En un comunicado en conjunto entre agencias de Estados Unidos, Reino Unido y Australia, se da aviso de las 30 vulnerabilidades principales que son explotadas de manera rutinaria por ciberactores malintencionados. Los datos son tanto de 2020 y 2021.

Mencionan que estas vulnerabilidades son conocidas públicamente, y que algunas de ellas lo están desde al menos dos años. Vulnerabilidades que además ya se cuenta con parche de seguridad para todas ellas. Entre las empresas con mas herramientas explotadas está Microsoft, Pulse, Accellion, VMware y Fortinet.

El comunicado termina «animando a las organizaciones»:

Se anima a las organizaciones a remediar o mitigar las vulnerabilidades lo más rápido posible para reducir el riesgo de explotación. La mayor parte de ellas es posible solucionarlas mediante la aplicación de parches y la actualización de los sistemas. Las organizaciones que no hayan solucionado estas vulnerabilidades deben investigar la presencia de IOC (Indicadores de compromiso) y, si se ven comprometidas, iniciar planes de recuperación y respuesta a incidentes.

Aquí es posible encontrar el comunicado y el listado de las 30 vulnerabilidades, así como toda la información necesaria para mitigar su impacto. Las agencias que emiten el aviso son el FBI (Federal Bureau of Investigation), CISA (Cybersecurity and Infrastructure Security Agency de Estados Unidos), ACSC (Australian Cyber Security Centre) y NCSC (United Kingdom’s National Cyber Security Centre).

Comentario de Seshat:

¡No tienen vergüenza! Desplegar y mantener soluciones de TI en este momento de la historia, es cada vez mas complicado; es cierto. Pero estamos hablando de encargados y responsables de la seguridad de la información de millones de personas, de propiedad intelectual valorado en decenas de miles dólares y de interrupciones en las operaciones de empresas y gobiernos con consecuencias incalculables.

Estos responsables ganan en promedio los sueldos mas altos dentro de las empresas, y dentro de toda la industria. Sus presupuestos son cada vez mas abultados y son las únicas áreas que no viven con las consecuencias de sus errores al mismo nivel de otras áreas. Se esconden en el desconocimiento de los usuarios normales.

Estas vulnerabilidades existen desde hace años. Los parches de seguridad también. Pero deciden no hacer su único trabajo. Y las personas, ciudadanos, estudiantes, trabajadores, clientes, tarjetahabientes y usuarios; tienen que vivir con las consecuencias de su irresponsabilidad.

Ellos nunca se harán responsables.

La industria necesita cambiar los incentivos. En caso contrario, solo nos queda la esperanza de que las agencias de seguridad nacional de algunos de los países mas poderosos; les rueguen y guardemos la esperanza de que ellos escuchen.

Mas información: ArsTechnica y CISA.