HP ha publicado el Informe de Ciber Riesgos 2013, que identifica las principales vulnerabilidades de la seguridad empresarial y proporciona un análisis del creciente panorama de amenazas.
Desarrollado por HP Security Research, este estudio anual ofrece datos en profundidad y un análisis en torno a los problemas de seguridad más destacados que afectan a las compañías. El informe de este año detalla los factores que más contribuyeron al incremento de los ataques en 2013, tales como el aumento de la confianza hacia los dispositivos móviles, la proliferación de software inseguro o el uso creciente de Java. Además, esboza una serie de recomendaciones para las organizaciones con el objetivo de minimizar los riesgos de seguridad y el impacto global de los ataques.
Aspectos destacados y principales conclusiones del informe
- Al mismo tiempo que la investigación de vulnerabilidades siguió adquiriendo relevancia, el número total de vulnerabilidades divulgadas públicamente disminuyó en un 6% con respecto al año anterior, y el número de vulnerabilidades graves lo hizo, por cuarto año consecutivo, en un 9%. Aunque no es cuantificable, el descenso puede ser indicador de un aumento de las vulnerabilidades que no se hacen públicas y, en su lugar, se distribuyen en el mercado negro para un consumo privado y/o malicioso.
- Casi el 80 %de las aplicaciones examinadas contenían vulnerabilidades procedentes de fuera de su código fuente. Incluso el software desarrollado por expertos puede ser peligrosamente vulnerable si está mal configurado.
- Las diversas definiciones inconsistentes de «malware» complican el análisis de riesgos. En un examen de más de 500.000 aplicaciones móviles para Android, HP encontró importantes discrepancias entre cómo los motores de antivirus y los proveedores de plataformas móviles clasifican el malware.
- El 46%de las aplicaciones móviles estudiadas emplean la encriptación de manera incorrecta. La investigación de HP demuestra que los desarrolladores móviles, a menudo, no encriptan correctamente a la hora de almacenar datos sensibles en los dispositivos móviles, confiando en logaritmos débiles para hacerlo, o hacen un uso indebido de las capacidades de encriptación más fuertes, rendenrizándolas de manera inefectiva.
- Internet Explorer fue el software más estudiado en 2013 por los investigadores de vulnerabilidades de la Zero Day Initiative (ZDI) de HP, y representó más del 50%de las vulnerabilidades adquiridas por la iniciativa.
- Las vulnerabilidades que permiten eludir el sandbox fueron las más predominantes y perjudiciales para los usuarios de Java. Los adversarios intensificaron de forma significativa su explotación de Java, dirigiéndose simultáneamente a múltiples vulnerabilidades conocidas (y de día-cero) en ataques combinados, con el fin de poner en peligro objetivos de interés específicos.