X-FORCE

El informe de mediados de año de X-Force de IBM Internet Security Systems revela que el 94 por ciento de las explotaciones relacionadas con navegadores ocurrieron dentro de las primeras 24 horas de producido el agujero de seguridad.

IBM publicó los resultados del informe de X-Force sobre las Estadísticas de tendencias de mediados de 2008. Éste indica que los delincuentes cibernéticos están adoptando nuevas técnicas y estrategias de automatización que les permiten explotar las vulnerabilidades con mucha más rapidez que antes. Los delincuentes organizados implementan cada vez más estas nuevas herramientas en Internet y, al mismo tiempo, el código público de explotación que difunden los investigadores pone en riesgo a más sistemas, bases de datos y personas.

Según el informe de X-Force, el 94 por ciento de las explotaciones online de vulnerabilidades relacionadas con los navegadores ocurrieron dentro de las primeras 24 horas de producido el agujero de seguridad. Estos ataques, a los que se conoce como explotaciones de vulnerabilidades de “día cero", llegan a Internet antes de que las personas se enteren de que sus sistemas tienen una vulnerabilidad que debe corregirse.

Este fenómeno es el resultado de la adopción y la evolución por parte de los delincuentes cibernéticos de herramientas automatizadas que sirven para crear y brindar herramientas de explotación de vulnerabilidades, además del hecho de que la industria de la investigación no cuenta con un protocolo que regule la divulgación de las vulnerabilidades.

“La aceleración y la proliferación fueron los dos temas principales durante el primer semestre de 2008", manifestó Kris Lamb, Gerente de Operaciones de X-Force. “Observamos una aceleración considerable en el tiempo transcurrido entre el momento en que se divulga una vulnerabilidad y el momento en que la misma es explotada, lo cual conlleva a la proliferación de las vulnerabilidades en general. Si no contamos con un proceso unificado para la divulgación de vulnerabilidades, la industria de la investigación corre el riesgo de terminar alentando las actividades delictivas online. Existe una razón por la que X-Force no divulga el código de explotación de las vulnerabilidades que hemos descubierto y, probablemente, es hora de que otras personas en este campo consideren la implementación de esta práctica".
Fuente