La gesti\u00f3n de parches empez\u00f3 a cobrar importancia a partir de 2009 con la aparici\u00f3n de m\u00faltiples gusanos y lleg\u00f3 a su culmen en 2017 con WannaCry, que afect\u00f3 sistemas por todo el mundo. Actualmente la gesti\u00f3n de parches de seguridad se ha convertido en un proceso de mantenimiento en vez de algo puntual para arreglar vulnerabilidades graves, como ocurr\u00eda en el pasado.<\/p>\n
<\/p>\n
Para el seguimiento de vulnerabilidades se crearon varias bases de datos p\u00fablicas, la primera fue la \u00abVulnerability Naming Scheme\u00bb (CVE)<\/a> en 1999, aunque la m\u00e1s importante actualmente es la National Vulnerability Database (NVD)<\/a>, creada en 2011. En Espa\u00f1a el INCIBE mantiene una base de datos de vulnerabilidades<\/a>, aunque aparte de estar en espa\u00f1ol no aporta ning\u00fan valor especial en este aspecto sobre la NVD aunque, eso si, tiene avisos sobre campa\u00f1as de phishing y smishing enfocadas hacia usaurios de Espa\u00f1a.<\/p>\n La NVD integra todos los recursos del gobierno estadounidense disponibles p\u00fablicamente, est\u00e1 sincronizada y se basa en la lista CVE y usa un sistema de puntuaci\u00f3n para calificar la gravedad de riesgo. Esta lista se ha convertido en un est\u00e1ndar \u00abde facto\u00bb para la gesti\u00f3n de vulnerabilidades y se usa de origen de los datos por parte de todas las organizaciones dedicadas a esto, como el INCIBE en Espa\u00f1a.<\/p>\n Desde 2011 la gesti\u00f3n de parches se ha convertido en un trabajo que necesita cada vez m\u00e1s recursos en las empresas debido al creciente n\u00famero de vulnerabilidades detectadas, algo que adem\u00e1s no siempre es tan f\u00e1cil como actualizar un software o un paquete, ya que muchas veces se trata de librer\u00edas o software de base que puede afectar a otros sistemas en producci\u00f3n que no pueden pararse sin causar graves trastornos.<\/p>\n El tiempo de respuesta ante la aparici\u00f3n de vulnerabilidades que afectan a nuestros sistemas es de gran importancia, especialmente ante las vulnerabilidades cr\u00edticas.<\/p>\n Desde que se detecta una nueva vulnerabilidad hasta que se crea y aplica el parche o se aplican medidas para mitigar el riesgo suelen pasar entre dos y ocho semanas en empresas que disponen de un departamento para esta labor, aunque no se hace en muchas empresas por falta de conocimiento o medios, dejando sus sistemas vulnerables, tanto los locales como las webs corporativas, que quedan muchas veces sin ning\u00fan mantenimiento.<\/p>\n Existe la creencia err\u00f3nea de que todas las vulnerabilidades pueden solucionarse con un parche o actualizaci\u00f3n, pero no es as\u00ed. S\u00f3lo el 10% de las vulnerabilidades conocidas pueden arreglarse con parches. El otro 90% no pueden ser parcheadas, lo que s\u00f3lo deja dos opciones, corregir el c\u00f3digo por nuestra cuenta o aplicar procesos para mitigar o impedir que las vulnerabilidades puedan ser explotadas, algo que requiere de personal \u00e1ltamentre cualificado. Es por esto que cada vez m\u00e1s empresas carecen de la capacidad, el personal cualificado o el presupuesto necesario para mantener actualizado su software ante vulnerabilidades.<\/p>\n Esta situaci\u00f3n ha creado una guerra asim\u00e9trica entre las organizaciones que tratan de mantener sus sistemas actualizados y los delincuentes que buscan vulnerarlos, por lo que la gesti\u00f3n de parches es actualmente una labor cr\u00edtica en el despliegue de seguridad de las organizaciones, especialmente en las que prestan servicios vitales como hospitales o suministros de energ\u00eda. El creciente n\u00famero de casos de ransomware ha puesta a muchas organizaciones en situaci\u00f3n cr\u00edtica y cada vez es m\u00e1s dif\u00edcil encontrar personal cualificado capaz de llevar a cabo esta labor con eficacia, algo que sin duda ser\u00e1 uno de los principales retos de la ciberseguridad a corto plazo.<\/p>\n","protected":false},"excerpt":{"rendered":" La gesti\u00f3n de parches empez\u00f3 a cobrar importancia a partir de 2009 con la aparici\u00f3n de m\u00faltiples gusanos y lleg\u00f3 a su culmen en 2017 con WannaCry, que afect\u00f3 sistemas por todo el mundo. Actualmente la gesti\u00f3n de parches de seguridad se ha convertido en un proceso de mantenimiento en vez de algo puntual para… Read more »<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[142],"tags":[],"class_list":["post-1969","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"_links":{"self":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts\/1969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/comments?post=1969"}],"version-history":[{"count":3,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts\/1969\/revisions"}],"predecessor-version":[{"id":1972,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts\/1969\/revisions\/1972"}],"wp:attachment":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/media?parent=1969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/categories?post=1969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/tags?post=1969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}