Según el Informe de Secunia para el primer semestre de 2010, Apple es el fabricante con un mayor número de vulnerabilidades detectadas, desbancando a Oracle de esta dudosa posición de honor. Apple no copaba esta lista desde 2005.

El informe además hace hincapié en una amenaza que se está ignorando. La opinión general es que el sistema operativo es vulnerable y se culpa a Microsoft o Apple de crear “coladeros”, pero es en las aplicaciones de terceros donde se está detectando un mayor incremento de fallos críticos, y donde menos esfuerzos se llevan a cabo para corregirlo, tanto por sus fabricantes como por los propios usuarios.

Mientras que los sistemas automatizados de parcheo que ofrecen Microsoft, Apple, Google o Adobe se encargan de cerrar en plazos razonables sus fallos, muchos fabricantes no disponen de estas herramientas y requieren la acción del usuario para proteger el sistema. Un usuario de PC cierra el 35 por ciento de sus huecos con una única herramienta (Windows Update) pero necesita otras 13 o más para cerrar las del 65 por ciento restante, que se encuentran en software de terceros.

Las principales conclusiones del informe de Secunia son:

• Desde 2005, no se ha producido una tendencia significativa en el número total de vulnerabilidades en los más de 29.000 productos que Secunia analiza.
• Un grupo de diez fabricantes acapara el 38 por ciento de las vulnerabilidades reveladas. En este grupo están Apple, Oracle, Microsoft, HP, Adobe, IBM, VMware, Cisco, Google y Mozilla, por orden de “méritos”.
• De 2007 a 2009, el número de vulnerabilidades que afectan al usuario medio de PC ha pasado de 220 a 420, casi el doble. Considerando los datos del primer semestre de 2010, las previsiones indican que el número casi se doblará de nuevo a finales de 2010, llegando a las 760.
• Durante el primer semestre, se han detectado 380 vulnerabilidades. Esto representa el 89 por ciento de las detectadas durante todo 2009.

• Un usuario típico de PC, con 50 programas instalados, tiene tres veces y media más vulnerabilidades en los 24 programas de terceras partes que en los 26 programas de Microsoft que tiene instalados. Se espera que esta diferencia pase a ser 4.4 veces a finales de año.

En cuanto al origen de los posibles ataques que tomen partido de las vulnerabilidades, Secunia estima que la principal vía es la remota con un 81 por ciento de media, mientras que las que sólo son utilizables desde la red local o el sistema local se reparten casi a partes iguales el 19 por ciento restante. La estimación es que estos porcentajes van a tener a mantenerse.

La mitad de las vulnerabilidades detectadas son consideradas como alta o moderadamente críticas, según la calificación de Secunia. El 33 por ciento fueron consideradas menos críticas, y sólo un 0.2 por ciento se llevó el premio gordo de “Extremadamente crítica”.

Resumiendo, y para aclarar el título del artículo… Analizando el top general de fallos, ¿un sistema Apple es más inseguro que uno de Microsoft? Pues no necesariamente, ya que esa estadística habla de número de vulnerabilidades, y no de lo críticas que son. Además, se suman las vulnerabilidades de todos los productos de ese fabricante: un fallo crítico en Quicktime podría afectar a Mac OS X y a Windows, por ejemplo.

Lo que sí indica es que no nos podemos fiar a ciegas de los productos de Apple por su fama de seguros. Hay que estar al día y no confiarse en el prestigio que el fabricante que sea pueda tener, no me refiero sólo a Apple: no hay nada más peligroso que la falsa sensación de seguridad.

Imagen original | Flickr de acaben
Sitio oficial | Secunia
Descarga (pdf) | Informe Secunia primer semestre 2010