Un informe del grupo de investigación X-Force de IBM ha revelado que las empresas parchan sólo un pequeño porcentaje de las vulnerabilidades que amenazan la seguridad de sus clientes.
Según X-Force, el 53% de las vulnerabilidades descubiertas en 2008 todavía no habían sido parchadas al terminar el año.
Y esta no es una situación aislada: el 44% de las vulnerabilidades de 2007 y el 46% de las de 2006 todavía no contaban con un parche de seguridad a finales del año pasado.
El 55% de las vulnerabilidades detectadas en 2008 afectaban a aplicaciones de Internet, y la cantidad de vulnerabilidades relacionadas con inyecciones SQL aumentó un 134% en 2008, destronando a las vulnerabilidades XSS.
Esto hizo que los sitios legítimos se volvieran más peligrosos que nunca en 2008. Aunque a principios del año pasado sólo se veían unos pocos miles de ataques SQL a sitios legítimos por día, al terminar el año se detectaron varios cientos de miles de estos ataques cada día.
Además, según X-Force, en 2008 se descubrieron 7.406 vulnerabilidades nuevas. Esto significa que la cantidad de vulnerabilidades detectadas en 2008 aumentó un 13% con respecto a 2007.
Para complicar las cosas, los cibercriminales tardan cada vez menos tiempo en lanzar exploits para aprovechar las nuevas vulnerabilidades.
El informe de IBM indica que, aunque los exploits solían tardar semanas o hasta meses en publicarse, en 2008 el 89% de los exploits se lanzaron el mismo día en que se dio a conocer la vulnerabilidad, o incluso antes de que esto sucediera.
IBM: la mayoría de las vulnerabilidades de 2008 todavía no tienen parches