Se nos dice que una de las mejores maneras de mantenerse a salvo es asegurarse de que nuestras computadoras estén parcheadas. Pero siempre debemos ser conscientes de que en cualquier momento existen varias vulnerabilidades que probablemente sean conocidas y utilizadas por los atacantes. La buena noticia es que la cantidad de días entre el momento en que se identifica un error y el momento en que se soluciona está disminuyendo lentamente, según Google Project Zero. Realiza un seguimiento del tiempo que tardan los proveedores en corregir errores y descubrió que “en 2021, los proveedores tardaron un promedio de 52 días en corregir las vulnerabilidades de seguridad informadas por Project Zero. Esta es una aceleración significativa de un promedio de alrededor de 80 días. [three] hace años.»
Al revisar la lista de errores informados de 2019 a 2021, está claro que ninguna plataforma es inmune. Apple a menudo ha sido promocionada como nativamente más segura que otras plataformas, pero, según lo medido por Google Project Zero, tenía un total de 84 errores, en comparación con los 80 de Microsoft. El promedio de días para corregir errores se redujo de 71 días para Apple en 2019 a 64 días en 2021. Para Microsoft, el tiempo de demora se redujo de un promedio de 85 días a 76 días.
No piense solo en errores en el sistema operativo de escritorio; también es importante recordar errores en las plataformas de teléfonos inteligentes. Con el programa Google Project Zero, tomó un promedio de 70 días solucionar los problemas de iOS (y 72 días corregir los errores de Android en la plataforma Samsung). Donde las dos plataformas divergen es en la cantidad de errores corregidos. iOS tuvo 76 contra 10 para Android en la plataforma Samsung y 6 en la plataforma Android Pixel). Esta discrepancia es más un reflejo de cómo Apple construye e implementa el software.
«Las actualizaciones de seguridad para ‘aplicaciones’ como iMessage, FaceTime y Safari/WebKit se envían como parte de las actualizaciones del sistema operativo, por lo que las incluimos en el análisis del sistema operativo», dijo Project Zero. «Por otro lado, las actualizaciones de seguridad para aplicaciones independientes en Android se realizan a través de Google Play Store, por lo que no se incluyen aquí en este análisis».
Para los navegadores, el que tenía más usuarios también tenía la mayoría de los errores. Google Chrome tuvo 40 errores durante ese período de tres años y el tiempo más rápido para corregir un error, en promedio. Pero no seas complaciente si usas el navegador Brave: muchos navegadores se basan en el motor Chromium y, por lo tanto, son tan vulnerables como Chrome. Edge, Opera, Vivaldi, Brave, Colibri, Epic y Iron, entre otros, están todos en el mismo bote de Chromium. Entonces, cuando Chrome reciba un parche de seguridad obligatorio, busque actualizaciones para otros navegadores.
Los navegadores son esencialmente el nuevo «sistema operativo»; necesitan una atención especial porque se utilizan de muchas maneras y porque muchos productos y servicios han migrado a la nube. Incluso podría considerar ejecutar versiones de desarrollador de Chrome y Edge, ya que las versiones beta a menudo incluyen funciones de seguridad que pueden protegerlo mejor. O puede descargar versiones de soporte extendido que garantizan soluciones estables a más largo plazo. (Firefox, por ejemplo, tiene versiones de soporte extendido (ESR).) Incluso si no es un usuario empresarial, puede descargar Firefox ESR, especialmente si desea una plataforma segura sin tener que lidiar con cambio por cambio. La ventaja es que los cambios se implementan lentamente; la desventaja es que los cambios suelen ser drásticos. Por lo tanto, deberá saber cuándo se realizarán los cambios.
Otra táctica es asegurarse de que sus navegadores estén configurados para actualizarse automáticamente e instalar parches inmediatamente. En general, en Askwoody.com, insto a los usuarios a retrasar la actualización de Windows de inmediato y esperar hasta que obtengamos luz verde para todos los problemas conocidos. Pero para los navegadores, recomiendo enfáticamente que instale las actualizaciones de inmediato; Si sufre efectos secundarios, puede cambiar fácilmente a otro navegador hasta que se solucionen los errores.
Si bien la aceleración de las actualizaciones de seguridad suele ser algo bueno, la gestión de los efectos secundarios de los proveedores no lo es. El año pasado, Chrome pasó de enviar actualizaciones cada seis semanas a enviar actualizaciones cada cuatro semanas. (La versión de seguridad extendida recibe lanzamientos de características cada 8 semanas).
Para Edge, puede usar Intune o la directiva de grupo para cambiar la cadencia de lanzamiento extendido. Abra el Editor de políticas de grupo local, vaya a Configuración de la computadora, luego Plantillas administrativas, luego Actualización de Microsoft Edge > Aplicaciones > Microsoft Edge. Seleccione Anulación del canal de destino y seleccione Habilitado. En Opciones, elija «Estable extendida» en la lista desplegable Política.
En resumen: tenga en cuenta que por todas las vulnerabilidades que se corrigen cada mes, hay muchas más que aún se están investigando y aún no se corrigen. Algunos de ellos incluso son utilizados por los atacantes. Siempre que use su computadora, siempre tenga cuidado y haga clic con cuidado. Siempre estás en riesgo.
Derechos de autor © 2022 IDG Communications, Inc.
