El informe incluye un completo desglose por industria y el análisis de las distintas tipologías de vulnerabilidades en cada sector
Synack, la principal plataforma de pruebas de seguridad, ha hecho público su segundo informe anual sobre el estado de las vulnerabilidades, que combina cientos de miles de horas de datos de pruebas de penetración (pentesting) con el análisis de más de 14.000 vulnerabilidades en diferentes sectores para mostrar en detalle el volumen y la gravedad de las mismas, así como las tendencias de mitigación para cada sector.
«Conocer la superficie de ataque de la organización y el posible impacto de la explotación de vulnerabilidades es crucial para tomar decisiones inteligentes», afirma Jay Kaplan, CEO y cofundador de Synack. “Estamos orgullosos de haber completado este segundo informe anual sobre vulnerabilidades, ya que estamos seguros de que ayudará a organizaciones de sectores como sanidad, servicios financieros, sector público, tecnología o fabricación a comprender a qué vulnerabilidades se enfrentan y cómo pueden mantenerse un paso por delante de los atacantes. “Vemos muchas razones para ser optimistas -concluye Kaplan- pero eso no significa que la amenaza esté disminuyendo”.
El informe de Synack se basa en datos de evaluaciones de seguridad realizadas en la base global de clientes de Synack, y está alineado con las categorías de vulnerabilidad recogidas en el documento de concientización estándar Top 10 de OWASP. Los más de 1.500 miembros del Synack Red Team involucrados en su realización trabajaron un total de 27.000 días en 2023 probando todo tipo de activos, incluyendo activos cloud, APIs, grandes modelos de lenguaje (LLM) de IA, aplicaciones web, infraestructuras host y superficies de ataque móviles.
Las vulnerabilidades críticas aumentan, pero los tiempos de mitigación mejoran
El Synack Red Team (SRT), una comunidad internacional de hackers éticos altamente cualificados que trabajan en proyectos de seguridad ofensiva, pone de relieve en su informe que, para todos los sectores analizados, en 2023 los clientes experimentaron una mayor proporción de vulnerabilidades críticas que en 2022, si bien se registra también una ligera reducción en las vulnerabilidades graves. Sin embargo, y a pesar de la presión cada vez mayor sobre los equipos de seguridad, éstos han logrado reducir el tiempo medio de remediación en 18 días para las vulnerabilidades graves (de 92 a 74 días) y en 24 días en el caso de las vulnerabilidades críticas (de 80 a 56 días).
En cuanto a los tipos de vulnerabilidades, el informe no registra grandes novedades, ya que identifica las mismas categorías que persisten año tras año, con un aumento de las amenazas en torno a fallos de inyección, como los que destacaba una reciente alerta Security By Design de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA). En el caso de la sanidad, al igual que en el de tecnología, se aprecia un incremento en las inyecciones SQL y otros fallos similares como XSS, que representan aproximadamente un tercio de todas las vulnerabilidades descubiertas por el Synack Red Team en 2023.
Desglose por industria
El Informe Anual sobre Vulnerabilidades de Synack ha analizado en profundidad las principales vulnerabilidades, así como el tiempo medio de remediación para los sectores de sanidad, servicios financieros, administración, tecnología y fabricación. A continuación, se muestran algunas de las tendencias clave identificadas:
• En el caso de las empresas sanitarias, se localizaron más de 5.400 subdominios, 1.500 aplicaciones web y 1.400 direcciones IP como media, expuestas públicamente, lo que constituye la mayor superficie de ataque de todos los sectores analizados.
• De todas las vulnerabilidades detectadas, casi 1.900 eran inyecciones SQL, clasificadas como críticas o de alta gravedad. Estas brechas pusieron de manifiesto tanto las fortalezas como las debilidades de seguridad en los diferentes sectores. Por ejemplo, las empresas de servicios financieros tardaron como media 53 días en remediar vulnerabilidades de inyección SQL, mientras que las empresas de tecnología tardaron más (57 días) y las de sanidad solo 45 días.
Arriba, imagen cortesía de Synack
