Los equipos de seguridad tardan 56 días en remediar vulnerabilidades críticas

“Conocer la superficie de ataque de la organización y el posible impacto de la explotación de vulnerabilidades es crucial para tomar decisiones inteligentes”. Así introduce Jay Kaplan, CEO y cofundador de Synack, los resultados del segundo informe anual elaborado por esta plataforma de pruebas de seguridad sobre el estado de las vulnerabilidades.

De acuerdo con la comunidad de hackers éticos de Synack Red Team, los clientes de todos y cada uno de los sectores analizados sufrieron en 2023 mayor proporción de vulnerabilidades críticas que en 2022. Lo que se han reducido ligeramente son las vulnerabilidades graves.

¿Y cuáles son estas vulnerabilidades? Aumentan las amenazas que están relacionadas con inyecciones. En áreas concretas como la sanidad y la tecnología, crecen las inyecciones SQL y fallos similares como XSS.

En las empresas sanitarias se descubrieron más de 5400 subdominios, 1500 aplicaciones web y 1400 direcciones IP expuestas de forma pública. Esto supone la mayor superficie de ataque de todos los sectores.

Kaplan cree que el nuevo informe “ayudará a organizaciones de sectores como sanidad, servicios financieros, sector público, tecnología o fabricación a comprender a qué vulnerabilidades se enfrentan y cómo pueden mantenerse un paso por delante de los atacantes. Vemos muchas razones para ser optimistas pero eso no significa que la amenaza esté disminuyendo”, advierte.

Los equipos de seguridad han reducido en 18 días el tiempo medio de remediación de vulnerabilidades graves, pasando de 92 a 74. En el caso de las vulnerabilidades críticas cae en 24 días, al ir de 80 a 56.

Cabe señalar que las compañías de tecnología y de servicios financieros tardan más en solucionar vulnerabilidades de inyección SQL (unos 57 y 53 días, respectivamente) que las del ámbito de la salud (45).