Carrera contra el tiempo: las vulnerabilidades críticas tardan en promedio 6 meses en ser corregidas

Las vulnerabilidades cibernéticas son debilidades en sistemas informáticos, redes o software que pueden ser explotadas por personas malintencionadas para comprometer la seguridad de dichos sistemas. Estas vulnerabilidades pueden surgir por diversos motivos, como errores de programación, configuraciones incorrectas, falta de actualizaciones de seguridad o diseño defectuoso de hardware o software.

Cuando una vulnerabilidad es descubierta, los atacantes pueden aprovecharla para llevar a cabo una variedad de acciones nocivas, como robar información confidencial, infectar sistemas con malware, interrumpir servicios, realizar fraudes o incluso tomar el control total de un sistema o red.

La gestión de vulnerabilidades es crucial para la seguridad cibernética, e implica la identificación, evaluación y mitigación de las vulnerabilidades presentes en los sistemas y redes, a través de medidas como parches de seguridad, actualizaciones de software, configuraciones seguras y prácticas de seguridad sólidas.

Según datos recopilados por la unidad de investigación de SILIKN, durante el año 2023, en México se identificó que el 51.3% de las empresas y el 96.8% de las dependencias gubernamentales presentaban al menos una vulnerabilidad conocida en sus sistemas.

El análisis efectuado por la unidad de investigación de SILIKN subraya los considerables desafíos que enfrentan las entidades mexicanas al tratar de abordar con prontitud las vulnerabilidades críticas que están siendo aprovechadas, dado que la mayoría de ellas, particularmente las entidades gubernamentales, muestran una respuesta demasiado lenta en su mitigación.

Las vulnerabilidades críticas, en promedio, requieren aproximadamente seis meses para ser corregidas, lo que genera un riesgo importante y subraya la urgencia de contar con un plan preventivo de mitigación de vulnerabilidades. Esto garantizaría que, en caso de un incidente, el tiempo necesario para la recuperación sea considerablemente menor.

Es crucial que los líderes de las organizaciones reconozcan la posibilidad de tener vulnerabilidades y puedan detectarlas de manera oportuna. Es prioritario que identifiquen estas vulnerabilidades como amenazas significativas y promuevan una postura de seguridad que ponga énfasis en análisis exhaustivos y, sobre todo, en acciones ágiles. A partir de este enfoque, las organizaciones tienen la oportunidad de fortalecer su seguridad de manera sustancial.

Cabe mencionar que durante el año 2023, se detectaron alrededor de 28,000 vulnerabilidades de diferentes proveedores y productos, lo que representa un 19% más que las reportadas en 2022. Y de las anteriores, el 42.7% fueron críticas.

En México, las vulnerabilidades CVE-2012-0143 y CVE-2017-11882 fueron las más utilizadas por delincuentes cibernéticos mediante exploits, ya que se detectaron con mayor frecuencia en los sistemas de las organizaciones.

La vulnerabilidad CVE-2012-0143 impacta a Microsoft Excel 2003 SP3 y Office 2008 para Mac. Estas aplicaciones presentan una deficiencia en la gestión de la memoria al abrir archivos, lo que posibilita que atacantes remotos ejecuten código arbitrario mediante una hoja de cálculo manipulada.

De manera similar, la vulnerabilidad CVE-2017-11882 se trata de un problema de corrupción de memoria que afecta a varias versiones de Microsoft Office: 2007 Service Pack 3, 2010 Service Pack 2, 2013 Service Pack 1 y 2016. Esta vulnerabilidad posibilita que un atacante ejecute código arbitrario en el contexto del usuario actual al no gestionar adecuadamente los objetos en la memoria.

Es relevante destacar que el análisis representa un avance significativo en la identificación de vulnerabilidades de alto riesgo. Lamentablemente, en nuestro país persiste un problema importante relacionado con la gestión de estas vulnerabilidades. Esto se debe a que los responsables de la seguridad a menudo carecen de una autoridad clara para abordar las correcciones necesarias, así como de una visión completa del entorno y métricas que evalúen la efectividad de las medidas tomadas. Por otro lado, los directivos, quienes sí tienen autoridad, tienden a minimizar o evitar las responsabilidades asociadas con la gestión de incidentes cibernéticos.

Considerando lo expuesto, se plantea que, ante el incremento de las demandas a las que se enfrentan las organizaciones, es claro que es más necesario que nunca que los expertos en seguridad ocupen roles directivos y tengan la habilidad de influir en las modificaciones operativas en todos los niveles de la organización. Esto permitiría una gestión más ágil de las vulnerabilidades, siendo la rapidez un aspecto crucial en este contexto.

Organizaciones de distintos tamaños se enfrentan al desafío de lidiar con el constante flujo de vulnerabilidades que se revelan. Aunque es crucial que cada una establezca un método de gestión de vulnerabilidades adaptado a sus riesgos específicos, subrayamos la importancia de que todas ellas comiencen por priorizar las vulnerabilidades que ya han sido explotadas, dado que abordarlas rápidamente está estrechamente relacionado con encontrar soluciones más ágiles.

----

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599