Un programa se considera vulnerable cuando, debido a un error de programación, permite a alguien con conocimientos avanzados usarlo para acceder a tu computadora.
Ya he comentado en artículos anteriores que los programas actuales son infinitamente más complejos que los programas de hace unos años. Más líneas de código, como vimos en Blogthinkbig.com, más funciones, más personas implicadas y menos tiempo para terminarlo.
La consecuencia es que el programa acabe teniendo bugs o errores de código que, en el peor de los casos, deriva en vulnerabilidades que alguien con conocimientos avanzados puede usar para acceder a tu computadora para acceder a tus datos o introducir un programa propio para bloquear tus datos (ransomware) o infectar tu equipo (virus, troyanos) y que infecte a otros.
En 1999, por ejemplo, se reportaron 894 vulnerabilidades en el portal CVE Details, especializado en este tema. Pues bien, sólo en lo que llevamos de 2017 (cinco meses) ya se han reportado aproximadamente 5274 vulnerabilidades.
Uno de los mejores consejos a seguir para que tu computadora esté segura es precisamente mantener tu software al día, es decir, instalar las actualizaciones que facilita su responsable, ya que con ellas se resuelven estas vulnerabilidades en la mayoría de los casos.
La opción más drástica es desinstalar ese programa si sus beneficios no compensan el riesgo. Es el caso de algunos de los programas más vulnerables que vamos a ver a continuación.
Los programas más vulnerables de 2017
Gracias a CVE Details podemos hacernos una idea aproximada de qué programas acumulan más vulnerabilidades en lo que llevamos de año.
Hay que precisar que no todas las vulnerabilidades son igual que peligrosas, pero destacar por el número de bugs o errores de código es de por sí preocupante.
Por sistema operativo, a mayo de 2017, los que acumulan más vulnerabilidades son:
- Linux (270)
- Android (197)
- iOS (194)
- macOS (142)
- Windows Server 2008 (77)
- Windows 10 (68)
- Windows 7 (67)
¿Significa esto que Linux es menos seguro que Windows? No necesariamente. En los cuatro primeros casos de la lista no tenemos datos de a qué versiones se refiere.
Es más que probable que la mayoría de vulnerabilidades tengan que ver con versiones anteriores ya corregidas en la versión más actual. De ahí la importancia de actualizar siempre que puedas.
También hay que tener en cuenta la naturaleza de Linux, que se programa a mil manos por todo el mundo. Esto significa que muchos ojos ven su código y son capaces de detectar vulnerabilidades con más eficacia que proyectos cerrados como el resto de la lista.
Otro factor a tener en cuenta es la popularidad de un sistema operativo o programa. Cuantos más usuarios tiene, más atención recibirá por parte de quienes buscan errores de código.
En cuanto a los programas con más vulnerabilidades detectadas en lo que llevamos de 2017, destacan:
- Imagemagick (167)
- Safari (87)
- Adobe Acrobat (80)
- Google Chrome (80)
- Adobe Reader (79)
- Acrobat Reader Dc (79)
- Acrobat Dc (79)
Como he comentado antes, los programas más usados son los más vigilados. Navegadores web (Safari, Chrome) y apps tan populares como Adobe Reader.
Por fabricante de software, en 2017 los más afectados por vulnerabilidades son:
- Oracle (431)
- Google (278)
- Apple (278)
- IBM (278)
- Linux (270)
- Microsoft (183)
- Imagemagick (167)
Veremos cómo evoluciona el año.
Los programas más vulnerables de 2016
Por sistema operativo, esta es la lista de más vulnerables en 2016:
- Android (523)
- Debian Linux (327)
- Ubuntu Linux (278)
- Leap (260)
- Opensuse (228)
- Linux (217)
- macOS (215)
Como vemos, la lista la encabeza el sistema operativo más popular a nivel mundial, lo que tiene su lógica. Quienes buscan infectar dispositivos se centran ahora en Android más que en Windows, como ocurría hace años.
El resto de la lista lo conforman distribuciones Linux, que como he comentado, suelen recibir más vigilancia por parte de quienes programan su código por su naturaleza.
Como curiosidad, Windows 10 (172) está por detrás de macOS (215) en esta lista.
Los programas más vulnerables de 2016 fueron los siguientes:
- Adobe Flash Player (266)
- Acrobat Reader Dc (227)
- Acrobat Dc (227)
- Acrobat (224)
- Adobe Reader (204)
- Google Chrome (172)
- Microsoft Edge (135)
Navegadores web (Chrome, Edge) y los programas más populares (Flash y Reader, ambos de Adobe).
Por fabricantes de software, en 2016 éstos fueron los que más vulnerabilidades acumularon:
- Oracle (800)
- Google (698)
- Adobe (548)
- Microsoft (492)
- Novell (395)
- IBM (382)
- Cisco (353)