Los atacantes tienen un nuevo terreno de juego favorito, y no es donde muchos equipos de seguridad están buscando. Según datos recientes de Bugcrowd, las vulnerabilidades en hardware y API están aumentando rápidamente, incluso mientras las fallas en sitios web se mantienen estables. Este cambio muestra cómo los atacantes se están adaptando a la infraestructura, atacando los sistemas ocultos que mantienen a las empresas en funcionamiento.
Nos encontramos en una carrera de innovación de alto riesgo, pero con cada avance de la IA, el panorama de la seguridad se vuelve exponencialmente más complejo. Los atacantes explotan esta complejidad, pero siguen atacando capas fundamentales como el hardware y las API. Ningún CISO puede ganar esta carrera por sí solo. Para prosperar, debemos ir más allá de los esfuerzos aislados y cultivar una resiliencia colectiva de colaboración, uniendo nuestro conocimiento de la comunidad hacker para superar juntos las amenazas emergentes», afirmó Nicholas McKenzie , CISO de Bugcrowd.
Por qué están aumentando algunas vulnerabilidades
Las vulnerabilidades de hardware experimentaron el mayor aumento en 2024, con un incremento del 88 % en comparación con el año anterior. Muchos investigadores de seguridad informaron haber encontrado vulnerabilidades de hardware completamente nuevas que no habían detectado antes.
Las vulnerabilidades de las API también aumentaron, con un incremento interanual del 10 %. Las API siguen siendo un objetivo clave, ya que se encuentran en el corazón de las aplicaciones y exponen directamente la lógica empresarial y los datos confidenciales. Los atacantes saben que incluso una pequeña falla puede tener un impacto descomunal.
Muchos programas de seguridad empiezan centrándose en sitios web y luego se expanden a otras áreas a medida que maduran. A medida que los equipos amplían su alcance, descubren vulnerabilidades en objetivos menos comunes, como dispositivos IoT , redes y sistemas de hardware. Los datos sugieren que los atacantes siguen de cerca esta expansión.
Un control de acceso defectuoso provoca fallos críticos
Algunas categorías de vulnerabilidades destacan por su crecimiento e impacto. Las fallas en el control de acceso aumentaron un 40 % en general en 2024 y un 36 % en el caso de problemas críticos de máxima prioridad. Este tipo de falla resulta atractivo para los atacantes porque es fácil de explotar y, a menudo, expone datos confidenciales o sistemas internos.
Los problemas de control de acceso también son difíciles de gestionar para los desarrolladores, especialmente a medida que las aplicaciones se vuelven más complejas y los equipos adoptan herramientas de programación basadas en IA. Los ciclos de lanzamiento rápidos pueden provocar fallos de seguridad, lo que convierte un control de acceso deficiente en un problema persistente.
La buena noticia es que las vulnerabilidades críticas de API y sitios web han disminuido ligeramente en los últimos tres años: las API han bajado aproximadamente un 25 % y los sitios web, un 30 %. Esto sugiere que los desarrolladores están progresando en estas áreas, aunque los atacantes están centrando su atención en otros objetivos.
La exposición de datos confidenciales sigue siendo una preocupación importante
La exposición de datos confidenciales es otra área con una actividad significativa. El informe detectó un aumento del 42 % en las vulnerabilidades críticas relacionadas con información personal, como nombres, direcciones y datos de cuentas.
Los datos expuestos suelen venderse, usarse para phishing o secuestrarse para pedir un rescate. A veces, la filtración no se descubre hasta meses o incluso años después, lo que da a los atacantes tiempo de sobra para causar daños.
El aumento de los pagos indica un cambio de prioridades
A medida que cambian las vulnerabilidades, también cambian las recompensas por encontrarlas. Los pagos promedio por vulnerabilidades críticas aumentaron un 32 % en 2024. Si bien los niveles generales de pago se mantuvieron relativamente estables, las organizaciones están pagando más por los problemas más graves y menos por los de menor prioridad.
Esta tendencia demuestra que las empresas priorizan la prevención de brechas catastróficas. Al destinar mayor presupuesto a los mayores riesgos, los CISO pueden incentivar las pruebas que detectan las fallas más importantes.
Fuente y redacción: helpnetsecurity.com