#CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos

Área de Innovación y Laboratorio de Telefónica Tech    19 enero, 2021
#CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos

Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la segunda mitad de 2020. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva.

El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.

La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes.

#CyberSecurityReport20H2: datos generales

Con respecto a Microsoft, el número total de fallos descubiertos y corregidos es de más de 600 durante el semestre, igual que el anterior. Entendemos que la mayoría de los fallos no acreditados pueden provenir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor y no ha sido reportada de forma anónima. En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas”, que no es lo mismo que anónimas, se ve reflejada en el siguiente gráfico:

Comparados con el semestre anterior, los datos sobre quién descubre vulnerabilidades en Microsoft resultan muy diferentes. La larga cola de “otros” es la que lidera la lista. Esto quiere decir que son descubiertas por investigadores con menos de 5 fallos acumulados. La iniciativa ZDI, sigue siendo (cada vez más) la fórmula favorita para los investigadores. Se cuela este trimestre Zhiniang Peng como un actor muy relevante con 66 fallos. Llama igualmente la atención que Qihoo, responsable de cientos de fallos descubiertos habitualmente en años anteriores, haya desaparecido por completo este semestre de la lista.

Interesante la comparación con el semestre anterior:

Vulnerabilidades en móviles

El 2020 se ha cerrado con 187 vulnerabilidades parcheadas en el sistema operativo iOS, de las cuales, 37 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema.

En Android, este ha sido el segundo año con más vulnerabilidades declaradas.

Con respecto al informe de transparencia de Apple de este año, se muestran algunos datos interesantes. Por ejemplo, se producen estas peticiones cuando las fuerzas del orden actúan en nombre de clientes que requieren asistencia relacionada con actividad fraudulenta de tarjetas de crédito o tarjetas regalo que se han usado para comprar productos de Apple. En este sentido España es de los países más activos solicitando datos a la compañía.

Con respecto el número de vulnerabilidades por fabricante, Microsoft, Google y Oracle siguen liderando. Si bien este número debe verse bajo la perspectiva de la gravedad, número de productos, etc.

Otras conclusiones

En el ámbito de la seguridad para móviles, el número de vulnerabilidades en iOS sigue su tendencia al alza desde el bajón en 2018. En el marco de Android, 2020 ha sido el segundo año con más vulnerabilidades declaradas, tras el histórico 2017.

Con respecto al semestre pasado, se cuelan en la lista CWE-89 basado en la inyección SQL, y CWE-287 que explica una autenticación pobre. Problemas de hace años que nunca terminan de desaparecer de entre las causas de las vulnerabilidades más graves conocidas. Los primeros puestos de la lista siguen intactos en comparación con el primer semestre.

Los grupos APT, por su parte, no han detenido su actividad. Kimsuky (Aka“Velvet Chollima”) y Fancy Bear, continúan al pie del cañón, mientras que OceanLotus Group han sido desenmascarados por parte de Facebook.

En un semestre donde de nuevo casi todos los meses Microsoft ha rebasado las 100 vulnerabilidades solucionadas, Qihoo esta vez no aparece en la lista de fabricantes que más fallos han encontrado. Sigue siendo ZDI la fórmula favorita para comunicar (y recompensar) los fallos graves.


Puedes acceder al informe completo desde nuestra página web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *