Kaspersky Lab acaba de publicar el informe ‘Evaluación del nivel de amenaza de las vulnerabilidades en programas’, que es un profundo análisis del predominio de las fallas de seguridad detectadas en varios programas durante 2012. Además de remarcar las vulnerabilidades más peligrosas, esta investigación también evalúa cuán dispuestos están los usuarios a actualizar su software a nuevas versiones una vez que se publica la actualización. Este particular análisis revela un hecho perturbador: algunas versiones antiguas, e incluso obsoletas, de programas populares permanecen en una gran cantidad de PCs por meses y hasta años.
Las vulnerabilidades en los programas son una clara y obvia amenaza para los consumidores y las compañías. Se usan como “herramienta de robo” clave para robar datos confidenciales de los usuarios, realizar ciberespionaje industrial, y sabotear cruciales sistemas industriales o agencias gubernamentales. Existen varias formas para mitigar estos riesgos desde los esfuerzos de los desarrolladores para publicar actualizaciones a tiempo y mejorar así el nivel de seguridad de sus productos, hasta las tecnologías más avanzadas de seguridad.
Principales resultados de la investigación:
- El análisis de los datos de más de 11 millones de usuarios reveló más de 132 millones de vulnerabilidades descubiertas en varios programas, lo que arroja un promedio de 12 vulnerabilidades por usuario.
- Se descubrieron más de 800 vulnerabilidades diferentes.
- De estas, sólo 37 se encontraron en al menos el 10% de los PCs durante al menos una semana en 2012. Estas vulnerabilidades representan el 70% de todas las fallas detectadas en programas.
- Adobe Shockwave y Flash Player, Apple iTunes/QuickTime, y Java fueron los programas que presentaban la cifra más elevada de vulnerabilidades detectadas con frecuencia en programas.
- De estas 37, sólo ocho vulnerabilidades se encuentran en los paquetes de exploits a los que suelen recurrir los ciberdelincuentes:
o Cinco en Oracle Java.
o Dos en Adobe Flash Player.
o Una en Adobe Reader.
- La investigación sobre la disposición de los usuarios para cambiar a versiones nuevas y más seguras, reveló que:
o Seis semanas después de la publicación de la última versión de Java (septiembre-octubre 2012), sólo el 28,2% de los usuarios había actualizado sus programas a una versión más segura, mientras que el 70% dejó sus sistemas vulnerables ante exploits de Java.
o Una versión obsoleta (2010) de Adobe Flash Player, que puede ser fácilmente vulnerada, se encontró en un 10,2% de los equipos, sin que se notara ninguna disminución durante 2012.
- Una vulnerabilidad descubierta en Adobe Reader en diciembre de 2011 se encontró en un 13,5% de los equipos, y tampoco hubo señales de disminución durante 2012.