HP ha publicado el Informe de Ciber Riesgos 2013, que identifica las principales vulnerabilidades de la seguridad empresarial y proporciona un análisis del creciente panorama de amenazas.

Desarrollado por HP Security Research, este estudio anual ofrece datos en profundidad y un análisis en torno a los problemas de seguridad más destacados que afectan a las compañías. El informe de este año detalla los factores que más contribuyeron al incremento de los ataques en 2013, tales como el aumento de la confianza hacia los dispositivos móviles, la proliferación de software inseguro o el uso creciente de Java. Además, esboza una serie de recomendaciones para las organizaciones con el objetivo de minimizar los riesgos de seguridad y el impacto global de los ataques.

"Los adversarios de hoy son más hábiles que nunca, y colaboran de manera más eficaz para aprovechar las vulnerabilidades a través de una superficie de ataque cada vez mayor", indicó Jacob West, Enterprise Security Products, HP. "La industria debe unirse para compartir proactivamente inteligencia y tácticas de seguridad, con el fin de interrumpir las actividades maliciosas impulsadas por el mercado clandestino”.

Aspectos destacados y principales conclusiones del informe

  • Al mismo tiempo que la investigación de vulnerabilidades siguió adquiriendo relevancia, el número total de vulnerabilidades divulgadas públicamente disminuyó en un 6% con respecto al año anterior, y el número de vulnerabilidades graves lo hizo, por cuarto año consecutivo, en un 9%. Aunque no es cuantificable, el descenso puede ser indicador de un aumento de las vulnerabilidades que no se hacen públicas y, en su lugar, se distribuyen en el mercado negro para un consumo privado y/o malicioso.
  • Casi el 80 %(2) de las aplicaciones examinadas contenían vulnerabilidades procedentes de fuera de su código fuente. Incluso el software desarrollado por expertos puede ser peligrosamente vulnerable si está mal configurado.
  • Las diversas definiciones inconsistentes de "malware" complican el análisis de riesgos. En un examen de más de 500.000 aplicaciones móviles para Android, HP encontró importantes discrepancias entre cómo los motores de antivirus y los proveedores de plataformas móviles clasifican el malware.(3)
  •  El 46%(2) de las aplicaciones móviles estudiadas emplean la encriptación de manera incorrecta. La investigación de HP demuestra que los desarrolladores móviles, a menudo, no encriptan correctamente a la hora de almacenar datos sensibles en los dispositivos móviles, confiando en logaritmos débiles para hacerlo, o hacen un uso indebido de las capacidades de encriptación más fuertes, rendenrizándolas de manera inefectiva.
  • Internet Explorer fue el software más estudiado en 2013 por los investigadores de vulnerabilidades de la Zero Day Initiative (ZDI) de HP, y representó más del 50%(4) de las vulnerabilidades adquiridas por la iniciativa.
  • Las vulnerabilidades que permiten eludir el sandbox fueron las más predominantes y perjudiciales para los usuarios de Java(2). Los adversarios intensificaron de forma significativa su explotación de Java, dirigiéndose simultáneamente a múltiples vulnerabilidades conocidas (y de día-cero) en ataques combinados, con el fin de poner en peligro objetivos de interés específicos.

Recomendaciones clave

  • En el mundo actual, con el incremento de los ataques cibernéticos y la creciente demanda de seguridad del software, es imprescindible eliminar las oportunidades que propician la revelación inintencionada de información que pueda ser beneficiosa para los atacantes.
  • Las organizaciones y los desarrolladores deben ser conscientes por igual de las trampas de seguridad en los marcos y otros códigos de terceros, en particular para las plataformas híbridas de desarrollo móvil. Se deben de promulgar directrices de seguridad consistentes que permitan proteger la integridad de las aplicaciones y la privacidad de los usuarios.
  • Aunque es imposible eliminar la superficie de ataque sin sacrificar la funcionalidad, una combinación adecuada de personas, procesos y tecnología permite a las organizaciones minimizar de manera efectiva las vulnerabilidades que la rodean y reducir el riesgo general.
  • La colaboración y el intercambio de inteligencia sobre amenazas entre la industria de seguridad ayuda a adquirir conocimiento acerca de las tácticas del adversario, permitiendo una defensa más proactiva, protección reforzada ofrecida en soluciones de seguridad, y un ambiente global más seguro.

Metodología

HP publica su Informe de Ciber Riesgos desde 2009. La investigación en Seguridad de HP aprovecha una serie de fuentes internas y externas para el desarrollo del informe, incluida la Iniciativa HP Zero Day, HP Fortify en las evaluaciones de seguridad bajo demanda, Investigación de Seguridad del Software HP Fortify, ReversingLabs, y la Base de Datos de Vulnerabilidad Nacional. La metodología completa se detalla en el informe.

Información adicional sobre HP Enterprise Security Products disponible en www.hpenterprisesecurity.com.

HP presentó las últimas tendencias en seguridad empresarial en la RSA Conference 2014, celebrada durante el 24 y 28 de febrero en San Francisco. Información adicional sobre la conferencia disponible aquí.

HP Discover, el principal evento para clientes de HP en América, se llevará a cabo del 10 al 12 de junio en Las Vegas.