Los datos a continuación han sido extraídos desde
Secunia y el
NIST.
Muchos pueden creer que no es importante estos datos, pero sinceramente
al menos para mí, no como aficionado a la materia sino como usuario
diario de estos software es de suma importancia, lo suficiente muchas
veces como para ver si uso el software correcto, o a la hora de
aconsejar a otros sobre que productos decantarse. Es algo que siempre me
ha sorprendido enormemente, cualquier persona se escandaliza si ve una
pantalla de publicidad con un mensaje extraño, pero nadie se escandaliza
cuando le dicen que su dispositivo o su equipo se encuentra en serias
deficiencia en cuanto a seguridad, y que cualquier Hacker inteligente
podría tomar el control de su dispositivo. Cuando intentas contarle esto
a las personas te miran raro, o te dicen eso de: “Total para lo que
tengo…”. En cambio, es cuando a esa persona le sucede algo por culpa de
ello, es ya siempre tarde, y no son uno ni dos ni tres los casos al año,
raro es el mes que no leo en mi correo o por cualquier otro medio
alguien que tiene un problema, y no precisamente por que el navegador no
deja de reenviarle a webs pornográficas.
Es por todo ello, que el principal problema de seguridad que existe a
día de hoy es la ignorancia, el creer que nadie puede estar interesado
en nuestros datos (cuando son oro puro para muchos), el creer por pura
fe lo que le dicen otros, que posiblemente tienen aun más problemas que
él, aunque no lo sepa. La mejor forma de enseñar, no es con miedo, no es
con críticas baratas, es simplemente mostrando datos, enseñando que
hay, que no hay, y que cada cual sea por tanto quien saque sus propias
conclusiones.
Bien, el objetivo de este post es ver el número de fallos de seguridad
(vulnerabilidades) acumulado durante este año pasado 2012 en sistemas
operativos de escritorio, de dispositivos portátiles y de
navegadores
web. Eso no quiere decir que no existan otros problemas de seguridad ni
mucho menos, los datos que puedo mostrar son datos PÚBLICOS que
cualquiera puede tener acceso, en concreto mis datos recogidos son
simplemente los CVE registrados. CVE son los reportes (un identificador)
que asigna un organismo internacional a vulnerabilidades/fallos de
seguridad. Hay que tener en cuenta ciertas cosas a la hora de
interpretar los datos
Primero, un CVE no implica de modo alguno que un hacker podría hacerse
con el control total de tu dispositivo a través de él, un CVE es un
problema potencial de seguridad que puede ser explotado con fines
malignos o no, y que por supuesto su peligrosidad varía enormemente en
relación con el tipo de fallo descubierto. De este modo, tenemos
problemas de seguridad menos peligrosos como los que “simplemente”
exponen datos de nuestro sistema o datos sensibles al exterior sin
nuestro consentimiento, pasando por fallos de seguridad que permiten el
Spoofing, el Cracking, escaladas de privilegios, ataques de denegación
de servicio… y por supuesto hasta llegar al peor de los males, como es
el acceso al sistema, que son
vulnerabilidades que se pueden aprovechar
para la ejecución de código remoto (digamos, el santo grial siempre del
Hacker).
Segundo, hacer una tabla con el número de fallos de seguridad sin tener
en cuenta otros datos sería totalmente demagogo, hay que entender muchas
veces como se recogen dichos datos, si puede existir una explicación
“decente” a dichos números… de lo contrario entraríamos de nuevo en
escribir artículos partidistas en los que el redactor siempre haría que
ganasen unos y otros en función de sus intereses. Aquí no se trata de
ganar o perder, se trata de exponer datos y explicar lo que puede
explicarse con las razones que puedan darse. A partir de ahí, cada cual
tendrá que pensar un poco por si mismo y sacar sus conclusiones, no
creerse los datos expuestos y fijarse simplemente en una tabla de datos.
