Cuando las empresas deciden no parchear sus grietas de seguridad
Casi dos tercios de las grietas de seguridad en las empresas están directamente relacionadas con vulnerabilidades, que tiene una media de dos años de antigüedad y que no han sido parcheadas.
Esta falta de «voluntad» a la hora de parchear esas vulnerabilidades una vez que se reportan, se ha convertido en uno de los vectores de ataque más explotados por los hackers que ponen en su punto de mira a las empresas.
Esta es la principal conclusión de un estudio desarrollado por Bitdefender, en el que la firma asegura que el 64% de todas las vulnerabilidades no parcheadas que se han comunicado en la primera mitad de 2020, están relacionadas con bugs detectados por primera vez en 2018 o antes. Esto quiere decir, que las organizaciones que los reportan han permanecido en una situación crítica para su seguridad IT durante más de dos años.
Es cierto que la aplicación sistemática de todos los parches de seguridad que se publican, puede ser un trabajo largo, tedioso y poco gratificante. Pero también lo es que para los ciberdelincuentes, explotar vulnerabilidades no parcheadas es una de las formas más sencillas de inyectar malware en los sistemas que les interesan.
El tener una política se seguridad adecuada en este frente es aún más importante en estos momentos. Y es que como leemos en el informe, «dado que las organizaciones tienen la mayor parte de su fuerza de trabajo en lugares remotos, establecer y desplegar políticas de parcheo nunca ha sido más importante».
¿Por qué no se aplican muchas veces esos parches de seguridad tan necesarios?
Porque como también indica la investigación de Bitdefender, muchas organizaciones temen que el hacerlo puede tener un impacto negativo en sus sistemas, como ya vimos en el caso de los parches que se publicaron para Spectre. Así tienden a pensar que si la vulnerabilidad no es crítica, pueden no preocuparse demasiado por el momento, confiando en que no pase nada. No es, desde luego, la mejor de las políticas.
Otras veces existe un problema real de retrocompatibilidad. En este punto, aunque las compañías son conscientes de los riesgos, temen que el actualizar una aplicación o un servicio a una nueva versión, puede romper la compatibilidad con otros programas que pueden ser de misión critica.
Sin embargo, si este fuera el caso, en Bitdefender recomiendan aislar por completo estos sistemas, monitorizando muy de cerca su regulación y las políticas de acceso al resto de la red de la empresa.