MITRE acaba de publicar su lista anual con las 25 debilidades de software más comunes y peligrosas, basándose en más de 31,000 vulnerabilidades reportadas entre junio de 2023 y junio de 2024. Estas debilidades incluyen errores, fallos y vulnerabilidades en el código, diseño o implementación del software, que los atacantes pueden aprovechar para hackear sistemas, tomar el control de dispositivos, robar datos sensibles o incluso provocar fallos graves como ataques de denegación de servicio.
"Estas fallas suelen ser fáciles de encontrar y explotar, lo que permite a los atacantes comprometer sistemas, robar información o hacer que las aplicaciones dejen de funcionar", explicó MITRE. También destacaron que entender la raíz de estas debilidades ayuda a guiar mejor las políticas y prácticas necesarias para evitarlas, beneficiando tanto a la industria como a las agencias gubernamentales.
Para crear la lista de este año, MITRE analizó 31,770 vulnerabilidades (registradas como CVE) y se enfocó en aquellas que son explotadas frecuentemente, con un énfasis especial en las incluidas en el catálogo de vulnerabilidades conocidas y explotadas (KEV) de CISA.
CISA también añadió: "Esta lista anual destaca las debilidades críticas que los atacantes suelen usar para comprometer sistemas, robar datos o interrumpir servicios clave. Es una herramienta clave para comprender qué áreas necesitan más atención para mejorar la seguridad."
En resumen, esta lista es un llamado para que empresas y desarrolladores no solo sean conscientes de los riesgos más comunes, sino que tomen medidas concretas para fortalecer la seguridad de sus sistemas y prevenir ataques.
Es crucial que las organizaciones tomen esta lista en serio y la utilicen como base para reforzar su seguridad en el desarrollo y gestión del software. Priorizar estas debilidades desde el principio, ya sea durante el desarrollo, la adquisición o la implementación, puede marcar la diferencia para prevenir vulnerabilidades que podrían ser explotadas fácilmente.
Lista de las 25 debilidades de software más peligrosas en 2024
Conoce más sobre: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
CISA publica regularmente alertas de "Secure by Design" para llamar la atención sobre vulnerabilidades comunes y bien documentadas que, a pesar de contar con soluciones disponibles, todavía no han sido eliminadas del software. Es como si los mismos errores de siempre siguieran apareciendo en el código, y los atacantes no desaprovechan la oportunidad.
Algunas de estas alertas responden a actividades maliciosas en curso. Por ejemplo, en julio, se emitió una advertencia pidiendo a los proveedores que corrigieran vulnerabilidades de inyección de comandos en sistemas operativos, las cuales estaban siendo explotadas por hackers chinos conocidos como "Velvet Ant". Estos ataques apuntaron a dispositivos de borde de red de marcas como Cisco, Palo Alto e Ivanti.
CISA también ha insistido varias veces en la importancia de prevenir fallas como el cruce de rutas y la inyección SQL (SQLi). En mayo y marzo publicaron alertas pidiendo a los desarrolladores y líderes tecnológicos que trabajaran activamente para eliminar estos problemas de su software y productos.
Además, la agencia ha instado a los fabricantes de tecnología a tomar medidas básicas pero cruciales, como dejar de enviar dispositivos con contraseñas predeterminadas (sí, aún pasa) y a proteger mejor los enrutadores domésticos y de pequeñas oficinas contra ataques como el famoso Volt Typhoon.
Por otro lado, la semana pasada, el FBI, la NSA y el grupo de ciberseguridad "Five Eyes" publicaron una lista con las 15 vulnerabilidades más explotadas del año pasado. Su conclusión fue clara: los atacantes están cada vez más enfocados en los días cero, esas fallas que aún no han sido parcheadas tras ser descubiertas.
De hecho, las cifras son preocupantes. Según el informe, en 2023 la mayoría de las vulnerabilidades más utilizadas empezaron como días cero, lo que representa un aumento en comparación con 2022, cuando menos de la mitad de los fallos explotados estaban en esa categoría. El mensaje es evidente: aunque las soluciones estén disponibles, si no se aplican, el riesgo seguirá creciendo. Las organizaciones y desarrolladores deben actuar ya, porque los atacantes no van a esperar.
Conclusión
En 2024, las 25 debilidades de software más peligrosas identificadas por MITRE son un recordatorio de que la ciberseguridad no es un lujo, sino una necesidad. Desde errores de validación de entradas hasta configuraciones inseguras, cada debilidad representa una amenaza potencial para los sistemas que sustentan nuestra vida digital.
Abordar estos problemas no solo protege los activos de una organización, sino que también contribuye a un entorno en línea más seguro para todos. Con medidas preventivas adecuadas y un enfoque proactivo, podemos mitigar estos riesgos y mantenernos un paso adelante de los cibercriminales.
