Incompleta y lenta, así es la base de datos de vulnerabilidades rusa
- Vulnerabilidades
Un informe de Recorded Future asegura que Rusia sólo publica el 10% de las vulnerabilidades conocidas y que es, de media, 83 días más lenta que la base de datos china.
También puedes leer... |
“La base de datos de vulnerabilidad de Rusia está muy enfocada. Sin embargo, está incompleta, es lenta y probablemente pretende respaldar el control del estado ruso sobre las empresas y usuarios de tecnología”. Lo dice Recorded Future, que ha realizado un estudio sobre la base de datos de vulnerabilidades de Rusia y China. Asegura la compañía que Rusia sólo publica el 10% de las vulnerabilidades conocidas, es una media de 83 días más lenta que la Base de Datos Nacional de Vulnerabilidad (National Vulnerability Database - NVD) de China, 50 días más lenta que la de Estados Unidos E. UU. Y está incompleta en las pocas tecnologías que cubre.
Gestionado por el Federal Service for Technical and Export Control of Russia (FSTEC), que fue creado en 2014 y es dependiente del Ministerio de Defensa, la base datos, conocida como BDU, ha publicado apenas 11.000 vulnerabilidades de las más de 107.000 que tiene el CVE (Common Vulnerabilities and Exposures).
Según el estudio el FSTEC sólo publicaría vulnerabilidades que supongan una amenaza para los sistemas de información del estado, lo que a su vez da a los investigadores información sobre las tecnologías, software y hardware que se están utilizando en las redes gubernamentales de Rusia.
Explica también Recorded Future que la FSTEC empezó a publicar vulnerabilidades en 2014, “casi 15 años después de la que fuera establecida la Base de Datos Nacional de vulnerabilidades de Estados Unidos”. El volumen inicial de 2014 fue muy superado en 2015, pero a partir de entonces las cifras han ido cayendo. El informe también recoge que la base de datos de vulnerabilidades rusa recoge sólo el 10% de los fallos publicados, una diferencia que “no se debe simplemente a que la FSTEC comienza más tarde, ya que aproximadamente el 25% de las CVE cubiertas por FSTEC datan de años antes de que FSTEC comenzara a funcionar”.