HP ha publicado el Informe de Ciber Riesgos 2013, que identifica las principales vulnerabilidades de la seguridad empresarial y proporciona un análisis del creciente panorama de amenazas.
Desarrollado porHP Security Research, este estudio anual ofrece datos en profundidad y un análisis en torno a los problemas de seguridad más destacados que afectan a las compañías y detalla los factores que más contribuyeron al incremento de los ataques en 2013, tales como el aumento de la confianza hacia los dispositivos móviles, la proliferación de software inseguro o el uso creciente de Java.
“Los adversarios de hoy son más hábiles que nunca, y colaboran de manera más eficaz para aprovechar las vulnerabilidades a través de una superficie de ataque cada vez mayor”, indicó Jacob West, de la división de productos Enterprise Security de HP. “La industria debe unirse para compartir proactivamente inteligencia y tácticas de seguridad, con el fin de interrumpir las actividades maliciosas impulsadas por el mercado clandestino”.
Aspectos destacados y principales conclusiones
-El número total de vulnerabilidades divulgadas públicamente disminuyó en un 6% con respecto al año anterior, y el número de graves lo hizo, por cuarto año consecutivo, en un 9%. Aunque no es cuantificable, el descenso puede ser indicador de un aumento de las vulnerabilidades que no se hacen públicas y, en su lugar, se distribuyen en el mercado negro para un consumo privado y/o malicioso.
-Casi el 80 % de las aplicaciones examinadas contenían vulnerabilidades procedentes de fuera de su código fuente. Incluso el software desarrollado por expertos puede ser peligrosamente vulnerable si está mal configurado.
-Las diversas definiciones inconsistentes de malware complican el análisis de riesgos. En un examen de más de 500.000 aplicaciones móviles para Android, HP encontró importantes discrepancias entre cómo los motores de antivirus y los proveedores de plataformas móviles clasifican el malware.
-El 46% de las aplicaciones móviles estudiadas emplean la encriptación de manera incorrecta. La investigación de HP demuestra que los desarrolladores móviles, a menudo, no encriptan correctamente a la hora de almacenar datos sensibles en los dispositivos móviles, confiando en logaritmos débiles para hacerlo, o hacen un uso indebido de las capacidades de encriptación más fuertes, rendenrizándolas de manera inefectiva.
-Internet Explorer fue el software más estudiado en 2013 por los investigadores de vulnerabilidades de la Zero Day Initiative (ZDI) de HP, y representó más del 50% de las vulnerabilidades adquiridas por la iniciativa.
-Las vulnerabilidades que permiten eludir el sandbox fueron las más predominantes y perjudiciales para los usuarios de Java. Los adversarios intensificaron de forma significativa su explotación de Java, dirigiéndose simultáneamente a múltiples vulnerabilidades conocidas (y de día-cero) en ataques combinados, con el fin de poner en peligro objetivos de interés específicos.