Las vulnerabilidades son uno de los elementos que se identifican con frecuencia en los incidentes de seguridad y, en conjunto con otras amenazas como los exploits o malware, se convierten en un riesgo latente. Durante 2017 las vulnerabilidades reportadas han alcanzado su máximo histórico, sobrepasando por mucho los registros de años anteriores; incluso las vulnerabilidades identificadas como críticas, también llegaron a su punto máximo en el año que terminó.

Las vulnerabilidades reportadas aumentaron en un año

Durante 2017, las vulnerabilidades han sobrepasado por mucho los registros de años previos. De acuerdo con CVE Details, en 2017 se han reportado más de 14.700 vulnerabilidades, contra las 6447 de 2016. El crecimiento se ha más que duplicado respecto a los reportes de 2016, con un aumento por encima del 120% de un año a otro.

durante 2017 se han reportado más de 14.700 vulnerabilidades

Es importante destacar que incluso el crecimiento podría ser mayor, ya que dentro de estos registros no son consideradas las vulnerabilidades de día cero, mismas que son aprovechadas in the wild, sin el conocimiento de los fabricantes o de los usuarios.

 

Viendo los resultados de estos registros, vale destacar también que, en promedio, durante 2017 se reportaron 40 vulnerabilidades a diario, contra el promedio de 17 vulnerabilidades registradas por día durante 2016.

Las vulnerabilidades altas y críticas también en crecimiento

La severidad de las vulnerabilidades se determina a partir de distintos factores, como el impacto sobre la confidencialidad, la integridad o la disponibilidad de la información así como también se considera el vector de ataque utilizado, la complejidad del ataque, los privilegios requeridos o la interacción con el usuario. Para ello se requiere un sistema que permita el cálculo de las afectaciones negativas.

40 vulnerabilidades en promedio reportadas a diario en 2017

Common Vulnerability Score System (CVSS) es un sistema de puntaje diseñado para proveer un método abierto y estándar para estimar el impacto de vulnerabilidades, por lo que se utiliza para cuantificar la severidad que pueden representar. En la actualidad se emplean dos versiones de este sistema CVSS v2.0 y CVSS v3.0.

En ambos casos, el sistema de puntaje se conforma de tres grupos de métricas utilizadas para el cálculo de un puntaje. El primer grupo, denominado base, busca representar las cualidades intrínsecas de la vulnerabilidad, es decir, aquellas que son inherentes a ésta.

El segundo grupo, conocido como temporal, refleja las características que cambian con el tiempo. Mientras que el grupo de métricas de entorno considera las características de una vulnerabilidad que son únicas para el contexto del usuario que lleva a cabo la evaluación.

Luego de asignar valores a las métricas base, la fórmula puede tener como resultado una puntuación que oscila entre 0.0 y 10.0, y que representa la severidad de la vulnerabilidad en cuestión. En CVSS v2.0 se han considerado 3 categorías: Bajo cuando el puntaje oscila entre 0.0 y 3.9; Medio cuando el puntaje obtenido fluctúa entre 4.0 y 6.9; y Alto cuando el resultado de la evaluación pertenece al rango 7.0 y 10.0.

Para CVSS v3.0, existen 5 categorías Nulo (0.0), Bajo (0.1-3.9), Medio (4.0-6.9), Alto (7.0-8.9) y Crítico (9.0-10.0).

A partir de la clasificación de severidad, cabe destacar que en 2017 el crecimiento de las vulnerabilidades consideradas como altas en CVSS v2.0 y críticas en CVSS 3.0, también ha aumentado considerablemente, de acuerdo con National Vulnerability Database (NVD).

Las vulnerabilidades consideradas como críticas en CVSS v3.0 han tenido un crecimiento importante en los últimos 5 años, pasando de 0 (cero) registros en 2013 a 2070 en los últimos días del año, prácticamente duplicándose respecto a 2016.

En cuanto a las vulnerabilidades consideradas como altas en la versión CVSS v2.0, el crecimiento también ha sido considerable, pasando de 2470 en 2016 a más de 4100 en los últimos días de 2017. El incremento ha sido superior al 60%.

Los datos anteriores muestran un importante crecimiento en el número de vulnerabilidades reportadas en los últimos meses, con el incremento adjunto de aquellas consideradas como altas y críticas. Por ello, se puede afirmar que 2017 se ha convertido en el año de las vulnerabilidades.

Créditos Imagen: TheDigitalArtist/Pixabay.com