#CyberSecurityReport20H1: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos

Área de Innovación y Laboratorio de ElevenPaths    20 julio, 2020
#CyberSecurityReport20H1: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la primera mitad de 2020. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva.

El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses (desde la seguridad en móviles hasta el ciberriesgo; desde las noticias más relevantes hasta las más técnicas y las vulnerabilidades más habituales) tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.

La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes.

#CyberSecurityReport20H1: datos generales

Con respecto a Microsoft, el número total de fallos descubiertos y corregidos es de más de 600 durante el semestre. Entendemos que la mayoría de los fallos no acreditados pueden provenir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor y no ha sido reportada de forma anónima. En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas”, que no es lo mismo que anónimas, se ve reflejada en el siguiente gráfico:

Vulnerabilidades Acreditadas y No Acreditadas desde 2016 a 2020H1

Qihoo es de nuevo la que descubre más fallos, con un total de 237 vulnerabilidades reportadas a Microsoft en lo que llevamos de año, pero con respecto al trimestre anterior, los números cambian sustancialmente. 

Qihoo y ZDI reportan más vulnerabilidades pero Google cae, y mucho. Si bien el semestre pasado ostentaba el quinto puesto, este semestre ha caído al número 14. Microsoft, que era la tercera, cae al sexto puesto. Google pasa de descubrir 35 en el último semestre de 2019 a sólo 5 en esta primera mitad de 2020. Microsoft pasa de 48 a 17.

¿Ha influido la pandemia en los grandes fabricantes? ¿Han dedicado menos tiempo a la investigación de vulnerabilidades? Por el contrario, Qihoo no sólo sigue siendo la primera compañía que encuentra fallos de seguridad en Microsoft, sino que además ha multiplicado sustancialmente su número, de 79 a 237 en este semestre. 

Número total de vulnerabilidades por cada descubridor en el primer semestre de 2020

Sobre todo si la comparamos con el semestre anterior:

Reparto entre los descubridores de las 397 vulnerabilidades en 2019-H2

Vulnerabilidades en móviles

Este semestre cabe destacar las declaraciones de la empresa de adquisición de exploits Zerodium, que informó que suspendía temporalmente la compra de exploits para iOS debido a que estaban recibiendo una gran cantidad. La 13 no ha sido una buena versión para iOS. 

Evolución de las vulnerabilidades en iOS desde 2007 hasta 2020-H1

Alternativamente, los investigadores pueden enviar sus hallazgos al programa de recompensa de seguridad de Apple, abierto al público desde finales de diciembre del año pasado. Las recompensan varían desde los 5.000 al millón de dólares. 

En total, en iPhone se han parcheado 60 CVEs en el pasado semestre, de los cuales 5 poseen la categoría de críticos y permiten la ejecución de código arbitrario. A pesar de representar un descenso en las cifras (a falta de la segunda mitad de año), 2020 no está siendo un buen año para la seguridad de iOS.

Por otro lado, el número de vulnerabilidades no deja lugar a dudas: Android es una plataforma bastante popular para los cazadores de vulnerabilidades. Sin embargo, no por ello ha de considerarse insegura, simplemente posee más tracción o interés por diferentes motivaciones, entre ellas el programa de recompensas y el mercadeo de exploits

Con respecto a los datos de BitSight, en España domina un malware muy diferente al Europeo. Firmas de malware como AllSharezDownloader y AndroidBauts aparecen en cabeza mientras que en Europa no son representativos.

Evolución de las 25 familias de malware más virulentas en España desde 2019-H2 hasta 2020-H1

Otras conclusiones

  • En el ámbito de la seguridad para móviles, el alto número de exploits para iOS 13, la presentación de iOS 14 y la fragmentación de Android han marcado el primer semestre de este año 2020. 
  • Se ha podido observar un descenso claro en las cifras de vulnerabilidades (sobre todo en las de nivel 10) pero los tres fabricantes con más CVE asociados siguen siendo los mismos. Respecto a las debilidades, entran con fuerza aquellas que en las que es clave una configuración de seguridad insuficiente o nula en la gestión de permisos de usuario, permitiendo una escalada de permisos gracias a dicha configuración. 
  • Los grupos APT, por su parte, también han introducido el factor “SARS-CoV-2″ en sus operaciones. Unos para sacar provecho, y otros en maniobras de ciberespionaje para descubrir “la verdad” sobre el virus. 
  • En un semestre donde, todos los meses, Microsoft ha rebasado las 100 vulnerabilidades solucionadas, Qihoo ha encontrado 237, muchas más que el trimestre anterior y desplazando sustancialmente a la propia Microsoft y Google, que eran las otras compañías que más fallos encontraban en el software de esta compañía. 
  • De los datos de Bitsight se puede observar que el inquebrantable Conficker vuelve a recuperar el “trono” de las amenazas más virulentas, mientras que también observamos un dato ciertamente preocupante: en la mayoría de los sectores se aprecia un aumento sustancial de tiempo requerido para neutralizar una amenaza. 

El informe completo puede consultarse aquí:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *