Recopilar datos sobre vulnerabilidades y exponer a las plataformas más frágiles es un trabajo que probablemente le hierva la sangre a más de uno, pero eso no cambia el hecho de que los problemas están allí. 2014 fue un verdadero caos de seguridad, con bugs antiguos y brechas terribles en aplicaciones supuestamente seguras. La gente de GFI Software preparó un ranking con los sistemas operativos y programas más vulnerables del año pasado, y quien está al tope de la lista, no es Windows…
Hace poco vimos de cerca el «desacuerdo» entre Google y Microsoft a la hora de reportar bugs. El gigante de Redmond necesitó un año para corregir una compleja vulnerabilidad que llevaba una década y media en Windows, y a esto debemos sumar cosas como Heartbleed en OpenSSL y Shellshock en Bash. Desde cierto punto de vista es posible apreciar un deterioro general en la seguridad del software, y una caída en la calidad de sus correcciones. Esto se ve reflejado sobre la cantidad de vulnerabilidades que fueron registradas en la NVD estadounidense. El año pasado, el número ascendió a 7.038, un aumento considerable en comparación con las 4.794 vulnerabilidades de 2013. ¿Pero cómo están repartidas esas siete mil entradas? ¿Cuáles son los programas y los sistemas operativos con mayor cantidad de problemas? En GFI Software decidieron hacer una lista…
Lo primero que debemos destacar es que solamente el 13 por ciento de las vulnerabilidades fueron responsabilidad de un sistema operativo. La mayoría de los agujeros de seguridad se encuentran en aplicaciones externas, y apenas el 4 por ciento puede ser vinculado a una falla de hardware. El punto más controvertido del estudio es sin duda alguna el ranking de sistemas operativos. Las dos plataformas de Apple, OS X e iOS, aparecen a la cabeza con 147 y 127 vulnerabilidades, seguidas por el kernel Linux, con 119. El resto de las entradas se dividen entre múltiples versiones de Windows. Imagino que muchos se preguntarán por qué GFI Software no cuenta todos los bugs de Windows juntos. La razón principal es que esos bugs son «compartidos», o sea que no se puede contar a un mismo bug seis o siete veces, sin embargo, el mismo criterio se podría a aplicar a los otros sistemas. OS X Yosemite y Maverics tienen soporte por separado, mientras que el kernel Linux posee dos versiones mainline, una estable, y seis longterm.
En el caso de las aplicaciones, los navegadores web se llevan el podio. Con un total de 242 vulnerabilidades, Internet Explorer saca una ventaja muy grande frente a Google Chrome con 124, y Mozilla Firefox con 117. En GFI Software indican que los navegadores se han mantenido en la cima durante los últimos seis años, y que tanto Flash Player como Java son los oponentes principales. De todas maneras… creo que el trabajo de GFI está incompleto. Android y Windows Phone no aparecen en la lista de sistemas operativos, y Safari brilla por su ausencia. Tal vez estas omisiones se deban a que tomaron como única fuente los registros de la NVD, pero si iOS no es enfrentado a otros sistemas operativos móviles, lo único que hacen es comparar peras con naranjas.