Algunas empresas han dejado de dar prioridad a la aplicación de parches de seguridad
- Seguridad
Existe una tendencia preocupante de empresas que carecen de transparencia en torno a los parches de proveedores de divulgación de vulnerabilidades. Trend Micro pide que se ponga fin al parcheado silencioso, es decir, a la práctica de ralentizar o diluir la divulgación pública y la documentación de vulnerabilidades y parches.
Trend Micro ha anunciado que su programa Zero Day Initiative ha publicado avisos que abordan más de 1.000 vulnerabilidades únicas en 2023. El impacto en el mundo real si estas vulnerabilidades se convirtieran en armas equivaldría a pérdidas de tiempo y financieras de más de 10 veces el coste de la prevención.
"Nuestra inversión proactiva millonaria cada año en investigación y adquisición de vulnerabilidades ahorra miles de millones en recuperación tanto para nuestros clientes como para la industria en su conjunto", afirma Kevin Simzer, COO de Trend. "Se está documentando una tendencia preocupante de empresas que carecen de transparencia en torno a los parches de proveedores de divulgación de vulnerabilidades, lo que supone una amenaza para la seguridad del mundo digital”.
La necesidad de parches transparentes
El parcheado silencioso, es decir, la práctica de ralentizar o diluir la divulgación pública y la documentación de vulnerabilidades y parches, representa un obstáculo importante en la lucha contra la ciberdelincuencia. Recientemente, los representantes de Trend Research revelaron que la aplicación silenciosa de parches se ha vuelto especialmente común entre los proveedores de servicios en la nube, que se abstienen con mayor frecuencia de asignar un ID de Vulnerabilidades y Exposiciones Comunes (CVE) para la documentación pública y, en su lugar, emiten parches de forma privada.
La falta de transparencia o de números de versión de los servicios en la nube dificulta la evaluación de riesgos y priva a la comunidad de seguridad en general de información valiosa para mejorar la seguridad general del ecosistema.
El año pasado Trend ya advirtió del creciente número de parches incompletos o defectuosos y de la reticencia cada vez mayor de los proveedores a proporcionar información fidedigna sobre los parches en un lenguaje sencillo. Desde entonces, la brecha se ha agravado y algunas empresas han dejado de dar prioridad a la aplicación de parches, exponiendo a sus clientes y sectores a riesgos innecesarios y cada vez mayores.
Es necesario adoptar medidas urgentes para dar prioridad a la aplicación de parches, abordar las vulnerabilidades y fomentar la colaboración entre investigadores, proveedores de ciberseguridad y proveedores de servicios en la nube para reforzar los servicios basados en la nube y proteger a los usuarios de posibles riesgos. En este sentido, Trend se ha comprometido a aplicar parches transparentes a las vulnerabilidades y pretende mejorar las posturas de seguridad en todo el sector a través de su programa Zero Day Initiative.
