eclipse que a pesar de no ser un lenguaje
cuenta con plugins que facilitan el trabajo.
Figura 2: Etapa de internalización [4].
La etapa de internalización también se puede
realizar de manera manual donde los conceptos de un
compilador resaltan ya que para llevar el caso del parseo
se cuentan con las clásicas herramientas como, utilizar
LALR, GLR, Parsers, PEG y Parser Combiators. El
problema de aplicar estas herramientas manualmente es
que surgen muchos problemas, entre estos problemas se
encuentra:
3
1. Reconocer Sintaxis
El problema con la sintaxis es que al momento
de generar una máquina de estados que exprese la
gramática y el código a analizar sea complejo de
entender y mantener debido a la mala
documentación y los años de manipulación por el
equipo de la empresa es que se haga imposible o se
requiera mucha personalización para construir un
parser.
2. Ambigüedades sintácticas
Esto sucede cuando las respuestas esperadas
por ambos escenarios como el usuario y el parser
son diferentes, ya que a veces la gramática recorre
otros caminos debido a que los escenarios son en su
mayoría muy inesperados y más cuando el
desarrollador realiza un código limpio.
Ahora se entiende el porque esta fase es la más
importante al momento de construir un modelo de análisis
estático ya que las soluciones son muchas y al final cada
una debe estar adaptada para un código fuente específico
además de saber cuál es el objetivo por alcanzar.
Luego de haber tenido éxito en la fase de
internalización, sigue la etapa del análisis del código
donde todo aquello implementado anteriormente nos
servirá para localizar todas las vulnerabilidades posibles,
acá es donde entran las herramientas y técnicas para
extraer la información de un código fuente, donde se
destaca grep análisis e interpretación abstracta.
Figura 3. Análisis de código fuente. [5]
En la figura 3 se observa un caso de alguna
configuración contenida en un fichero, una contraseña
esta en texto claro, lo cual no presenta ningún peligro,
pero si un posible error, pero como este ejemplo pueden
haber muchos más complejos donde pueda venir
inyección de código malicioso el cual se podría detectar
con una buena implementación de un análisis estático.
Cabe destacar que el análisis estático cuenta con
muchas más herramientas y que quizá no estén muy
relacionadas con las fases de un compilador, pero a pesar
del sin fin de técnicas y programas el análisis estático no
pierde sus raíces las cuales siempre serán analizar un
código fuente para obtener de manera indirecta palabras
claves o tokens los cuales dan una mayor facilidad al
momento de construir la estructura de la gramática y darle
 Organización de lenguajes y compiladores 1
.

un sentido con la finalidad de hallar errores del propio CITAS

código o bien vulnerabilidades las cuales los atacantes
podrían aprovechar de mil maneras.
CONCLUSIONES
1. Los compiladores como muchos piensan no solo
están enfocados para traducir el código fuente a
lenguaje de bajo nivel, sino que también para
mejorar la seguridad de los programas
informáticos mediante el análisis estático del
código fuente.
1. Dowd, M., McDonald, J., & Schuh, J. (2006). The Art
of Software Security Assessment: Identifying and
Preventing Software Vulnerabilities. Addison-Wesley
Professional.
2. Seacord, R. C. (2013). Secure Coding in C and C++.
Addison-Wesley Professional.
3. Chess, B., & West, J. (2007). Secure Programming
with Static Analysis. Addison-Wesley Professional.

4. Chess, B., & McGraw, G. (2004). Static analysis for

2. Las vulnerabilidades en el software son
security. IEEE Security & Privacy
debilidades que los atacantes pueden utilizar
como ventaja para realizar actividades ilícitas, y
las vulnerabilidades de código fuente pueden 5. AlBreiki, H. H., & Mahmoud, Q. H. (2014). Evaluation
estar relacionadas con la forma en que los of static analysis tools for software security. In 2014
compiladores procesan el código fuente. 10th International Conference on Innovations in
Information Technology (IIT) (pp. 93-98). Al Ain,
3. El análisis estático es una técnica poderosa que United Arab Emirates: IEEE. doi:
10.1109/INNOVATIONS.2014.6987569.
permite detectar posibles vulnerabilidades de
seguridad y errores en el código antes de que
sea utilizado en un entorno de producción. Las
herramientas de análisis estático examinan el
código en busca de patrones que puedan indicar Artículo escrito por:
la presencia de defectos o errores. Alvaro Norberto García Meza
Estudiante de ingeniería en Ciencias y Sistemas
4. Duran el proceso de análisis, se examinan Universidad de San Carlos de Guatemala
aspectos del código fuente, como la sintaxis, la Cursante de 5to semestre.
semántica y la estructura del programa. Es
importante tener en cuenta que, aunque el
análisis estático es útil, se queda corto para
localizar todas las posibles vulnerabilidades o
errores en el código.

REFERENCIAS
[1] Dowd, M., McDonald, J., & Schuh, J. (2006). The Art of
Software Security Assessment: Identifying and Preventing
Software Vulnerabilities. Addison-Wesley Professional,pp
100-101.

[2] Seacord, R. C. (2013). Secure Coding in C and C++.

Addison-Wesley Professional, pp 30-31.

[3] Chess, B., & West, J. (2007). Secure Programming with

Static Analysis. Addison-Wesley Professional, pp 50-51.

[4] Current Trends in Source Code Analysis, Plagiarism

Detection, and Issues of Analysis Big Datasets - Scientific
Figure on ResearchGate. Available from:
https://www.researchgate.net/figure/AST-representation-of-
source-code_fig4_317826391 [accessed 9 May, 2023]

[5] WeLiveSecurity. (2021, January 18). Análisis estático de

código fuente orientado a seguridad.
https://www.welivesecurity.com/la-es/2021/01/18/analisis-
estatico-codigo-fuente-orientado-a-seguridad/#El-
an%C3%A1lisis-est%C3%A1tico-de-c%C3%B3digo-
fuente-orientado-a-seguridad-dentro-de-los-
est%C3%A1ndares-de-seguridad-de-software

View publication stats