El 2020 representó un punto crítico para la ciberseguridad en todo el mundo; datos del Instituto Nacional de Estándares y Tecnología (NIST) de EU sobre las vulnerabilidades y exposiciones más comunes (CVE) se batió récord en vulnerabilidades.
El informe de Redscan, proveedor de servicios de seguridad, reportó en 2020, 18.103 vulnerabilidades, de éstas, 10.342 clasificadas como de alta severidad o críticas. En sólo 10 años, los reportes se duplicaron y un factor es el crecimiento en el uso de la tecnología.
“Los profesionales en el campo de la seguridad deberían preocuparse por el hecho de que más de dos tercios de las vulnerabilidades registradas en 2020 no requieren ningún tipo interacción por parte del usuario para poder ser explotadas. Los atacantes que aprovechan de estas vulnerabilidades ni siquiera necesitan que sus objetivos realicen una acción sin saberlo, como hacer clic en un enlace malicioso en un correo electrónico. Significa que los ataques pasan desapercibidos”, advirtió Redscan.
Las peores de las peores vulnerabilidades llegaron en 2020
En el estudio Redscan encontró unas 4.000 fallas que pueden catalogarse como las “peores de las peores”. Estas vulnerabilidades se clasifican así por su baja complejidad de ataque; no requieren ningún privilegio o interacción por parte del usuario y el riesgo para la confidencialidad lo tienen designado como alto.
“Al analizar el riesgo potencial que representan las vulnerabilidades, las organizaciones deben considerar más que solo su puntaje o severidad. Muchas CVE nunca o rara vez se explotan en el mundo real porque son demasiado complejas o requieren que los atacantes tengan acceso a privilegios de alto nivel. Subestimar lo que parecen ser vulnerabilidades de bajo riesgo puede dejar a las organizaciones expuestas al encadenamiento; es decir, que los atacantes pasen de una vulnerabilidadFallos o deficiencias de un programa que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota. También conocidos como "agujeros de seguridad" pueden ser aprovechadas por atacantes mediante exploits, para acceder a los sistemas con fines maliciosos. Las empresas deben ser conscientes de estos riesgos y mantener una... Más a otra para ir gradualmente obteniendo acceso a etapas cada vez más críticas”, dijo George Glass, Jefe de Inteligencia de Amenazas en Redscan.