Google: Más “zero days” en 2023 frente a 2022
- Vulnerabilidades
TAG y Mandiant descubrieron 29 de esas vulnerabilidades. Los investigadores de Google las dividieron en dos categorías principales: Plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) y tecnologías centradas en empresas, como softwares y dispositivos de seguridad.
Google (TAG y Mandiant) acaba de entregar un informe que advierte 97 vulnerabilidades “zero days” explotadas durante 2023, un aumento de más del 50% respecto a 2022 (62 vulnerabilidades), pero lejos del récord de 106 vulnerabilidades explotadas en 2021.
TAG y Mandiant descubrieron 29 de esas vulnerabilidades. Los investigadores de Google las dividieron en dos categorías principales: Plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones) y tecnologías centradas en empresas, como softwares y dispositivos de seguridad.
El informe destaca algunos de los éxitos y avances que está logrando el sector, pero señala que "está claro que el ritmo de descubrimiento y explotación de “zero days” seguirá siendo probablemente elevado en comparación con las cifras anteriores a 2021".
Principales resultados:
· De los 58 “zero days” para los que pudimos establecer las motivaciones de la amenaza:
* 48 de ellos se atribuyeron a actos de espionaje.
* El 10 restante se atribuyó a agentes con motivaciones económicas.
· La República Popular China (RPC) sigue a la cabeza de esta explotación respaldada por los gobiernos.
* Los grupos de ciberespionaje de la República Popular China explotaron 12 vulnerabilidades de “zero days” en 2023, frente a las siete de 2022.
· Casi dos tercios (61) de los “zero days” afectaron a plataformas y productos de usuario final (por ejemplo, dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones)
* Las 36 vulnerabilidades restantes afectaron a tecnologías centradas en empresa, como softwares y dispositivos de seguridad.
· Pero se están haciendo progresos: Los investigadores de Google señalan que "los proveedores de plataformas de usuario final, como Apple, Google y Microsoft, han realizado inversiones notables que están teniendo un claro impacto en los tipos y el número de zero-days que los actores son capaces de explotar."
· Los objetivos empresariales siguen aumentando y son más variados en 2023.
* Google vio un aumento del 64% en la explotación por parte de adversarios hacía tecnologías específicas de empresa desde el año anterior, y un aumento general en el número de proveedores empresariales atacados desde 2019.
· En 2023, Google vio más bugs en componentes y bibliotecas de terceros, en lugar de en el código de origen del producto.
* iOS frente a Android:
- En 2023 se detectaron y divulgaron nueve “zero days” dirigidos a Android, frente a los tres de 2022.
- En 2023 se detectaron y divulgaron ocho casos de "zero days" dirigidos a iOS, frente a los cuatro de 2022.
* Safari frente a Chrome:
- En 2023 se detectaron y revelaron ocho casos de "zero-days" dirigidos a Chrome y 11 a Safari.