Un reciente informe de S&P Global Ratings ha revelado un preocupante panorama en el mundo corporativo: un 70% de las organizaciones no actualizan regularmente los sistemas expuestos a Internet, dejando la puerta abierta a ciberataques potencialmente devastadores, informan en CSO Online.
La investigación, llevada a cabo junto a la compañía de análisis de riesgos cibernéticos Guidewire, pone el foco en un problema que no deja de crecer: la fatiga de los equipos de seguridad frente al creciente número de vulnerabilidades divulgadas públicamente.
«Nuestro análisis sugiere que algunas organizaciones que evaluamos pueden tardar en remediar vulnerabilidades cibernéticas muy específicas, lo que aumenta el riesgo de que los sistemas informáticos puedan verse comprometidos», advierte Paul Alvarez, experto en riesgos cibernéticos de S&P Global Ratings. Este estudio analizó los datos de más de 7.000 organizaciones de los sectores financiero y corporativo durante 2023, centrándose en los sistemas conectados a Internet, también conocidos como la «superficie de ataque».
Parcheo insuficiente y faltas en las prioridades
El informe pone de manifiesto que el 30% de las empresas solo aplica parches de seguridad de forma «ocasional», mientras que más del 40% lo hace «rara vez». Esto significa que siete de cada diez organizaciones presentan serias deficiencias a la hora de solucionar fallos que representan los mayores riesgos para sus sistemas.
La raíz del problema parece residir en la creciente frecuencia de vulnerabilidades descubiertas, lo que dificulta decidir cuáles deben solucionarse primero. Además, los sistemas tradicionales de prioridades, como Common Vulnerability Scoring System (CVSS), podrían estar contribuyendo al retraso en lor parches debido a sus limitaciones.
CVSS clasifica las vulnerabilidades según factores como la dificultad para explotarlas o el impacto que pueden causar, pero no siempre considera datos del mundo real. Como alternativa, el informe sugiere adoptar el Exploit Prediction Security Score (EPSS), un sistema más contextual creado por el Forum of Incident Response and Security Teams (FIRST). Este método analiza no solo las vulnerabilidades en sí, sino también evidencias de su explotación, códigos disponibles, menciones en redes sociales y datos de herramientas de seguridad ofensiva.
«EPSS se basa en un modelo que genera probabilidades de explotación analizando información en tiempo real», explica Alvarez. «Esto permite priorizar las vulnerabilidades que tienen más probabilidades de ser utilizadas por atacantes, complementando el enfoque de CVSS».
Vulnerabilidades antiguas, problemas actuales
Uno de los hallazgos más alarmantes del informe es la prevalencia de vulnerabilidades antiguas. El 28% de las fallas detectadas se originaron en 2016, y casi tres cuartas partes de estas se revelaron hace siete o más años. Algunas incluso datan de hace más de dos décadas.
«Las vulnerabilidades más antiguas suelen ser explotadas repetidamente dado que los atacantes saben que su éxito es más probable», afirma el informe. Este hallazgo subraya la necesidad crítica de una gestión efectiva y oportuna de parches. Además, el descuido en la prevención podría ser una señal de debilidades más amplias en la gestión y gobernanza de las organizaciones.
La entrada Demasiadas vulnerabilidades y políticas de seguridad insuficientes exponen cada vez más a las empresas es original de MuySeguridad. Seguridad informática.
