Nota de prensa: 03. marzo 2014
Temas:

HP Identifica las principales amenazas a la seguridad empresarial

Un informe anual examina el panorama de vulnerabilidades y amenazas, proporcionando inteligencia de seguridad procesable para proteger de ataques

MADRID, 3 de marzo de 2014- HP ha publicado el Informe de Ciber Riesgos 2013, que identificalas principales vulnerabilidades de la seguridad empresarial yproporciona un análisis del creciente panorama de amenazas.

Desarrollado por HPSecurity Research, este estudio anual ofrece datos en profundidad yun análisis en torno a los problemas de seguridad más destacadosque afectan a las compañías. El informe de este año detalla losfactores que más contribuyeron al incremento de los ataques en2013, tales como el aumento de la confianza hacia los dispositivosmóviles, la proliferación de software inseguro o el uso crecientede Java. Además, esboza una serie de recomendaciones para lasorganizaciones con el objetivo de minimizar los riesgos deseguridad y el impacto global de los ataques.

"Los adversarios de hoy sonmás hábiles que nunca, y colaboran de manera más eficaz paraaprovechar las vulnerabilidades a través de una superficie deataque cada vez mayor", indicó Jacob West, Enterprise SecurityProducts, HP. "La industria debe unirse para compartirproactivamente inteligencia y tácticas de seguridad, con el fin deinterrumpir las actividades maliciosas impulsadas por el mercadoclandestino”.

Aspectos destacadosy principales conclusiones del informe

• Al mismo tiempo que lainvestigación de vulnerabilidades siguió adquiriendo relevancia, elnúmero total de vulnerabilidades divulgadas públicamente disminuyóen un 6% con respecto al año anterior, y el número devulnerabilidades graves lo hizo, por cuarto año consecutivo, en un9%. Aunque no es cuantificable, el descenso puede ser indicador deun aumento de las vulnerabilidades que no se hacen públicas y, ensu lugar, se distribuyen en el mercado negro para un consumoprivado y/o malicioso.
• Casi el 80 %(2) de las aplicaciones examinadas conteníanvulnerabilidades procedentes de fuera de su código fuente. Inclusoel software desarrollado por expertos puede ser peligrosamentevulnerable si está mal configurado.
• Las diversas definiciones inconsistentes de "malware" complicanel análisis de riesgos. En un examen de más de 500.000 aplicacionesmóviles para Android, HP encontró importantes discrepancias entrecómo los motores de antivirus y los proveedores de plataformasmóviles clasifican el malware.(3)
•  El 46%(2) de las aplicaciones móviles estudiadas emplean laencriptación de manera incorrecta. La investigación de HP demuestraque los desarrolladores móviles, a menudo, no encriptancorrectamente a la hora de almacenar datos sensibles en losdispositivos móviles, confiando en logaritmos débiles para hacerlo,o hacen un uso indebido de las capacidades de encriptación másfuertes, rendenrizándolas de manera inefectiva.
• Internet Explorer fue el software más estudiado en 2013 por losinvestigadores de vulnerabilidades de la Zero Day Initiative (ZDI)de HP, y representó más del 50%(4) de las vulnerabilidadesadquiridas por la iniciativa.
• Las vulnerabilidades que permiten eludir el sandbox fueron lasmás predominantes y perjudiciales para los usuarios de Java(2). Losadversarios intensificaron de forma significativa su explotación deJava, dirigiéndose simultáneamente a múltiples vulnerabilidadesconocidas (y de día-cero) en ataques combinados, con el fin deponer en peligro objetivos de interés específicos.

Recomendacionesclave

• En el mundo actual, conel incremento de los ataques cibernéticos y la creciente demanda deseguridad del software, es imprescindible eliminar lasoportunidades que propician la revelación inintencionada deinformación que pueda ser beneficiosa para los atacantes.
• Las organizaciones y los desarrolladores deben ser conscientespor igual de las trampas de seguridad en los marcos y otros códigosde terceros, en particular para las plataformas híbridas dedesarrollo móvil. Se deben de promulgar directrices de seguridadconsistentes que permitan proteger la integridad de lasaplicaciones y la privacidad de los usuarios.
• Aunque es imposible eliminar la superficie de ataque sinsacrificar la funcionalidad, una combinación adecuada de personas,procesos y tecnología permite a las organizaciones minimizar demanera efectiva las vulnerabilidades que la rodean y reducir elriesgo general.
• La colaboración y el intercambio de inteligencia sobre amenazasentre la industria de seguridad ayuda a adquirir conocimientoacerca de las tácticas del adversario, permitiendo una defensa másproactiva, protección reforzada ofrecida en soluciones deseguridad, y un ambiente global más seguro.

Metodología
HP publica su Informe de Ciber Riesgos desde 2009. Lainvestigación en Seguridad de HP aprovecha una serie de fuentesinternas y externas para el desarrollo del informe, incluida laIniciativa HP Zero Day, HP Fortify en las evaluaciones de seguridadbajo demanda, Investigación de Seguridad del Software HP Fortify,ReversingLabs, y la Base de Datos de Vulnerabilidad Nacional. Lametodología completa se detalla en el informe.

Información adicional sobreHP Enterprise Security Products disponible en www.hpenterprisesecurity.com.

HP presentará las últimastendencias en seguridad empresarial en la RSA Conference 2014, quetendrá lugar durante el 24 y 28 de febrero en San Francisco.

HP Discover, el principalevento para clientes de HP en América, se llevará a cabo del 10 al12 de junio en Las Vegas.

(1) Cyber Risk Report 2013,HP Security Research, Febrero de 2014, p.19-20.
(2) Cyber Risk Report 2013, p. 4-5.
(3) Conclusiones de HP Fortify on Demand disponibles en el theCyber Risk Report 2013, p. 24.
(4) Datos ZDI incluidos en el the Cyber Risk Report 2013, p. 6.

Java is a registeredtrademark of Oracle and/or its affiliates. Microsoft is a U.S.registered trademark of the Microsoft group of companies

Contactos de medios

About HP Inc.

HP Inc. creates technology that makes life better for everyone, everywhere. Through our portfolio of printers, PCs, mobile devices, solutions, and services, we engineer experiences that amaze. More information about HP Inc. is available at http://www.hp.com.

© 2016 HP Inc. The information contained herein is subject to change without notice. The only warranties for HP Inc. products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. HP Inc. shall not be liable for technical or editorial errors or omissions contained herein.