Las aplicaciones se convierten en el principal objetivo de los hackers
Según el informe publicado por el Instituto SANS sobre los 20 principales fallos de seguridad, los ciberdelincuentes están cambiando su objetivo de ataque: antes eran los sistemas operativos y los servidores web; ahora son las aplicaciones, todavía poco preparadas para estos ataques.
http://www.sans.org/top20/Los ciberdelincuentes están variando el objetivo de sus ataques hacia aplicaciones como el software de backup o los navegadores web en lugar de los sistemas operativos sobre los que se ejecutan, según un informe publicado por el prestigioso Instituto SANS sobre las principales vulnerabilidades de Internet en 2005.
Los hackers se centran ahora en los programas de backup y recuperación, así como en los “antivirus y herramientas de seguridad que muchas empresas creen que les mantienen seguros”, afirma el informe, en el que se recogen los 20 mayores fallos de seguridad de Internet. Los ciberdelincuentes se dedican ahora a encontrar y explotar las vulnerabilidades de los programas, lo que representa un gran cambio respecto a años anteriores, cuando Windows y los servidores de e-mail y web eran los objetivos preferidos. Esto supone cinco o seis años de retraso en seguridad de Internet, porque aunque los sistemas operativos y los objetivos tradicionales de los hackers han evolucionado con actualizaciones automáticas para solucionar rápidamente los problemas de seguridad, muchas otras aplicaciones que ahora son el objetivo de los delincuentes no tienen estas capacidades.
Software popular en riesgo
Además de los agujeros en los programas de seguridad y backup, las vulnerabilidades críticas en los programas de mensajería instantánea, navegadores web, aplicaciones de compartición de archivos y reproductores multimedia se encuentran en el Top 20 del informe del Instituto SANS.Alrededor del 60% de las nuevas vulnerabilidades afectan ahora a aplicaciones cliente como los navegadores web y los reproductores multimedia, y esas vulnerabilidades están atrayendo una atención contraproducente. Según SANS, tras hacerse público un agujero de seguridad en Symantec Veritas BackupExec se registraron 500.000 incidencias en cuestión de días, frente a las 50.000 que se habían producido antes de que se anunciase el fallo. Y lo mismo le ocurrió a Microsoft Office, Internet Explorer, Firefox y AOL Instant Messenger, con sus fallos de seguridad, o a RealPlayer e iTunes. Además, según un informe previo de The Yankee Group, el número de fallos registrados en antivirus y programas de seguridad está creciendo a una velocidad mucho mayor que los de Windows.
Oportunidades para los delincuentes
Las aplicaciones son un objetivo cada vez más atractivo porque los sistemas operativos y servicios Internet se han vuelto más flexibles tras años de ataques continuos. Muchos programas, por otra parte, carecen de funciones de actualización automática. El tiempo que transcurre entre el anuncio de una vulnerabilidad y el momento en que el administrador o el usuario doméstico actualizan manualmente el software se convierte en una oportunidad de oro para los hackers. La conciencia de que existen agujeros críticos de seguridad en los dispositivos de red que transportan el tráfico de Internet representa el segundo gran cambio en el Top 20, según el informe. Además, los hackers se dedican a explotar los agujeros de seguridad a cambio de dinero, con lo que puede llegar el caso de que los exploits caigan en manos de terroristas interesados en amenazar la infraestructura de un país. Esta amenaza crece al tiempo que los países se vuelven más dependientes de las grandes redes de comunicación.La naturaleza pública de Internet, una de sus principales bazas, también puede contribuir a su vulnerabilidad. Como las tecnologías que potencian la Red son de conocimiento público, cualquiera puede buscar fallos en ellas. A largo plazo, esto puede dar más problemas que resolver. Pero a corto plazo, antes de que esté disponible un parche para un programa puede que alguien se haya aprovechado de él.
http://www.sans.org/top20/
No hay comentarios:
Publicar un comentario