Reportan fallas de seguridad no detectadas por varios años

09/03/2017

Los agujeros de seguridad conocidos como vulnerabilidades de día cero pueden permanecer latentes por hasta 10 años, sugirió un estudio.

Esto significa que los ciberatacantes tienen mucho tiempo para desarrollar sofisticadas formas de aprovechamiento en un gran rango de software.

El estudio de la organización de investigación Rand examinó 200 defectos de seguridad, 40% de los cuales aún no se conocen públicamente. Fue dado a conocer como parte de los documentos de Wikileaks, en los cuales sugiere que la CIA ha recopilado una cartera de vulnerabilidades día cero.

El estudio indica:

  • 25% de las vulnerabilidades se conocen públicamente dentro de un año y medio.
  • 25% permanecen sin descubrir durante más de nueve años y medio.
  • Vulnerabilidades que son conocidas públicamente a menudo se revelan como parches.
  • Una vez que se encuentra una vulnerabilidad, se puede explotar en un promedio de 22 días.

Lillian Ablon, autor principal del estudio, dijo que “decidir si se almacena o divulga públicamente una vulnerabilidad de día cero es un juego de compensaciones, particularmente para los gobiernos”.

“Mirando desde la perspectiva de los gobiernos nacionales, si los adversarios también saben de la vulnerabilidad, revelar públicamente la falla ayudaría a fortalecer la propia defensa al obligar al proveedor afectado a implementar un parche y protegerse contra el adversario usando la vulnerabilidad contra ellos”, dijo la Sra. Ablon.

“Por otro lado, revelar públicamente una vulnerabilidad que no es conocida por los adversarios les da la ventaja, ya que el adversario podría entonces protegerse contra cualquier ataque utilizando esa vulnerabilidad, manteniendo al mismo tiempo un inventario de vulnerabilidad de las que sólo es consciente de la reserva. (...) En ese caso, el almacenamiento sería la mejor opción”.