Vulnerabilidades reportadas en 2022 aumentaron 26% y alcanzaron nuevo récord histórico
El impacto de las vulnerabilidades de ciberseguridad en 2022 y qué revelan los datos sobre el nivel de exposición
Las vulnerabilidades de ciberseguridad en 2022 marcaron un récord histórico y dejaron información clave para comprender cómo evolucionan las amenazas digitales y cuáles son los principales riesgos para usuarios y organizaciones. Analizar estos datos permite identificar qué aplicaciones, sistemas operativos y fabricantes concentraron más fallos, así como los tipos de vulnerabilidades más explotadas por los cibercriminales.
En 2022 se registró un récord histórico de vulnerabilidades reportadas
El siguiente gráfico muestra que en 2022 se alcanzó un pico histórico con 25226 vulnerabilidades reportadas en distintos productos y fabricantes. Esta cifra representa un crecimiento de 26,5% en el número de vulnerabilidades reportadas en comparación con 2021 y equivale a unas 70 vulnerabilidades por día, situación que demuestra que si el promedio diario se mantiene se puede proveer un aumento de detecciones para este 2023 respecto a 2022.
Imagen 1. Vulnerabilidades reportadas por año desde 1999 hasta 2022. Fuente: CVE Details.
Otro dato relevante sobre la cantidad de vulnerabilidades reportas es que solo el 3,4% de vulnerabilidades son de carácter crítico. Esto representa una caída con respecto a 2021 donde el porcentaje de vulnerabilidades criticas reportadas fue del 5,81%. Por lo tanto, si bien durante 2022 se descubrieron más vulnerabilidades que otros años, la severidad de las mismas fue menor.
Aplicaciones con mayor número de vulnerabilidades reportadas en 2022
En la siguiente tabla se puede apreciar cuáles fueron las 10 aplicaciones sobre los cuales se reportó un mayor número de vulnerabilidades el último año.
| Nombre del producto | Desarrollador/Fabricante | Tipo de producto | Número de vulnerabilidades | |
|---|---|---|---|---|
| 1 | Chrome | Application | 2578 | |
| 2 | Firefox | Mozilla | Application | 2130 |
| 3 | Mysql | Oracle | Application | 1182 |
| 4 | Safari | Apple | Application | 1175 |
| 5 | Internet Explorer | Microsoft | Application | 1168 |
| 6 | Thunderbird | Mozilla | Application | 1143 |
| 7 | Firefox Esr | Mozilla | Application | 870 |
| 8 | Oncommand Insight | Netapp | Application | 781 |
| 9 | Gitlab | Gitlab | Application | 771 |
| 10 | Office | Microsoft | Application | 733 |
Fuente: CVE Details
Dentro del Top 10 de aplicaciones con más vulnerabilidades predominan los navegadores web, encabezados por Google Chrome y Firefox, ambos de uso masivo. En tercer lugar aparece MySQL, ampliamente utilizado en entornos tecnológicos y por usuarios finales.
Para los ciberatacantes, las aplicaciones más populares son las más atractivas para explotar, ya que permiten alcanzar a un mayor número de víctimas. En 2022, Google lanzó múltiples actualizaciones de Chrome para corregir vulnerabilidades zero-day, algunas de las cuales estaban siendo explotadas activamente, lo que refuerza la importancia de mantener el software siempre actualizado.
Sistemas Operativos con mayor número de vulnerabilidades
Si bien Debian Linux se presenta como el sistema operativo con mayor número de fallos de seguridad reportados en el histórico hasta 2022, es importante aclarar que no necesariamente hablamos vulnerabilidades críticas.
| Nombre del sistema operativo | Nombre del fabricante | Tipo de producto | Número de vulnerabilidades históricas | |
|---|---|---|---|---|
| 1 | Debian Linux | Debian | OS | 7489 |
| 2 | Android | OS | 4902 | |
| 3 | Fedora | Fedoraproject | OS | 4108 |
| 4 | Ubuntu Linux | Canonical | OS | 3709 |
| 5 | Mac Os X | Apple | OS | 3101 |
| 6 | Linux Kernel | Linux | OS | 3034 |
| 7 | Windows 10 | Microsoft | OS | 3016 |
| 8 | Iphone Os | Apple | OS | 2863 |
| 9 | Windows Server 2016 | Microsoft | OS | 2786 |
| 10 | Windows Server 2008 | Microsoft | OS | 2445 |
Fuente: CVE Details
Teniendo esto claro, en el caso de Debian Linux el histórico de vulnerabilidades reportadas desde 1999 hasta 2022 es de 7489. En 2022 se reportaron 720 vulnerabilidades, siendo 2018 el año en que se registró el mayor número con 1407. Con respecto a la severidad, de los 720 fallos reportados en 2022 solo 14 eran críticos y 109 permitían la ejecución de código.
Para el sistema Android se llegó a un récord histórico en 2022 con 899 vulnerabilidades reportadas, superando a 2020, que hasta ahora era el año en el que más vulnerabilidades se habían reportado con 859. De las vulnerabilidades reportadas en 2022, 43 de ellas fueron consideradas de alta criticidad y 102 permitían ejecutar código. En el acumulado desde 2009 a 2022 se reportaron un total de 4902 vulnerabilidades en Android.
En el caso de Fedora es el tercer sistema operativo con más vulnerabilidades reportadas desde 2007 a 2022 con un total de 4108. En 2022 se reportaron un total de 906 vulnerabilidades de las cuales 84 son de ejecución de código.
Fabricantes con más vulnerabiliudades reportadas en sus productos
| Nombre del fabricante | Cantidad de productos | Número de vulnerabilidades | Número de vulnerabilidades/Número de productos | |
|---|---|---|---|---|
| 1 | Microsoft | 719 | 9181 | 13 |
| 2 | Oracle | 1026 | 8934 | 9 |
| 3 | 144 | 8104 | 56 | |
| 4 | Debian | 111 | 7617 | 69 |
| 5 | Apple | 143 | 5980 | 42 |
| 6 | IBM | 1385 | 5597 | 4 |
| 7 | Redhat | 469 | 4672 | 10 |
| 8 | Cisco | 6053 | 4362 | 1 |
| 9 | Fedoraproject | 22 | 4172 | 190 |
| 10 | Canonical | 49 | 3748 | 76 |
Fuente: CVE Details
Si bien Microsoft lidera el ranking de fabricantes con más vulnerabilidades reportadas, este dato debe analizarse en contexto. Para evaluar el riesgo real es clave considerar la cantidad de productos afectados y la criticidad de los fallos. Por ejemplo, aunque Microsoft acumula más vulnerabilidades en términos absolutos, estas se distribuyen en cientos de productos, mientras que otros fabricantes como Fedora presentan un promedio mucho mayor de vulnerabilidades por producto, lo que ofrece una visión más precisa del nivel de exposición.
Tipo de vulnerabilidades más reportadas en 2022
Las vulnerabilidades de ejecución remota de código fueron las más reportadas en 2022. Fuente: CVE Details
Con respecto al tipo de amenzas detectadas vemos que el escenario es variado, pero se destacan las vulnerabilidades que permiten la ejecución de código con el 22% de las vulnerarbilidades reportadas. Es importante mencionar que este tipo de vulnerabilidad es de alta criticidad y riesgo.
Vulnerabilidades más utilizada por cibercriminales durante 2022 en la región
No todas las vulnerabilidades son críticas ni cuentan con exploits disponibles, pero resulta preocupante que entre las más utilizadas por cibercriminales en América Latina durante 2022 haya fallos descubiertos hace más de una década. Vulnerabilidades como CVE-2012-0143 y CVE-2012-0159 en Microsoft Windows siguen siendo explotadas, lo que evidencia una falta de concientización y de actualización de sistemas.
La permanencia de estos fallos refuerza la necesidad de aplicar parches de seguridad y buenas prácticas de forma continua. Además, las aplicaciones de uso masivo continúan siendo los principales objetivos de los atacantes, ya que permiten alcanzar un mayor número de víctimas y justifican el desarrollo de exploits específicos.