Una vulnerabilidad de seguridad cibernética generalmente se refiere a una falla en el código de software que permite que un atacante acceda a una red o sistema. Las vulnerabilidades dejan a las empresas ya las personas expuestas a una variedad de amenazas, incluido el malware y la usurpación de cuentas.
Existe una amplia gama de posibles vulnerabilidades y posibles consecuencias de sus hazañas. Un ejemplo bien conocido de una vulnerabilidad de ciberseguridad es la debilidad de Windows CVE-2017-0144 que abrió la puerta a los ataques del ransomware WannaCry a través del exploit EternalBlue. Otro caso infame es el botnet Mirai que se propagó a través de la explotación de múltiples fallas.
Una vez que se descubren las vulnerabilidades, los desarrolladores generalmente trabajan rápido para lanzar una actualización o «parche». Idealmente, todos los usuarios instalarán la actualización antes de que los atacantes tengan la oportunidad de aprovechar la vulnerabilidad. Pero la realidad es que, en muchos casos, los atacantes atacan rápidamente para aprovechar una debilidad conocida. Además, incluso cuando se lanza un parche, la implementación lenta de las actualizaciones significa que los atacantes pueden explotar las vulnerabilidades años después de haberlas descubierto.
En esta publicación reunimos las principales estadísticas sobre vulnerabilidades de seguridad cibernética a tener en cuenta en 2022.
Indice
Principales estadísticas sobre vulnerabilidades de ciberseguridad
Aquí tienes más de 25 estadísticas y hechos sobre vulnerabilidades de seguridad cibernética en lo que llevamos de año.
Se publicaron más de 8000 vulnerabilidades en el primer trimestre de 2022
La base de datos de NVD contiene 8051 vulnerabilidades publicadas en el primer trimestre de 2022. Esto representa un aumento de aproximadamente el 25 % con respecto al mismo período del año anterior. Si estos números se mantienen, esto marcaría un ligero aumento año tras año ya que hubo alrededor de 22,000 publicados en 2021.
La mitad de las vulnerabilidades de las aplicaciones web internas se considera de alto riesgo
El informe estadístico de vulnerabilidades de Edgescan de 2022 analizó la gravedad de las vulnerabilidades de las aplicaciones web. Encontró que casi una de cada diez vulnerabilidades en las aplicaciones orientadas a Internet se considera de riesgo alto o crítico. Esto aumentó al 15 por ciento si el objetivo normalmente procesaba pagos en línea.
Las organizaciones con más de 100 empleados ven más vulnerabilidades de riesgo alto o crítico
El informe de Edgescan desglosó la gravedad de las vulnerabilidades según el tamaño de la empresa. Las empresas más pequeñas con 100 empleados o menos vieron la porción más baja de vulnerabilidades de riesgo medio, alto o crítico (cinco por ciento en total). Las empresas con más de 10000 empleados ven la mayor parte de las vulnerabilidades de riesgo medio y crítico, mientras que las organizaciones medianas con entre 101 y 1000 empleados ven la mayor parte de las vulnerabilidades de alto riesgo.
El tiempo medio de remediación (MTTR) es de alrededor de 58 días
Según Edgescan, el tiempo promedio necesario para remediar las vulnerabilidades relacionadas con Internet fue de 57,5 días. Esa es una ligera mejora con respecto al año anterior, cuando el MTTR fue de 60,3 días.
Sin embargo, esto varía de una industria a otra. Las administraciones públicas, por ejemplo, tienen un MTTR de 92 días, mientras que las organizaciones sanitarias tienen un MTTR de solo 44 días. Los datos muestran que cuanto más pequeña es una organización afectada, más rápidamente tiende a recuperarse.
La vulnerabilidad más severa de 2021 fue CVE-2021-44228
CVE-2021-44228 es una vulnerabilidad que afecta a Log4j, una biblioteca de registro de código abierto utilizada en millas de proyectos, aplicaciones y sitios web. Esta vulnerabilidad permitió a los atacantes ejecutar código arbitrario en cualquier sistema afectado y, aunque se corrigió rápidamente, es muy probable que una gran cantidad de aplicaciones vulnerables permanezcan en línea.
La vulnerabilidad más antigua descubierta en 2020 tenía 21 años
Curiosamente, Edgescan encontró una vulnerabilidad bastante antigua que existe desde 1999: CVE-1999-0517. Esto afecta al Protocolo simple de administración de redes versión 2 (SNMPv2), que se usa para administrar dispositivos y computadoras en una red IP. La vulnerabilidad puede permitir el acceso SNMP no autorizado a través de una cadena de comunidad adivinada. Tiene una puntuación base del Sistema de puntuación de vulnerabilidad común (CVSS) de 7,5, lo que la convierte en una debilidad de gravedad alta.
Las primeras vulnerabilidades críticas en una infraestructura importante en la nube se encontraron en enero de 2020
A principios de 2020, los investigadores de Check Point informaron vulnerabilidades críticas en la infraestructura de Microsoft Azure. Según el artículo que detalla la vulnerabilidad, los investigadores «querían refutar la suposición de que las infraestructuras en la nube son seguras». Las vulnerabilidades recibieron la puntuación CVSS más alta de 10,0. La clasificación de gravedad cualitativa de una puntuación de 9,0 a 10,0 es «crítica».
Estas vulnerabilidades permiten a los actores malintencionados utilizar las aplicaciones y los datos de los usuarios que utilizan el mismo hardware.
Más del 11% de las vulnerabilidades tienen una puntuación crítica
Según CVE Details , de aproximadamente 176.000 vulnerabilidades, más de 19.000 tienen una puntuación CVSS de 9,0 a 10,0. Dicho esto, la gran mayoría (77,5 por ciento) tiene una puntuación entre 4,0 y 8,0.
El 75 % de los ataques en 2021 utilizaron vulnerabilidades que tenían al menos dos años de antigüedad
Según el Informe de seguridad cibernética de Check Point, tres de cada cuatro ataques aprovecharon fallas que se información en 2017 o antes. Y el 18 por ciento de los ataques utilizaron vulnerabilidades que se revelaron en 2013 o antes, lo que hace que tendrán al menos siete años.
Los ataques de vulnerabilidad de acceso remoto de Citrix aumentaron un 2066 % en 2021
Según Check Point, la cantidad de ataques que explotan vulnerabilidades en productos de acceso remoto aumentaron sustancialmente en 2021. La cantidad de ataques de Citrix aumentó más de 20 veces, mientras que los ataques de Cisco, VPN y RDP aumentaron en un 41 %, 610 % y 85 %. respectivamente.
El 31% de las empresas detectan intentos de explotar vulnerabilidades de software
Un informe nos dice que casi un tercio de las amenazas detectadas implican intentos de explotación de software. Según el informe:
Más de la mitad de los intentos involucraron la vulnerabilidad CVE2017-0144 en la implementación del protocolo SMBv1. Esta es la misma vulnerabilidad aprovechada por el infame ransomware WannaCry, y para el cual se lanzó un parche en 2017. Pero los atacantes la han mantenido en sus arsenales mientras buscan computadoras que no se han actualizado en los últimos 3,5 años.
Las vulnerabilidades de alto riesgo están presentes en los perímetros de red del 84% de las empresas.
Otro estudio descubrió la alarmante estadística de que el 84 por ciento de las empresas tienen vulnerabilidades de alto riesgo en sus redes externas. También descubrió que más de la mitad de estos podrían eliminarse simplemente instalando actualizaciones.
Más de una de cada cuatro empresas sigue siendo vulnerable a WannaCry
También se descubrió que el 26 por ciento de las empresas siguen siendo vulnerables al ransomware WannaCry, ya que aún no han reparado la vulnerabilidad que explota. Eso es particularmente preocupante dado que los ataques de WannaCry aumentarán.
XSS sigue siendo una gran amenaza
La investigación de Hacker One encontró que las debilidades de secuencias de comandos entre sitios (XSS) fueron el tipo de vulnerabilidad más común en 2021, y representaron el 23 por ciento de todos los informes. Los tres principales tipos de debilidades se completaron con la divulgación de información (18 por ciento) y el control de acceso inadecuado (10 por ciento).
La industria más rentable para los cazarrecompensas es el software de computadora
Cuando se trata de qué industrias ganan más para los cazarrecompensas, las debilidades del software de computadora son las que más ganan por una cantidad bastante significativa. El pago de recompensa promedio por una vulnerabilidad crítica es de alrededor de $ 5,754. La industria electrónica y de semiconductores paga $4633 por vulnerabilidad crítica y el campo de criptomonedas y blockchain paga alrededor de $4481.
El 80% de los exploits públicos se publican antes de que se publiquen los CVE
Un informe publicado por Palo Alto Networks en agosto de 2020 encontró que el 80 por ciento de los exploits estudiados se hicieron públicos antes de que se publicaran sus CVE relacionados. Quizás lo más preocupante es el tiempo que transcurre entre las fechas de publicación. En promedio, los exploits se publican 23 días antes de sus respectivos CVE.
Como resultado, existe una buena posibilidad de que ya haya un exploit disponible cuando se publique oficialmente el CVE, lo que ilustra una forma más en la que los atacantes suelen estar un paso por delante de los profesionales de la seguridad.
Se han detectado más de 28.500 vulnerabilidades de WordPress en los últimos 8 años
La cantidad de nuevas vulnerabilidades ha detectado constantemente desde que WPScan comenzó a rastrear por primera vez en 2014.
En el cuarto trimestre de 2021, los exploits de día cero estuvieron involucrados en el 66 % del malware
El Informe de seguridad de Internet de WatchGuard: cuarto trimestre de 2021 nos dice que, de octubre a diciembre de 2021, el malware de día cero representó dos tercios de todas las amenazas. Esta fue una disminución marginal con respecto al trimestre anterior.
Menor número de vulnerabilidades específicas de proveedores en 2021
Según el Informe de fin de año de 2021 de RiskBased Security, IBM fue el proveedor con más vulnerabilidades confirmadas este año. Sin embargo, vale la pena señalar que la mayoría de los proveedores en realidad tienen menos vulnerabilidades que el año pasado. Las excepciones son el proyecto Software in the Public Interest, Inc y Fedora, que experimentó un pequeño aumento.
Más del 75 por ciento de las aplicaciones tienen al menos una falla
El Informe sobre el estado de la seguridad del software de Veracode publicado en octubre de 2020 encontró que más de las tres cuartas partes (75,2 por ciento) de las aplicaciones tienen fallas de seguridad. Dicho esto, se considera que solo el 24 por ciento de ellas tienen fallas de alta gravedad.
Las fallas de fuga de información son las más comunes
Veracode también nos dice que los tipos de fallas más comunes son la fuga de información, la inyección de CRLF (donde un atacante inyecta un código inesperado), los problemas criptográficos, la calidad del código y la administración de credenciales.
Una de cada cuatro fallas sigue abierta después de 18 meses
Un hallazgo bastante alarmante del informe de 2021 de Veracode es que después de un año y medio, alrededor del 27 por ciento de las fallas aún están abiertas.
El escaneo frecuente se correlaciona con un tiempo de remediación mucho más rápido
Veracode descubrió que las aplicaciones que escaneaban en busca de fallas experimentaban tiempos promedio de remediación mucho más rápidos. Aquellos con más de 260 escaneos por día remediaron el 50 por ciento de las fallas en 62 días. Ese tiempo se endurecerá a 217 días para las aplicaciones que ejecutan solo de 1 a 12 escaneos por día.
Google ha pagado 35 millones de dólares en recompensas por errores desde 2010
El Programa de recompensas por vulnerabilidades de Google (comúnmente conocido como programa de recompensas por errores) recompensa a los investigadores por descubrir y reportar errores en el software de la compañía. Ha pagado 35 millones de dólares desde 2010. 696 investigadores de 62 países recibieron recompensas en 2021, y la recompensa individual más grande ascendió a $ 157,000.
Microsoft pagó casi $14 millones en recompensas por errores en un año
De manera similar, Microsoft recompensa a los investigadores que detectan y reportan errores en su software. En una revisión de julio de 2021 , la empresa informó que había pagado 13,6 millones de dólares en recompensas por errores en los últimos 12 meses. Esto es más del doble de la cantidad que pagó Google en 2019. En total, 340 investigadores recibieron el premio más grande de $200,000.
Facebook (ahora Meta) ha otorgado casi 7000 recompensas desde 2011
Una publicación de blog de diciembre de 2021 de Facebook (ahora conocida como Meta) nos dice que desde que comenzó su programa de recompensas por errores en 2011, la empresa ha recibido más de 150 000 informes y ha otorgado 7800 recompensas. En el momento del informe, las recompensas de 2021 ascendían a 2,3 millones de dólares. Se recibieron alrededor de 25.000 informes y se otorgaron más de 800 recompensas. Su recompensa más alta hasta la fecha es de 80.000 dólares.
Las vulnerabilidades sin parches estuvieron involucradas en el 60% de las violaciones de datos
Según una encuesta de vulnerabilidad del Ponemon Institute de 2019:
“El 60% de las víctimas de infracciones dijeron que fueron infringidas debido a una vulnerabilidad conocida sin parches en la que no se aplicó el parche”. Sin embargo, una porción aún mayor (62 por ciento) afirmó que no estaban al tanto de las vulnerabilidades en sus organizaciones antes de una violación.
Más del 90 % del malware llega a través del correo electrónico
Cuando se trata de ataques de malware, el correo electrónico sigue siendo el canal de distribución favorito de los piratas informáticos. El 94% del malware se envía por correo electrónico. Los piratas informáticos utilizan este enfoque en las estafas de phishing para que las personas instalen malware en las redes. Casi la mitad de los servidores que se utilizan para el phishing residen en los Estados Unidos.
1 de cada 36 teléfonos inteligentes Android tiene instaladas aplicaciones peligrosas
Nos encanta instalar nuevas aplicaciones en nuestros teléfonos móviles para ayudar a que nuestra vida sea más cómoda, productiva y divertida. Sin embargo, muchas aplicaciones que aparecen en Google Play Store no son seguras . El uso de estas aplicaciones puede conducir a la devastación financiera y al robo de identidad y datos.
La cantidad de malware (software malicioso) instalado en las plataformas Android ha advertido en un 400 por ciento . Parte del problema es el hecho de que las personas están mucho más relajadas cuando se trata de sus teléfonos inteligentes que de su computadora. Mientras que el 72 por ciento de los usuarios tiene un software antivirus gratuito en su computadora portátil, solo el 50 por ciento tiene algún tipo de protección en su teléfono.
Ten en cuenta que esto es peligroso porque los dispositivos móviles ahora son asistentes personales de mano. Se utiliza para rastrear todo, desde información relacionada con el trabajo hasta familiares y amigos, información de salud y finanzas. Son un dispositivo único para todos y si algún teléfono es víctima de un delito cibernético, el pirata informático puede acceder a todos esos datos.
Casi la mitad de todos los ciberataques se dirigen a las pequeñas empresas
Si bien tendemos a centrarnos en los ataques cibernéticos a empresas grandes y agencias gubernamentales de alto perfil, se descubrió que las pequeñas empresas fueron el objetivo del 43 % de los ataques cibernéticos recientes. Los piratas informáticos descubren que muchas pequeñas empresas no han invertido adecuadamente en seguridad cibernética y quieren explotar sus vulnerabilidades para obtener ganancias financieras o hacer declaraciones políticas.
Las violaciones de datos expusieron 36 000 millones de registros a finales del tercer trimestre de 2020
Probablemente sabías que los piratas informáticos no se tomarían un descanso de sus delitos solo por una pandemia mundial. Sin embargo, pocos esperaban que 2020 fuera el peor año registrado en violaciones de datos. Los ciberdelincuentes se están aprovechando del pánico pandémico global para inundar las bandejas de entrada con estafas de phishing relacionadas con COVID que persiguen los fondos de ayuda del gobierno y la demanda de máscaras, desinfectantes para manos y medicamentos antivirales. Algunos actores del estado-nación también se dirigieron a compañías farmacéuticas y universidades en un intento por robar datos de investigación sobre COVID.
Las infracciones de ciberseguridad reducen el valor de las empresas públicas en un 8,6%
Las grandes empresas que experimentan brechas de seguridad deben gastar dinero para actualizar la capacitación, reparar las vulnerabilidades de la red y controlar los daños con el público. Además de estos costes inherentes, parece que la bolsa también castiga a estas empresas con precios de acciones reducidos.
El 43 % de las pequeñas y medianas empresas (PYMES) aún no han adoptado planes de evaluación y mitigación de ciberseguridad
Los expertos en seguridad están haciendo sonar las alarmas para que las pymes refuercen sus medidas de seguridad de datos. Si bien las estadísticas señalan las vulnerabilidades de seguridad de la red de las PYMES, las advertencias parecen estar cayendo en oídos sordos. Un estudio reciente muestra que un tercio de las PYMES utilizan algún tipo de herramientas de ciberseguridad gratuitas para consumidores para proteger sus sistemas. Uno de cada cinco no utiliza ninguna herramienta. Casi la mitad de las PYMES no tienen planes de defensa establecidos.
El 20% de las pequeñas empresas permitieron el trabajo remoto sin tener un plan de ciberseguridad
El teletrabajo trae muchos beneficios a empresas y trabajadores. Sin embargo, se sabe que aumenta los riesgos de seguridad cibernética cuando los protocolos y políticas adecuadas no se fundamentan ni se dan a conocer a los trabajadores remotos. Sucumbiendo a la presión de los mandatos de distanciamiento social, muchas pequeñas empresas envían a sus empleados a casa a trabajar sin estos planes implementados.
El 32% de las empresas paga un rescate para recuperar sus datos
El 37 % de las empresas, más de un tercio de las 5400 encuestadas en el informe «El estado del ransomware 2021» de Sophos, se vio afectada por el ransomware en 2021. El 32 % de las empresas pagó el rescate para recuperar sus datos, lo que representa un aumento del 26 % en comparación con 2020. El rescate promedio que pagaron las empresas fue de US $ 170,404.
Los ataques de ransomware son comunes y la lección aquí es que debes esperar ser el objetivo de un ataque de ransomware, no se trata de si, ¡sino de cuándo! Recuerda hacer copias de seguridad. La copia de seguridad de tus datos es el método número uno para recuperar esos datos después de un ataque.
Se estima que la industria de la ciberseguridad tendrá un valor de más de $ 400 mil millones para 2027
Se estimó que el mercado de la ciberseguridad valdría $ 176.5 mil millones en 2020. Para 2027, se prevé que alcance la asombrosa cifra de 403.000 millones de dólares con una CAGR del 12,5 %. A medida que el mundo depende más de la tecnología y los activos digitales, la necesidad de proteger las plataformas informáticas y los datos se vuelve más importante. Esta es una buena noticia para la industria de la seguridad de la información, así como para los buscadores de empleo con mentalidad tecnológica.
La industria de la ciberseguridad tiene una tasa de desempleo del 0%
El futuro de la ciberseguridad se ve brillante. Los profesionales de la ciberseguridad pueden esperar una tasa de desempleo del 0 % y salarios altos en los próximos años, ya que se planifica, ejecuta y propaga un número cada vez mayor de ataques cibernéticos con poca o ninguna resistencia por parte de los equipos de seguridad debido a la falta de trabajadores calificados.
El Informe Oficial Anual de Empleos en Ciberseguridad 2019/2020 predice que habrá 3,5 millones de puestos de trabajo sin cubrir en todo el mundo para 2022, lo que significa que la profesión obtenida una tasa de desempleo del 0% este año para aquellos que se han dedicado profesionalmente a ella.