El informe de tendencias y riesgos X-Force, muestra que las vulnerabilidades de aplicaciones web son la mayor debilidad en la seguridad informática corporativa ante el aumento de ataques de browsers.
IBM anunció los resultados de su informe anual X-Force de Tendencias y Riesgos 2008, en el cual revela que las corporaciones están exponiendo a sus propios clientes, sin saberlo, a los riesgos de la actividad cibercriminal. Con un aumento alarmante de los ataques que se valen de sitios de negocios legítimos como plataforma de despegue para perpetrar sus ataques contra los consumidores, los delincuentes del ciberespacio están poniendo a las empresas literalmente en contra de sus propios clientes en sus constantes esfuerzos por robar datos personales de los consumidores.
El nuevo informe X-Force identifica dos tendencias principales de 2008 que muestran cómo los grupos delictivos hacen blanco en las masas por medio de ataques a sitios web:
En primer lugar, los sitios web se han convertido en el talón de Aquiles de la seguridad informática corporativa. Los atacantes están intensamente enfocados en atacar aplicaciones web para así infectar las máquinas de los usuarios finales. Mientras tanto, las corporaciones utilizan aplicaciones listas para usar que vienen plagadas de vulnerabilidades o, lo que es aún peor, aplicaciones personalizadas que pueden alojar numerosas vulnerabilidades desconocidas e imposibles de emparchar. El año pasado, más de la mitad de todas las vulnerabilidades divulgadas estaban relacionadas con aplicaciones web y más de 74% de ellas no tenía parches de seguridad. Así, las vulnerabilidades de inyección SQL automatizadas y a gran escala que surgieron a principios de 2008 no han cedido en intensidad. A fin de 2008, el volumen de ataques saltó a 30 veces la cantidad de ataques registrados inicialmente en el verano del hemisferio norte.
La segunda gran tendencia identificada por IBM X-Force es que, si bien los atacantes siguen enfocándose en los controles de navegador web y ActiveX como medio para poner en riesgo las máquinas de los usuarios finales, están volcándose a incorporar nuevos tipos de ardides que vinculan películas maliciosas (por ejemplo, Flash) y documentos (por ejemplo, PDFs). En el cuarto trimestre de 2008 solamente, IBM X-Force registró un aumento de más de 50% en la cantidad de URLs maliciosas que alojan tretas con respecto a la estadística de todo el 2007. Incluso los autores de correo basura o spam están recurriendo a sitios web conocidos para ampliar su alcance. La técnica de alojar mensajes spam en blogs populares y sitios relacionados con noticias creció más del doble en el segundo semestre del año.
Otra importante observación del informe X-Force es que un grupo de las vulnerabilidades críticas reveladas en 2008 no fueron ampliamente explotadas en el campo. IBM X-Force cree que la industria de seguridad puede priorizar mejor su respuesta a las divulgaciones de vulnerabilidad. Actualmente, esa priorización se realiza a través del estándar de industria Common Vulnerability Scoring System (sistema de puntaje de vulnerabilidades comunes o CVSS). Este sistema se enfoca en los aspectos técnicos de la vulnerabilidad, tales como su gravedad y la facilidad de explotación. Si bien estos factores son de suma importancia, no captan plenamente el principal motivador del delito de computación, que es la oportunidad económica.
“CVSS proporciona una base esencial que la industria de seguridad necesita desesperadamente para medir las amenazas a la seguridad,» señaló Fuentes. “Pero también observamos que los ciberdelincuentes están motivados por el dinero, y debemos considerar plenamente el balance que hacen los atacantes en cuanto a la oportunidad económica de una vulnerabilidad en comparación con los costos de explotarla. Si la industria de seguridad mejora la comprensión de las motivaciones de los criminales de computación, puede determinar mejor cuáles parches de emergencia son más necesarios frente a amenazas inmediatas.
También podemos tener más precisión en determinar cuándo una vulnerabilidad divulgada tardará mucho en ser ampliamente explotada y cuándo es improbable que esa explotación se manifieste. Este análisis podría redundar en un uso más eficiente del tiempo y los recursos», comentó Guillermo Fuentes, gerente de Internet Security Systems en IBM México.