El número de vulnerabilidades crece en 2018 hasta su máximo histórico por segundo año consecutivo

Con el cierre del año es normal ver numerosos resúmenes contando lo que ha acontecido en el mundo de la seguridad informática y ponerse la bata de adivino para tratar de adivinar el futuro mediante predicciones de cara al 2019. Uno de los repasos más interesantes es el que se suele hacer recopilando el número de vulnerabilidades descubiertas a lo largo del año y qué sistemas o aplicaciones se han visto más afectados, tal y como ha hecho nuestra compañera Denise Giusto en WeLiveSecurity recientemente, artículo que vamos a aprovechar para sacar más de una interesante conclusión.

2018, el año con más vulnerabilidades detectadas

Tomando como fuente los datos proporcionados por el sitio web CVE Details, podemos sacar varias conclusiones que ponen en perspectiva el estado de la seguridad de los sistemas operativos y aplicaciones más utilizadas actualmente. Si nos fijamos en el total de vulnerabilidades descubiertas a fecha de la publicación de este artículo (21 de diciembre), veremos que estas han crecido considerablemente por segundo año consecutivo tras unos años de una relativa estabilidad.

Numero total de vulnerabilidades descubiertas en los últimos años – Fuente: CVE Details

Como se observa en la gráfica, tanto 2017 como 2018 han roto la tendencia de los años precedentes y se ha observado un crecimiento muy importante de vulnerabilidades detectadas. El espectacular crecimiento del 228% entre 2016 y 2017 se ha visto continuado en 2018 con un crecimiento de más del 10% con respecto al año anterior.

Este aumento es significativo y representa que cada vez existen más vulnerabilidades, algo lógico si tenemos en cuenta la creciente complejidad de los sistemas operativos y las aplicaciones, pero también que hay más interesados en descubrir estos agujeros de seguridad, ya sea para solucionarlos o aprovecharlos.

De las más de 16216 vulnerabilidades descubiertas hasta el momento en 2018, 745 tiene la máxima criticidad, lo que representa un 4.60% del total. Puede parecer un número pequeño, pero, dependiendo del sistema afectado y del tipo de vulnerabilidad, este porcentaje puede ser bastante importante.

Número de vulnerabilidades vs. Tipo de vulnerabilidades

Cuando se publican resúmenes de este tipo, algunos caen en la tentación de centrarse únicamente en los números totales y no en la criticidad o el tipo de vulnerabilidad descubierta. De esta forma podemos leer titulares como “Linux es mucho más inseguro que Windows porque tiene más vulnerabilidades”, algo que no es del todo cierto. No cabe duda de que Microsoft está esforzándose por hacer de Windows un sistema mucho más seguro que sus predecesores, pero no se puede medir la seguridad de un sistema solamente por el número de vulnerabilidades descubiertas. Veamos, por ejemplo, el siguiente gráfico.

Resumen de vulnerabilidades en productos de varios fabricantes – Fuente:
CVE Details

En él se puede observar que las numerosas revisiones del firmware usado en dispositivos con procesadores Qualcomm acaparan el mayor número de vulnerabilidades descubiertas. No obstante, si nos centramos en los sistemas operativos se observa que las varias distribuciones de GNU/Linux que aparecen en la tabla suman un número mayor de vulnerabilidades que el total de productos de Microsoft.

Si desgranamos estos datos y nos centramos en dos sistemas operativos únicamente se observa que, por ejemplo, Debian ha tenido un total de 866 vulnerabilidades mientras que en Windows 10 se han descubierto 248. Si solo nos fijamos en estos datos podemos estar tentados de decir que Debian es mucho más inseguro que Windows 10, pero hay otros factores a tener en cuenta. Para empezar, tenemos el número de personas que están buscando y reportando agujeros de seguridad.

Número de vulnerabilidades clasificadas por su tipo – Fuente:
CVE Details

El equipo de Microsoft y numerosos investigadores realizan un trabajo constante para solucionar las vulnerabilidades, pero la gran comunidad de usuarios de GNU/Linux también monitoriza constantemente el código fuente de software libre como las diversas distribuciones y aplicaciones utilizadas por millones de personas, lo que permite descubrir un mayor número de errores y solucionarlos, por regla general, de forma rápida.

También es importante ver qué tipo de vulnerabilidades afectan en mayor medida a cada uno de estos sistemas. Por ejemplo, vemos que en Windows 10 predominan las vulnerabilidades que permiten obtener información, la ejecución de código y la obtención de privilegios, mientras que en Debian predominan las denegaciones de servicio, la ejecución de código y de overflow, en ese orden. Dependiendo de cada escenario, un tipo de vulnerabilidad puede tener mayor o menor relevancia, y por eso es importante que no nos quedemos solo con el número total de vulnerabilidades descubiertas.

En lo que respecta a macOS, el número de vulnerabilidades descubiertas en 2018 asciende a 107, quedando lejos del número descubierto en Windows y Linux, y con un descenso con respecto a años anteriores, pero sin olvidar que solo hace falta que exista una única vulnerabilidad grave para comprometer millones de sistemas en todo el mundo.

Por último, Android también ha experimentado un descenso con respecto a 2017, pasando de las 842 a las 522 vulnerabilidades descubiertas en lo que llevamos de año. Una buena noticia, aunque Google aún tiene trabajo que hacer para lograr que la seguridad en sus sistemas Android deje de ser un problema para millones de usuarios, especialmente en lo que a actualizaciones se refiere.

Conclusión

Nunca está de más realizar un repaso como el que acabamos de hacer para tener una idea de lo acontecido en los últimos meses. De esta forma podremos tomar decisiones de cara al futuro inmediato basándonos en datos objetivos, en vez de dejarnos llevar por ideas preconcebidas o mitos sobradamente desmentidos.

Josep Albors

Eventos 2018