En un reciente reporte, Google Project Zero señaló que durante 2021 se reportaron 58 vulnerabilidades día cero explotadas, un récord en el poco tiempo que este equipo especializado lleva dando seguimiento a esta clase de fallas. En este informe, los investigadores señalaron que el número de fallas día cero explotadas se duplicó desde 2020.
Ante este panorama, Project Zero considera que la industria de la ciberseguridad debe adoptar un enfoque más proactivo para evitar la explotación de estas fallas: “Las decisiones que tomamos en las comunidades de seguridad y tecnología pueden tener un impacto real en la sociedad y en la vida de nuestros semejantes”, aseguran los investigadores.
En su informe, los investigadores de Project Zero hacen referencia al trabajo de la firma de seguridad Citizen Lab, que a principios de semana también emitió un reporte sobre errores día cero explotados por las firmas comerciales NSO Group y Candiru. Esas empresas han sido vinculadas a campañas de explotación de vulnerabilidades día cero para espiar y mantener vigiladas a personas de interés en Cataluña, región autónoma de España.
Sobre el notable incremento en la explotación de estas fallas, Google considera que esto se debe a las mejoras en los sistemas de detección y divulgación, no necesariamente a un incremento en las fallas día cero: “Los atacantes están teniendo éxito utilizando los mismos patrones de errores y técnicas de explotación y persiguiendo las mismas superficies de ataque”, agrega la investigadora Maddie Stone.
De entre las 58 vulnerabilidades reportadas por Google, 39 son errores de corrupción de memoria, 17 errores use-after-free, 6 fallas de lectura y escritura fuera de límites, 4 errores de desbordamiento de búfer y 4 errores de desbordamiento de enteros.
Project Zero también elaboró una lista de plataformas afectadas, destacando Chromium: “Chromium tuvo un número récord de fallas día cero detectadas y divulgadas en 2021, con 14. De estas fallas, 10 fueron errores de ejecución de código remoto del renderizador, 2 escapes de sandbox, una fuga de información y una falla más puede ser explotada para abrir una página web en aplicaciones de Android que no sean Google Chrome”, señala el reporte.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.