Crecimiento de reportes de vulnerabiliades en 2018

Zero Day Initiative (ZDI) ha publicado un informe sobre la primera mitad de 2018 en el que muestra que ha pagado 1 millón de dólares a los investigadores que han descubierto vulnerabilidades en los productos de algunas de las multinacionales más conocidas de la computación.

Entrando en números, durante los primeros seis meses de 2018 hubo 600 avisos de seguridad, superando claramente los 451 del mismo periodo del año pasado. Si tenemos en cuenta que 2017 fue considerado como el año que tuvo más ocupados a los investigadores según ZDI, el 2018 va camino de superarlo de forma clara, lo que deja en evidencia la cada vez mayor preocupación y demanda que genera la ciberseguridad. Sin embargo, dentro del negativismo hay un dato positivo, y es que el número de avisos zero-day disminuyó un 42%. Por otro lado, se puede destacar las siguientes tendencias del informe:

• El número de fallos reportados hallados en los productos de Microsoft se ha incrementado en un 121% si se comparan los datos de la primera mitad de 2018 y el mismo periodo de 2017. Muchos de estos afectando a los navegadores propios de la compañía, Edge e Internet Explorer, además del motor de JavaScript ChakraCore, que se han visto afectados sobre todo por fallos de usar después de liberar memoria. Teniendo en cuenta que Microsoft ha publicado un 8% más de parches que durante la primera mitad de 2017, ZDI cree que la multinacional está reaccionando ante este aumento en la cantidad de casos reportados, aunque en estos momentos todavía haya 39 fallos que esperan ser parcheados.
• Apple, por su parte, ha registrado un descenso del 28,5 por ciento, un dato que puede ser engañoso al no tener en cuenta las dimensiones del Pwn2Own en 2017. Eliminando los fallos que fueron adquiridos durante el Pwn2Own el año pasado y el actual, se obtiene como resultado un incremento del 36%. En consecuencia, según ZDI, en la actualidad alrededor del 30% de los fallos de Apple siguen esperando un parche que los corrija.
• El número de fallos detectados en SCADA ha representado el 30% de todos los informados a ZDI. Muchas personas desconocen que los productos de SCADA están siendo incluidos como controles en dispositivos IoT, yendo más allá de las infraestructuras y la fabricación. Advantech publicó 132 avisos, siendo esto un aumento del 22%, mientras que Delta Industrial y Omron publicaron 26 y 22 avisos respectivamente.
• Adobe ha escapado prácticamente igual comparando los primeros semestres de 2017 y 2018, con solo dos fallos más reportados. Comparando con el número total de avisos, los que afectaban a productos de Adobe representó el 16% del total en la primera mitad de 2018, frente al 20% del mismo periodo de 2017.
• El software de virtualización, el número de informes de fallos hallados ahí ha aumentado un 275 por ciento con respecto al primer semestre del año pasado. Tomando los fallos hallados en la conocida solución VirtualBox en el Pwn2Own y los reportes de ZDI sobre VMware, todo parece indicar que el segmento de la ciberseguridad solo está empezando a dar sus primeros pasos en este segmento.

El aumento en la cantidad de fallos reportados no es más que otra muestra de una tendencia que va al alza desde hace tiempo, y que posiblemente se haya visto intensificada en los últimos tiempos a raíz de los múltiples fallos de seguridad hallados en los procesadores modernos de todos los fabricantes.

Por otro lado, todo parece indicar que ha habido sectores en los que la seguridad no ha sido tenida en cuenta con el rigor necesario, algo que podría explicar el gran aumento en la cantidad de reportes de fallos hallados en productos que hasta hace poco raras veces acaparaban el protagonismo de la actualidad sobre ciberseguridad, como los ya mencionados procesadores y la virtualización.

Fuente: Muy Seguridad | CSO Online

Suscríbete a nuestro Boletín