En Ciberseguridad, cuando hablamos de vulnerabilidades, nos referimos a las debilidades de un sistema que permite a los atacantes comprometer la confidencialidad, integridad y disponibilidad de los mismos y la información y servicios soportados. Aunque no siempre es así, las vulnerabilidades se pueden atribuir al resultado de fallos en el diseño del sistema, que provoca que su desarrollo no se realice de acuerdo a las mejores prácticas relacionadas con la seguridad. En otras ocasiones, son el resultado de las limitaciones tecnológicas porque, como todos sabemos, no existe un sistema 100% seguro.

Para reducir esas vulnerabilidades y, por tanto, el riesgo de ataque, es necesario saber cuáles existen en nuestros sistemas y cómo solucionarlas. Una de las formas más elementales para acabar con ellas consiste en permanecer al tanto de todas las vulnerabilidades publicadas por los fabricantes u otras organizaciones dedicadas a ello. Sin embargo, los equipos de TI no pueden permitirse revisar constantemente la larga lista vulnerabilidades publicadas. Por eso, existen servicios de alerta temprana de vulnerabilidades que permiten ahorrar tiempo en la identificación de una vulnerabilidad y te indican de forma sencilla cómo acabar con ella.

Así, estos servicios para determinar la posible afección de una vulnerabilidad sobre nuestros sistemas, realizan, de forma automática, los análisis de las mismas directamente sobre la plataforma que deseamos evaluar, determinando si está o no afectada. La metodología más extendida para la identificación y gestión de vulnerabilidades es la definida por la National Vulnerability Database de NIST, donde se proveen mecanismos homogéneos para la identificación de productos, clasificación y puntuación de criticidad, y la categorización. Estos mecanismos son:

• Common Platform Enumeration (CPE): un esquema de nombres estructurado para sistemas de información, software y productos. Basado en la sintaxis genérica, está fundamentada para la definición del método para la identificación de un sistema y un formato de descripción.
• Common Vulnerability Scoring System (CVSS): un marco abierto de trabajo para comunicar las características y la gravedad de las vulnerabilidades. CVSS consta de tres grupos de métricas para la puntuación: base, temporal y de entorno. En función de las características en cada una de las familias, se asigna la puntuación a las vulnerabilidades en una escala de 0 a 10.
• Common Weakness Enumeration Specification (CWE): proporciona un lenguaje homogéneo para categorizar las causas de las vulnerabilidades de seguridad asociadas al software, el diseño o la arquitectura del sistema.

Una vez se ha identificado una vulnerabilidad, se procede a su gestión, alineando las decisiones al nivel de apetito del riesgo que estamos dispuestos a asumir. Para que las vulnerabilidades formen parte de la base de datos de conocimiento, pasan por un ciclo de vida en el que se pueden distinguir los diferentes ciclos temporales. En función de la fase en la que se encuentre la misma, el nivel de riesgo que sufren los sistemas vulnerables, son diferentes, cuanto más se compriman las fases, más seguros seremos, aunque una rápida reacción de los fabricantes no siempre supone que nuestra exposición no haya sido crítica en las etapas iniciales si estas han sido muy prolongadas.

En ocasiones, para los sistemas e información más crítica, la gestión de vulnerabilidades basada en los análisis de las mismas, no es suficiente. Necesitamos contar con otros métodos más avanzados de detección para esas fases previas al descubrimiento de la vulnerabilidad por parte del fabricante en las que los potenciales atacantes sí son conocedores de la misma.

Ciclo de vida de una vulnerabilidad

Vulnerabilidades publicadas en 2019

Analizando lo acontecido durante 2019 en relación con las vulnerabilidades publicadas de los diferentes fabricantes, podemos comprobar que la seguridad por defecto en el diseño de productos, sigue brillando por su ausencia. En 2019 se registraron 19.964 vulnerabilidades de las cuales 12.971 se correspondieron con Productos Software, 5.954 con Sistemas Operativos y 83 con productos Hardware. Esto no significa que fueran las únicas, simplemente que esta cantidad de vulnerabilidades es la que ha sido publicada como reconocida por los fabricantes. Otras muchas permanecen en el conocimiento de unos pocos ‘privilegiados’ que comercializan en foros de acceso muy limitado y que se continúan utilizando en actividades maliciosas.

A continuación, vamos a dar unos cuantos datos con algo más de detalle del año 2019 y que, posteriormente utilizaremos para analizar lo que está ocurriendo durante este 2020.

Centrando los datos por trimestres, el tercero de 2019 fue el más ‘activo’ en el reporte de vulnerabilidades, 5.276 lo convirtieron en el trimestre maldito del año. De hecho, aquí se acumulan los peores datos para la familia de software con 3.974 vulnerabilidades, mientras que los peores datos para las familias de Sistemas Operativos y Productos Hardware, con 1.851 y 60 vulnerabilidades respectivamente, se localizan dentro del último trimestre.

Si profundizamos en el detalle de los datos, el mes de agosto fue con diferencia el peor mes para el Software con 1.685 vulnerabilidades, noviembre lo fue para los Sistemas Operativos con 769 vulnerabilidades y diciembre lo fue para el Hardware con 54.

El premio al día vulnerable de 2019 se lo lleva el día 18 de diciembre, donde se reportaron 551 vulnerabilidades, el 2,68 por ciento del total. En 59 días del pasado año, fueron reportadas en cada uno de ellos al menos 100 vulnerabilidades y únicamente en 28 días, no fue reportada ninguna.

Vulnerabilidades reportadas en 2019

A nivel de fabricante destacamos los datos de aquellos sobre cuyos productos se reportaron mayor número de vulnerabilidades. No sorprende quién compone el 'TOP 10' ya que son los que mayor presencia tienen en el sector tecnológico. La lista está encabezada por Google, Apple y Microsoft, en ese orden.

Top 10 fabricantes con mayores vulnerabilidades reportadas en 2019

Sin embargo, si centramos los datos en la criticidad, el orden de fabricantes que han sufrido las vulnerabilidades con una criticidad más alta y vulnerabilidades ZERO Day, la lista la encabezan Adobe con 170, Apple con 122 y Debian con 85 ocurrencias.

TipoS de vulnerabilidades más habituales en 2019

Analizando las vulnerabilidades más habituales que se han producido durante 2019, podemos observar que los principales errores cometidos por los fabricantes durante este periodo, siguen centrándose en el tratamiento de los datos de entrada, que procesan las soluciones software.

Errores más comunes en los productos de los fabricantes en 2019

Vulnerabilidades en los últimos 5 años

Tras revisar los datos de los últimos años, observamos que, en los últimos 5 se ha producido un incremento notable desde el 2017. Cuando en el año 2015 y 2016 se reportaron del orden de 8.500 vulnerabilidades anuales, que suponía una media de 23 diarias aproximadamente, a partir de ese momento se reportaron 16.332, 20.392 y 19.964 para cada uno de los años posteriores. Esto supusieron 45, 56 y 54 vulnerabilidades diarias durante 2017, 2018 y 2019 respectivamente.

Evolución de las vulnerabilidades registradas mensualmente para cada año

Y, ¿qué está ocurriendo en 2020?

En datos macro y a nivel mensual, ya que el análisis trimestral aún no tiene gran representación, el año se inició con datos sostenidos con una ligera disminución del 3 por ciento, pero a partir de febrero, se observa una tendencia al alza en el número de vulnerabilidades del 13 y 25 por ciento respectivamente en relación con los mismos periodos del año anterior. Enero se posiciona con 1.558 vulnerabilidades frente a 1.602 del año anterior, febrero con 1.320 frente a 1.167 y marzo 1.676 frente a 1.341, un 11 por ciento de incremento en ese periodo en relación con 2019. 

En abril, el mes del confinamiento mundial por la expansión del virus COVID-19, se reportaron un 16 por ciento menos de vulnerabilidades en relación al mes de abril de 2019. ¿Es esto también consecuencia del confinamiento? Quizás sea consecuencia de que los analistas de seguridad tienen su dedicación fijada en otras prioridades, y esto, pueda estar suponiendo que el mercado negro de comercialización de vulnerabilidades Zero Day esté saturado de nuevas oportunidades para los atacantes. Solo el tiempo podrá confirmarlo.

De momento, en abril se produjeron de dos alertas sonadas, una en productos Microsoft y otra en productos Apple:

• 24 de marzo: Microsoft publicó un aviso de seguridad sobre dos vulnerabilidades "zero-day" en Windows , que han calificado como críticas, al no existir parches o actualizaciones que las solucionen. Recursos afectados: Windows 10, Windows 8.1, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows 7.
• 24 de abril: Investigadores de seguridad notificaron una serie de vulnerabilidades Zero-Day en la aplicación de correo nativa de iOS. Recursos afectados: todas las versiones de iOS a partir de la versión 6 son vulnerables.

Los ciberdelincuentes explotan las vulnerabilidades de los sistemas aprovechándose tanto de los fallos existentes causados por las reducciones de costes en el desarrollo de los productos como por las limitaciones tecnológicas existentes. Además el seguimiento de la multitud de vulnerabilidades publicadas de forma constante, se vuelve imposible para los equipos de TI. Por eso, contar con un servicio de alerta temprana de vulnerabilidades ayuda a mantenerse al día recibiendo únicamente alertas sobre aquellas vulnerabilidades relevantes para la seguridad de tus sistemas.