La mayoría de las organizaciones experimentan la enorme cantidad de alertas y en algunas veces confusión a la hora de determinar y dictaminar una crisis
14/05/2024 – 08:39hs
En los últimos años se incrementó en forma significativa el número de vulnerabilidades, en la misma proporción en que aumentan las preocupaciones sobre la calidad del software, los métodos de control de calidad, la ausencia de autocrítica de la industria y cierto desdén que queda en evidencia.
La gran demanda de talento también expone un nuevo y sugerente problema: la liviandad de algunas instituciones educativas junto con procesos demasiado acelerados de ascenso en las organizaciones, sin haber transitado por la experiencia necesaria para avanzar un peldaño.
La probabilidad de sufrir un ataque y cuan susceptibles son las organizaciones ante este tipo de eventos, tiene cada vez más estrecha relación con los principales vectores que utilizan eventualmente los ciberdelincuentes para agredir, robar y atacar a sus víctimas, aprovechando y explotando deficiencias en componentes tecnológicos de software y hardware, equiparables a fallas de fábrica o de diseño.
Las CVE, entendidas como Vulnerabilidades y Exposiciones Comunes (CVE) son registros formales que alcanzaron un promedio mensual de 2.300 publicaciones diferentes por mes durante el último año.
La lista de CVE es un estándar definido y administrado por The Mitre Corporation, una organización privada sin fines de lucro creada en 1958, con el fin de guiar al gobierno de los Estados Unidos en lo referente a ingeniería y temas técnicos.
Hacia 2014, la cantidad de CVE ascendía a unas 8.000 vulnerabilidades por año. El pronóstico indica que esto continuará en alza, y algunas entidades arriesgan que la escalada rondará las 3.000 mensuales. Esto no implica que la cifra refleje el universo real ni que sean todas las que existen. La realidad sugiere que el número es mayor.
El desafío de eliminar clases enteras de vulnerabilidades de software es un problema complejo de resolver.
Fallas en el software
En adición a ello, las debilidades de control, la impericia y el error humano terminan de consolidar el combo perfecto, que, junto al insaciable apetito por lucrar infringiendo la ley y dañando a la población hacen que la consolidación de esta nueva industria ya sea irreversible.
La mayoría de las organizaciones experimentan con fatiga la enorme cantidad de alertas y en algunas circunstancias confusión a la hora de determinar y dictaminar una crisis, especialmente cuando el diagnóstico debe traducirse en acción para solucionar, atacar y contener la exposición al riesgo.
Como indicador del crecimiento de las capacidades de desarrollo, a nivel mundial unas 300 mil millones de líneas de código de nuevo software necesitarán ser programadas de forma segura para 2025.
Se prevé que el almacenamiento total de datos a nivel mundial supere los 200 zettabytes para ese mismo año, lo que supone una expansión cada vez mayor del espectro digital, por ende, del nivel de exposición.
Hacia finales de febrero último, la Oficina del Director Cibernético Nacional (ONCD) de la Casa Blanca instó a las empresas de tecnología a cambiar a lenguajes de programación seguros, para mejorar la seguridad del software reduciendo la cantidad de vulnerabilidades en memoria.
Algunas de estas falencias son errores de codificación dentro del mismo programa que pueden provocar problemas de gestión de la memoria. Ocurren cuando éste accede a la memoria de manera no deseada o insegura, lo que genera diversos riesgos de seguridad y operativos que los atacantes pueden aprovechar para obtener acceso no autorizado a los datos o ejecución de código dañino.
Gabriel Zurdo.
El desafío de eliminar clases enteras de vulnerabilidades de software es un problema complejo de resolver. El método de mayor influencia para reducir las fallas de seguridad de la memoria es proteger uno de los componentes básicos del ciberespacio: el lenguaje de programación.
Definitivamente la inversión, capacitación, formación y la incorporación de tecnologías, es mandataria para sostener el ritmo al que crece la amenaza representada por la industria del Cibercrimen en todas sus expresiones.
(*) Director general ejecutivo de BTR Consulting.