Menos vulnerabilidades, pero más peligrosas

Hewlett-Packard afirma que el número de vulnerabilidades descubiertas en las aplicaciones comerciales continúa cayendo, casi un 20% entre 2010 y 2011. Sin embargo, el riesgo de las vulnerabilidades descubiertas es mayor. Además, los ciberataques se incrementaron más del doble en la segunda mitad del año. Son datos recogidos en el Top Cyber-Security Risks Report elaborado por HP.

El informe apunta a que hay una evolución en el terreno de la seguridad, incluyendo la motivación de los hackers. Y es que grupos como Anonymous o LulzSec utilizan sus ataques no como medio de ganar dinero, sino como represalia.

Las cifras de HP muestran que en 2011 se descubrieron 6.843 vulnerabilidades, frente a las 8.502 de 2010, o las 11.000 de 2006. La cifra sólo recoge las vulnerabilidades descubiertas en software disponible de manera comercial.

HP asegura también que el nivel de riesgo de las aplicaciones está creciendo. Así, el porcentaje de vulnerabilidades de ‘alto riesgo’, que son aquellas que tienen un grado de severidad de entre 8 y 10, se han incrementado un 7%, representando el 24% de las vulnerabilidades totales. Estas vulnerabilidades son las que necesitan ser parcheadas inmediatamente porque pueden generar ejecuciones remotas de código, el tipo de ataque más peligroso porque el atacante consigue tomar el control del sistema comprometido.

El informe también asegura que el 36% de las vulnerabilidades descubiertas afectan a aplicaciones web comerciales y que un 86% de ellas son vulnerables a ataques de inyección de código, que permiten a los hackers acceder a las bases de datos internos a través de la web.

Además los kits de exploits siguieron siendo muy populares en 2011. Blackhole Exploit Kit, por ejemplo, fue utilizado por la mayoría de los hackers y fue el responsable de más de 80% de las infecciones a finales de noviembre de 2011.