A pesar de que los proveedores de aplicaciones web son más responsables y liberan parches de seguridad mucho más rápido que en 2012, nuevas investigaciones revelan que en promedio toma dos semanas corregir vulnerabilidades críticas.
Tiempo promedio para corregir fallas en 2013 con respecto a 2012:
Nivel de Riesgo
|
Tiempo estimado en 2012
|
Tiempo estimado en 2013
|
Mejora
|
Riesgo Critico
|
17 días
|
11 días
|
35%
|
Riesgo alto
|
13 días
|
12 días
|
8%
|
Riesgo medio
|
29 días
|
13 días
|
55%
|
Riesgo bajo
|
48 días
|
35 días
|
27%
|
Promedio general
|
27 días
|
18 días
|
33%
|
Lilia Kolochenko, CEO en High-Tech Bridge, comentó que "tomar 11 días para corregir vulnerabilidades críticas es una demora muy larga. Pero el lado bueno es que las vulnerabilidades se han vuelto más difíciles de detectar y explotar por parte de los atacantes. Existen proveedores como BigTree CMS que han solucionando vulnerabilidades complejas en menos de tres horas, así que el premio para el proveedor mas responsable del año 2013 es para esta organización".
En general, la conciencia de los desarrolladores acerca de la importancia de la seguridad de las aplicaciones está creciendo. En el pasado, aun cuando proveedores bien conocidos aplazaron la corrección de fallas de seguridad en pos de liberar nuevas versiones se su software con nuevas funcionalidades y vulnerabilidades no corregidas.
En 2013, los principales proveedores no optaron por práctica de priorizar la funcionalidad a costa de la seguridad y sólo tres de 62 avisos de seguridad en 2013 se mantuvieron sin corregir.
A pesar de que se llevan a cabo mejores prácticas de seguridad y de que se ha complicado el hallazgo de nuevas vulnerabilidades en las aplicaciones, los investigadores también encontraron un gran número de casos en donde la seguridad de la aplicación se compromete por errores básicos, como no eliminar scripts de instalación, permitiendo a los Cyber criminales comprometer la aplicación web.
Esto recalca la importancia de realizar las pruebas y auditorias independientes a las aplicaciones web, pues incluso los desarrolladores profesionales pueden olvidar o perder el control de los puntos de seguridad vitales.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT