La paradoja de las vulnerabilidades: menos, pero más críticas

Share this…

Sabemos que todo sistema o programa desarrollado por un ser humano es susceptible a fallas; después de todo, errar es humano, ¿verdad?

Sucede que el software es vulnerable y se suelen encontrar fallas en su desarrollo que permiten la realización de acciones indeseadas o incorrectas, dejando las aplicaciones expuestas a ataques y poniendo en riesgo la información de los usuarios. Estas acciones van desde el robo de información o propagación de malware hasta la caída de un sistema o servicio.

Claro que una buena política de actualizaciones mitiga los riesgos que supone la explotación de vulnerabilidades. Además, no todas las que se reportan, por más severas que sean, tienen posibilidades de ser explotadas en forma masiva.

Y si bien siempre han sido una parte del ecosistema de la seguridad informática, durante los últimos años hubo una tendencia un tanto sorprendente: la cantidad total de vulnerabilidades de todo tipo reportadas anualmente ha ido disminuyendo en los últimos años, pero paradójicamente, los reportes de vulnerabilidades críticas han crecido. Es decir, aquellas que poseen un mayor impacto sobre la seguridad del usuario tienen más predominio que en años anteriores.

Lucas Paus, investigador de ESET, analizó esta paradoja en detalle en una sección de nuestro artículo Tendencias 2017: La seguridad como rehén.

“A pesar de la cantidad de nuevos vectores que han entrado en juego, la cantidad de CVE reportados va en descenso en los últimos dos años, después de un máximo histórico en 2014”, explicó el experto. “Por lo tanto, el decrecimiento general en la cantidad de fallas reportadas no es una señal de tranquilidad, pues los reportes de vulnerabilidades críticas en los últimos años han crecido”.

vulnerabilidades reportadas

Tendencia decreciente a partir de 2014 en los reportes totales de vulnerabilidades

¿Cómo se explica esta paradoja?

Quizá uno de los factores esté relacionado con el gran incremento de los programas de recompensas por vulnerabilidades encontradas, o bug bounty, que sin lugar a dudas incentivan a los especialistas en seguridad a sumergirse aún más en los códigos de aplicaciones o sistemas operativos en busca de fallas.

Además, hay que tener en cuenta que durante 2016 se han encontrado vulnerabilidades que, si bien se contabilizan como un solo CVE, dejan expuestos a millones de usuarios o dispositivos. De este modo se genera una paradoja cuantitativa, ya que solo una de estas vulnerabilidades con tanto alcance podría dejar más usuarios expuestos que cientos de ellas que solo afectan plataformas aisladas.

Analizándolo desde otra perspectiva, la disminución en el total puede estar asociada a los nuevos paradigmas en el desarrollo seguro de sistemas. A la vez, la nomenclatura de vulnerabilidades con nombres más atractivos que los CVE, como los casos de Badlock y DROWN, busca generar una caracterización más familiar de las amenazas. “Esta clase de bautismo de vulnerabilidades tiene una mayor eficacia en la concientización de los distintos departamentos de TI, buscando que a partir de la identificación de una vulnerabilidad se tomen las medidas necesarias para mitigarla”, señaló Paus.

Si quieres más información sobre el tema, en este video exploramos la paradoja de las vulnerabilidades:

Fuente:https://www.welivesecurity.com/