Está claro que ningún sistema es perfecto y no está exento de ser vulnerado y por muy seguro que diga ser, siempre existirá la manera en la que se pueda acceder a este y ejemplo bastante burdo de ello es sobre el método que diseñaron el año pasado en el cual era posible poder conocer la información de un ordenador que apresar de estar desconectado de la red, con el simple hecho del sonido emitido por los ventiladores, se podía vulnerar.
Y bueno, hablado sobre ello hace poco se dió a conocer el informe anual «Hacker-Powered Security: Industry Insights» de HackerOne muestra que los piratas informáticos éticos identificaron más de 66.000 vulnerabilidades válidas el año pasado.
Para quienes desconocen de HackerOne, una plataforma global de seguridad colaborativa y está ha revelado que los hackers éticos han informado de más de 66.000 vulnerabilidades válidas este año, un 20% más que en 2020.
La seguridad colaborativa es una práctica en crecimiento, particularmente sostenida por un aumento muy significativo en las campañas de pentest (+ 264%). La pandemia ha resultado en una aceleración de la transformación digital y la migración a la nube, exponiendo a las organizaciones a más vulnerabilidades a medida que las superficies de ataque se expanden y los servicios continúan subcontratando.
El informe anual de información de la industria proporciona información de la base de datos de programas de errores y vulnerabilidades más grande del mundo
Generosidad. Nos dice este año que la cantidad de bonificaciones pagadas a los piratas informáticos por la detección de vulnerabilidades críticas va en aumento, y las organizaciones priorizan los errores de mayor impacto.
Las empresas también son más rápidas que nunca en la gestión y solución de vulnerabilidades, ya que estos temas se están convirtiendo en importantes problemas comerciales.
El informe finalmente revela las 10 vulnerabilidades más reportadas, proporcionando una comprensión de cómo priorizar los esfuerzos para remediar las vulnerabilidades y qué vulnerabilidades son más valiosas.
Chris Evans, CISO y recientemente nombrado Director de Hacking de HackerOne comenta:
«Hoy en día, incluso las organizaciones más conservadoras reconocen el valor agregado de la perspectiva externa que aportan los hackers eticos. Por ejemplo, estamos observando un fuerte crecimiento en las prácticas de seguridad colaborativas entre los actores financieros. Medir y cuantificar el riesgo es su actividad principal, y se dan cuenta de que el riesgo es menor cuando se trabaja con piratas informáticos. Nuestros clientes confían en los datos de informes de vulnerabilidad a lo largo de sus ciclos de desarrollo de software. Por lo tanto, pueden detectar fallas antes y corregirlas de forma económica «.
A continuación se muestran algunos hallazgos clave del informe:
La seguridad colaborativa continúa aumentando con un aumento del 34% en el número de programas de seguridad que involucran a hackers éticos en 2021.
Todas las industrias son parte de esta tendencia, incluidas las industrias más críticas, más tradicionalmente conservadoras.
En el sector financiero en particular, los programas de seguridad colaborativa aumentaron en un 62%. En el sector público, estas prácticas se han incrementado en un 89%, impulsadas por instituciones emblemáticas como el Ministerio de Defensa de Reino Unido o la agencia GovTech en Singapur.
Los hackers informaron un 20% más de vulnerabilidades que en 2020. Si bien la recompensa de errores tradicional experimentó un aumento del 10%, los programas de divulgación de vulnerabilidades (VDP) experimentaron un aumento del 47% y los informes de pruebas de penetración (pentests) aumentaron en un 264%.
El precio medio de una recompensa por encontrar una vulnerabilidad crítica aumentó en un 20%, de $ 2500 a $ 3000 en 2021. La cantidad promedio de una recompensa aumentó en un 13% para una vulnerabilidad crítica y un 30% para una vulnerabilidad muy crítica.
Durante el último año, el tiempo medio de resolución ha disminuido un 19%, de 33 días a 26,7 días, ya que algunos sectores como el retail y el comercio electrónico han visto caer el tiempo de resolución en más de 50 días.%.
El error más reportado en HackerOne sigue siendo Cross Site Scripting, sin embargo, otros tipos de errores han experimentado un aumento significativo desde 2020. La divulgación de información ha aumentado en un 58% y los errores de lógica empresarial han experimentado un aumento del 67%, lo que les da por primera vez un lugar en el Top 10.
Finalmente si estás interesado en conocer más al respecto puedes consultar los detalles en el siguiente enlace.