El sistema de categorización de vulnerabilidades Common Weakness Enumeration (CWE) ha publicado su TOP 25, donde se reúnen las fallas de seguridad más comunes y peligrosas de los últimos dos años. Acorde a especialistas de un curso de seguridad informática, CWE considera que las fallas enlistadas son altamente peligrosas debido a su facilidad de explotación, su capacidad de disrupción y la frecuencia con la que se produce un ataque relacionado.
Para la creación de esta lista, CWE consideró la información disponible en sistemas como el Common Vulnerabilities and Exposures (CVE), el Common Vulnerability Scoring System (CVSS), así como la información disponible en National Vulnerability Database (NVD).
A continuación se muestra la lista de las debilidades elegidas por los especialistas del curso de seguridad informática:
Los expertos mencionan que la principal diferencia entre este TOP 25 y el anterior es el paso a la explotación de fallas específicas en vez de fallas a nivel clase. Aunque estas fallas a nivel de clase aún pueden verse en la lista, su clasificación bajó considerablemente. Los especialistas consideran que esta tendencia se mantenga en el futuro cercano.
En la lista, las fallas a nivel clase CWE-119 (restricción inadecuada de operaciones dentro de los límites del búfer), CWE-20 (validación de entrada incorrecta) y CWE-200 (exposición de información sensible) bajaron algunos puntos. Por otra parte, errores específicos como CWE-79 (incorrecta neutralización de entrada en la generación de páginas web) han mostrado un incremento notable, mencionan los especialistas del curso de seguridad informática.
Las fallas que más incrementaron sus puntajes en el más reciente listado son:
- CWE-522 (Credenciales protegidas de forma inadecuada): del #27 al #18
- CWE-306 (Falta autenticación en funciones crítica): de #36 a #24
- CWE-862 (Falta de mecanismos de autorización): del #34 al #25
- CWE-863 (Autorización incorrecta): del #33 al #29
Como puede notarse, estas fallas residen en algunas de las áreas más difíciles de analizar en un sistema informático. Por otra parte, los especialistas creen que la comunidad de usuarios ha mejorado sus capacidades de análisis y protección, lo que ha reducido considerablemente la incidencia de múltiples fallas de seguridad.
Las fallas que más bajaron sus puntajes en las listas son:
- CWE-426 (Ruta de búsqueda no confiable): del #22 al #26
- CWE-295 (Validación de certificado incorrecta): del #25 al #28
- CWE-835 (Bucle con condición de salida inalcanzable): de #26 a #36
- CWE-704 (Conversión de tipo incorrecta): de #28 a #37
Este TOP 25 puede ser de gran utilidad para los desarrolladores, investigadores y usuarios, pues representa un informe ideal de las fallas más constantemente encontradas, en otras palabras, es una representación de las tendencias cibercriminales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad