Buenos Aires, 4 de febrero de 2020 – ESET, compañía líder en la detección proactiva de amenazas, repasó el comportamiento general de las vulnerabilidades y exploits en los últimos años, y en particular durante 2019. El último año se registró una caída en la cantidad de vulnerabilidades reportadas y también en la cantidad de detecciones de exploits. En cuanto a la distribución de exploits por país durante 2019, las detecciones de la región estuvieron concentradas en México (20,8%), Perú (18,4%) y Colombia (11,1%); seguidas por Brasil (10,3%), Argentina (7,4%) y Guatemala (7,1%).
Las vulnerabilidades (fallas de las cuales podrían aprovecharse actores maliciosos para intentar comprometer la confidencialidad, integridad o disponibilidad de la información o los sistemas) en el software y hardware de los productos tecnológicos son uno de los elementos que, con frecuencia, se identifican en los incidentes de seguridad.
En 2017 y 2018, el reporte de vulnerabilidades presentó un aumento considerable con respecto a años anteriores, llegando al máximo histórico en 2017 y siendo incluso superado en 2018 con un nuevo máximo (16.500 vulnerabilidades). Pero esa tendencia se rompió en 2019. Según CVE Details, al concluir 2019 se reportaron más de 12.170 vulnerabilidades, una cantidad inferior a las de 2018 (16.556) y 2017 (14.714).
Esto no quiere decir que la cantidad de vulnerabilidades reportadas sea baja. Si se toma como referencia los últimos diez años se puede corroborar que la cantidad de vulnerabilidades reportadas durante 2017, 2018 y 2019 es en la mayoría de los casos casi el doble que para el período que va desde 2009 a 2016. En los últimos tres años la cantidad de vulnerabilidades reportadas fue superior a las 12.000, mientras que entre el 2009 y el 2016 el promedio fue de poco más de 5.700 vulnerabilidades por año.
Imagen 1. Vulnerabilidades reportadas (2009-2019).
El otro elemento de esta combinación son los exploits, códigos que además de mostrar la existencia de la falla, también demuestran que se trata de una vulnerabilidad. Lo que implica que se puede comprometer la confidencialidad, integridad o disponibilidad de un sistema.
Según datos de la telemetría de ESET, el número de exploits y sus variantes presenta un decrecimiento en los últimos años y una tendencia a la baja desde 2014, año en el cual se registró la mayor cantidad de variantes (más de 5.300).
Imagen 2. Número de exploits y variantes por año en Latinoamérica (2009-2019).
En cuanto a la distribución de exploits por país durante 2019, el 50% de las detecciones de la región estuvieron concentradas en México (20,8%), Perú (18,4%) y Colombia (11,1%); seguidas por Brasil (10,3%), Argentina (7,4%) y Guatemala (7,1%).
Imagen 3. Países con mayor cantidad de detecciones de exploits en 2019.
Si bien en términos generales se observan tendencias a la baja tanto en el número de vulnerabilidades reportadas, así como en las detecciones y en la cantidad de variantes de exploits, el riesgo asociado a la explotación de vulnerabilidades se mantiene latente, ya sea que se utilicen en ataques masivos o dirigidos.
“Una de las razones por las cuales se identifica la tendencia a la baja, tanto en las detecciones como en la variedad de exploits utilizados, es que sigue un patrón similar al de amenazas como el ransomware, donde últimamente el enfoque se concentró en ataques dirigidos, más que en las campañas masivas vistas en años anteriores. En otras palabras, la explotación de vulnerabilidades también podría identificarse en mayor proporción para ataques dirigidos, donde la efectividad de los ataques representa más beneficios para los atacantes, principalmente, económicos.”, asegura Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “La concientización, la educación, el contar con una solución de seguridad, tanto en dispositivos de escritorio como en móviles, y mantener siempre los sistemas actualizados, son las herramientas claves para disfrutar de Internet de manera segura”, concluyó Gutierrez.
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/