Synack publica su informe de vulnerabilidades: aumenta la gravedad, pero mejoran los tiempos de mitigación

Synack ha hecho público su segundo informe anual sobre el estado de las vulnerabilidades, que combina cientos de miles de horas de datos de pruebas de penetración (pentesting) con el análisis de más de 14.000 vulnerabilidades en diferentes sectores para mostrar en detalle el volumen y la gravedad de las mismas, así como las tendencias de mitigación para cada sector.

“Este segundo informe anual sobre vulnerabilidades ayudará a organizaciones de sectores como sanidad, servicios financieros, sector público, tecnología o fabricación a comprender a qué vulnerabilidades se enfrentan y cómo pueden mantenerse un paso por delante de los atacantes”, afirma Jay Kaplan, CEO y cofundador de Synack. “Vemos muchas razones para ser optimistas, pero eso no significa que la amenaza esté disminuyendo”, concluye Kaplan.

El informe de Synack se basa en datos de evaluaciones de seguridad realizadas en la base global de clientes de Synack y está alineado con las categorías de vulnerabilidad recogidas en el documento de concienciación estándar Top 10 de OWASP. Los más de 1.500 miembros del Synack Red Team involucrados en su realización trabajaron un total de 27.000 días en 2023 probando todo tipo de activos, incluyendo activos cloud, APIs, grandes modelos de lenguaje (LLM) de IA, aplicaciones web, infraestructuras host y superficies de ataque móviles.

El Synack Red Team (SRT), una comunidad internacional de hackers éticos altamente cualificados que trabajan en proyectos de seguridad ofensiva, pone de relieve en su informe que, para todos los sectores analizados, en 2023 los clientes experimentaron una mayor proporción de vulnerabilidades críticas que en 2022, si bien se registra también una ligera reducción en las vulnerabilidades graves. Sin embargo, y a pesar de la presión cada vez mayor sobre los equipos de seguridad, estos han logrado reducir el tiempo medio de mitigación en 18 días para las vulnerabilidades graves (de 92 a 74 días) y en 24 días en el caso de las vulnerabilidades críticas (de 80 a 56 días).

En cuanto a los tipos de vulnerabilidades, el informe no registra grandes novedades, ya que identifica las mismas categorías que persisten año tras año, con un aumento de las amenazas en torno a fallos de inyección, como los que destacaba una reciente alerta Security By Design de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA). En el caso de la sanidad, al igual que en el de tecnología, se aprecia un incremento en las inyecciones SQL y otros fallos similares como XSS, que representan aproximadamente un tercio de todas las vulnerabilidades descubiertas por el Synack Red Team en 2023.

El informe de Synack ha analizado en profundidad las principales vulnerabilidades, así como el tiempo medio de mitigación para los sectores de sanidad, servicios financieros, administración, tecnología y fabricación.

En el caso de las empresas sanitarias, se localizaron más de 5.400 subdominios, 1.500 aplicaciones web y 1.400 direcciones IP como media, expuestas públicamente, lo que constituye la mayor superficie de ataque de todos los sectores analizados.

De todas las vulnerabilidades detectadas, casi 1.900 eran inyecciones SQL, clasificadas como críticas o de alta gravedad. Estas brechas pusieron de manifiesto tanto las fortalezas como las debilidades de seguridad en los diferentes sectores. Por ejemplo, las empresas de servicios financieros tardaron como media 53 días en remediar vulnerabilidades de inyección SQL, mientras que las empresas de tecnología tardaron más (57 días) y las de sanidad solo 45 días.