Como hemos reportado a lo largo de todo el año pasado, y según pueden revisar en nuestro resumen de amenazas de 2014, los reportes de vulnerabilidades en sistemas y aplicaciones fueron moneda corriente y pusieron en riesgo la información de muchas empresas y usuarios.
De hecho, se reportó un promedio de 19 vulnerabilidades por día en 2014, según datos de National Vulnerability Database (NVD). Y en base a eso la compañía GFI analizó los principales puntos en común, para evaluar cuáles fueron los sistemas operativos más vulnerables, y concluyó (entre otras cosas) que se trató de Mac OS X. Veamos en detalle el análisis.
En total, 7,038 nuevas vulnerabilidades se agregaron a la base de datos de NVD en ese período, lo que constituye un aumento del 65% respecto al número de 2010 (4,258 ). El crecimiento en el número de fallas reportadas creció año a año, y todo indica que seguirá haciéndolo.En cuanto a la severidad, en el 24% de los casos fue alta; y si bien esto constituye un crecimiento en su porcentaje respecto a 2013, el número real ha crecido.
Para entender mejor el tema de la severidad, recordemos que para determinarla se utiliza el sistema CVSS. "Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y 3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando el puntaje cae dentro del rango 7.0 y 10.0", explica Miguel Mendoza, experto en seguridad de ESET.
Y ¿qué hay de las fuentes? En el 80% de los casos se originaron en aplicaciones de terceros, siendo solo en el 13% responsabilidad de sistemas operativos y dispositivos de hardware solo en el 4%.
Pero quizás lo más impactante sea lo relativo a sistemas operativos, como mencionamos más arriba. En resumen, Mac OS X de Apple fue el que más vulnerabilidades registró (un total de 147 en todo 2014) y también el que tuvo el mayor número de vulnerabilidades de severidad alta (64). De esta forma, se posicionó por encima de su "primo mobile" iOS, que registró 127 fallas en todo el año, y superó a distintas versiones de Windows.
La siguiente tabla, parte del análisis de GFI, detalla los números totales y según severidad para cada plataforma:
Tal vez esto resulte sorprendente y más de uno hubiera pensado que sería Windows la plataforma con más fallas registradas. Y si bien sigue teniendo una cantidad considerable, ya no está en el top 3 -conformado por los dos sistemas operativos de Apple y Linux Kernel en tercer puesto.
Como apunta Cristian Florian en su informe, el 2014 fue duro para los usuarios de Linux en lo que refiere a seguridad, si recordamos casos que aquí reportamos como aquella vulnerabilidad de 5 años de antigüedad que afectaba a la mayoría de las distribuciones del sistema operativo. Radicaba en su kernel y permitía, entre otras cosas, la ejecución de código arbitrario y la elevación de privilegios. Y hacia fin de año nos encontramos con GHOST, otra grave vulnerabilidad (en la librería glibc de Linux) que permitiría a un atacante tomar remotamente el control de un sistema sin conocer las credenciales de acceso.
Por supuesto, las "célebres" Heartbleed y Shellshock también afectaron a usuarios de Linux, en el primer caso porque afectaba a OpenSSL y en el segundo porque afectaba a GNU Bash.Finalmente, en lo que respecta a aplicaciones, aquí está la cantidad de vulnerabilidades total y según severidad en algunas de las más importantes:
Como podemos ver, Internet Explorer supera con comodidad al resto de las aplicaciones, habiéndose detectado 242 vulnerabilidades en este navegador emblema de Microsoft a lo largo de 2014. También tiene el número más alto de fallas de severidad alta: 220.
Esto tiene sentido si pensamos que en más de una ocasión supimos de la existencia de 0-day en Internet Explorer, incluso utilizados in-the-wild. También tiene sentido ya que los navegadores (que conforman el top 3) pueden ser una puerta de entrada a servidores y un vector de propagación de malware.
Es por eso que, nuevamente, recordamos la importancia de actualizar todos los sistemas y aplicaciones aplicando los últimos parches disponibles. Esto incluye, como remarca GFI, a sistemas operativos como Windows, Linux y Mac OS X, navegadores web como Mozilla Firefox, Google Chrome e Internet Explorer, Java, y productos gratuitos de Adobe como Flash Player o Adobe Reader.
