Mayoría de usuarios prefieren no actualizar sus programas

Publicado el 19 febrero 2013 por Cosmoduende @cosmoduende

Kaspersky Lab acaba de publicar el informe ‘Evaluación del nivel de amenaza de las vulnerabilidades en programas’, que es un profundo análisis del predominio de las fallas de seguridad detectadas en varios programas durante 2012. Además de remarcar las vulnerabilidades más peligrosas, esta investigación también evalúa cuán dispuestos están los usuarios a actualizar su software a nuevas versiones una vez que se publica la actualización. Este particular análisis revela un hecho perturbador: algunas versiones antiguas, e incluso obsoletas, de programas populares permanecen en una gran cantidad de PCs por meses y hasta años.

Las vulnerabilidades en los programas son una clara y obvia amenaza para los consumidores y las compañías. Se usan como “herramienta de robo” clave para robar datos confidenciales de los usuarios, realizar ciberespionaje industrial, y sabotear cruciales sistemas industriales o agencias gubernamentales. Existen varias formas para mitigar estos riesgos desde los esfuerzos de los desarrolladores para publicar actualizaciones a tiempo y mejorar así el nivel de seguridad de sus productos, hasta las tecnologías más avanzadas de seguridad.

El objetivo de esta investigación es comprender la amenaza real que representan las vulnerabilidades en los programas y evaluar la reacción del usuario ante la publicación de nuevas versiones de programas que reparan fallas de seguridad peligrosas. Si bien este estudio se concentró principalmente en las fallas más importantes de seguridad, es decir, las que los ciberdelincuentes explotan activamente, el número total de vulnerabilidades descubiertas en 2012 llegó a la alarmante cifra de 800+. Algunas de ellas, aunque muy poco presentes en los PCs de los usuarios, pueden utilizarse como instrumento para lanzar un ataque dirigido.

Principales resultados de la investigación:

  •  El análisis de los datos de más de 11 millones de usuarios reveló más de 132 millones de vulnerabilidades descubiertas en varios programas, lo que arroja un promedio de 12 vulnerabilidades por usuario.
  • Se descubrieron más de 800 vulnerabilidades diferentes.
  • De estas, sólo 37 se encontraron en al menos el 10% de los PCs durante al menos una semana en 2012. Estas vulnerabilidades representan el 70% de todas las fallas detectadas en programas.
  • Adobe Shockwave y Flash Player, Apple iTunes/QuickTime, y Java fueron los programas que presentaban la cifra más elevada de vulnerabilidades detectadas con frecuencia en programas.
  • De estas 37, sólo ocho vulnerabilidades se encuentran en los paquetes de exploits a los que suelen recurrir los ciberdelincuentes:

o Cinco en Oracle Java.

o Dos en Adobe Flash Player.

o Una en Adobe Reader.

  • La investigación sobre la disposición de los usuarios para cambiar a versiones nuevas y más seguras, reveló que:

o Seis semanas después de la publicación de la última versión de Java (septiembre-octubre 2012), sólo el 28,2% de los usuarios había actualizado sus programas a una versión más segura, mientras que el 70% dejó sus sistemas vulnerables ante exploits de Java.

o Una versión obsoleta (2010) de Adobe Flash Player, que puede ser fácilmente vulnerada, se encontró en un 10,2% de los equipos, sin que se notara ninguna disminución durante 2012.

  • Una vulnerabilidad descubierta en Adobe Reader en diciembre de 2011 se encontró en un 13,5% de los equipos, y tampoco hubo señales de disminución durante 2012.