Google: Más “zero days” en 2023 frente a 2022

  • Vulnerabilidades
binary

TAG y Mandiant descubrieron 29 de esas vulnerabilidades. Los investigadores de Google las dividieron en dos categorías principales: Plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) y tecnologías centradas en empresas, como softwares y dispositivos de seguridad.

Google (TAG y Mandiant) acaba de entregar un informe que advierte 97 vulnerabilidades “zero days” explotadas durante 2023, un aumento de más del 50% respecto a 2022 (62 vulnerabilidades), pero lejos del récord de 106 vulnerabilidades explotadas en 2021. 

TAG y Mandiant descubrieron 29 de esas vulnerabilidades. Los investigadores de Google las dividieron en dos categorías principales: Plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) y tecnologías centradas en empresas, como softwares y dispositivos de seguridad. 

El informe destaca algunos de los éxitos y avances que está logrando el sector, pero señala que "está claro que el ritmo de descubrimiento y explotación de “zero days” seguirá siendo probablemente elevado en comparación con las cifras anteriores a 2021".

Principales resultados:

·  De los 58 “zero days” para los que pudimos establecer las motivaciones de la amenaza:

* 48 de ellos se atribuyeron a actos de espionaje.

* El 10 restante se atribuyó a agentes con motivaciones económicas. 

 

·  La República Popular China (RPC) sigue a la cabeza de esta explotación respaldada por los gobiernos. 

* Los grupos de ciberespionaje de la República Popular China explotaron 12 vulnerabilidades de “zero days” en 2023, frente a las siete de 2022.

 

·  Casi dos tercios (61) de los “zero days” afectaron a plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) 

* Las 36 vulnerabilidades restantes afectaron a tecnologías centradas en empresa, como softwares y dispositivos de seguridad.

 

·  Pero se están haciendo progresos: Los investigadores de Google señalan que "los proveedores de plataformas de usuario final, como Apple, Google y Microsoft, han realizado inversiones notables que están teniendo un claro impacto en los tipos y el número de zero-days que los actores son capaces de explotar."

 

·  Los objetivos empresariales siguen aumentando y son más variados en 2023. 

* Google vio un aumento del 64% en la explotación por parte de adversarios hacía tecnologías específicas de empresa desde el año anterior, y un aumento general en el número de proveedores empresariales atacados desde 2019. 

 

·  En 2023, Google vio más bugs en componentes y bibliotecas de terceros, en lugar de en el código de origen del producto.

* iOS frente a Android: 

- En 2023 se detectaron y divulgaron nueve “zero days” dirigidos a Android, frente a los tres de 2022.

- En 2023 se detectaron y divulgaron ocho casos de "zero days" dirigidos a iOS, frente a los cuatro de 2022.

 

* Safari frente a Chrome: 

-  En 2023 se detectaron y revelaron ocho casos de "zero-days" dirigidos a Chrome y 11 a Safari.