Las vulnerabilidades de código abierto crecerán un 20% en 2017
El problema más grave de este panorama es que los cibercriminales son conscientes de la situación y por ello atacan a un gran número de objetivos con el mismo 'exploit'. Según un experto, se descubren entre 2.000 y 4.000 ataques nuevos cada año.
El código abierto es cada vez más frecuente en aplicaciones comerciales y domésticas. Según ha predicho el recopilador de estadísticas sobre proyectos de código abierto Black Duck Software, el número de ataques basados en vulnerabilidades aumentará un 20% este año. Asimismo, el peligro de más del 50% de los proyectos de software comercial compuestos de código abierto ha subido de un 3% en 2011 a un 33% hoy, según el vicepresidente de la consultora, Mike Pittenger.
“Dos tercios de las aplicaciones comerciales tienen código con vulnerabilidades conocidas”, afirma Pittenger. “Lo malo es que los compradores no tienen manera de saber en qué software están. Claro que, por lo general, las empresas no se quieren aproximar a la realidad, ya que cuando proporcionan a los clientes una lista de componentes, suele ser incompleta. Solo los grandes compradores corporativos suelen pedir a los vendedores la lista completa y revisada por terceros, como Black Duck.
Esto no significa que haya que evitar el código abierto. Hay que ser conscientes de que escribir el mismo código desde cero requiere mucho tiempo y eso retrasaría el tiempo de comercialización y dañaría la competitividad de la empresa. Es por ello por lo que se está acelerando la tendencia de los proveedores de software comercial que utilizan código abierto.
Pero aunque esté creciendo el porcentaje de los ciberataques en este tipo de software, existe una gran cantidad de apoyo en la comunidad para crear proyectos que traigan consigo seguridad y actualizaciones. Sin embargo, según Ed Moyle, director de Liderazgo e Investigación en ISACA, la estrategia de tener muchos ojos para revisar las vulnerabilidades de la fuente del código abierto no siempre funciona. “Cualquiera puede auditar el código pero parece ser que todo el mundo lo asume y luego nadie lo hace”, explica Javvad Malik, defensor de Seguridad de AlientVault.
El problema más grave de este panorama es que los cibercriminales son conscientes de ello. La fuente de código abierto es omnipresente, por lo que los atacantes pueden ir tras un gran número de objetivos con el mismo exploit. A esto hay que sumarle que los usuarios no realizan a menudo parches o actualizaciones. Y para más inri, el nuevo código se escribe con las vulnerabilidades conocidas y antiguas puesto que ya están incorporadas.
Los expertos también informan de que el crecimiento del Internet de las Cosas también se ha convertido en un problema de seguridad importante desde el año pasado. Y lo seguirá siendo este año. “Mucho código abierto se está utilizando en dispositivos inteligentes y en el IoT”, asegura Malik.
Según Pittenger, se descubren entre 2.000 y 4.000 ataques nuevos cada año. Para solucionar el problema, los proveedores de software y sus clientes deben hacer frente a esta situación. Pero es probable que empeore antes de que empiece a mejorar.
