La popular página de estadísticas CVE Details, una popular base de datos que recopila la información sobre todas las vulnerabilidades de software que son descubiertas, ha publicado un ranking con los productos que más vulnerabilidades han acumulado en 2016. Según esta tabla, los tres productos más vulnerables han sido Android, Debian y Ubuntu.
Estos tres sistemas operativos han acumulado 523, 319 y 278 vulnerabilidades cada uno. Mientras, el cuarto y quinto lugar de la tabla lo ocupan Adobe Flash Player y Novell Leap con 266 y 259 vulnerabilidades respectivamente. En la lista también podemos ver cómo Windows 10 ha conseguido ser menos vulnerable que macOS y el Kernel Linux.

En cuanto a las vulnerabilidades, Android ha visto incrementado cómo se ha doblado el número de las de Denegación de Servicio, mientras que las de corrupción de memoria se han reducido. También hay casi un centenar de vulnerabilidades que permiten la filtración de información, y un total de 250 bugs de seguridad que permiten la elevación de privilegios, las cuales el año pasado sólo fueron 17.
Además de Debian y Ubuntu, la familia linuxera también cuenta con más integrantes en los primeros puestos de la lista. Vemos por ejemplo a los Leap y Opensuse desarrollados por Novell y al propio Kernel Linux entre los diez primeros. Pero guardad los cuchillos, porque como os vamos a explicar después el número total de vulnerabilidades es menos importante de lo que parece.
En cuanto a navegadores, Google Chrome tiene un total de 172 vulnerabilidades, y le siguen Microsoft Edge con 135 y Mozilla Firefox con 133. Safari en cambio se queda bien lejos de todos habiendo acumulado únicamente 56 vulnerabilidades durante todo 2016.
CVE Details también muestra un gráfico con los fabricantes que más vulnerabilidades han acumulado con sus productos, y aquí sí que el primer puesto se lo lleva Adobe con 1383 vulnerabilidades, seguido por Microsoft con 1325. El tercer lugar lo ocupa Google con un total de 695 vulnerabilidades, prácticamente todas ellas de Android.
Lo importante es cuántas de ellas son explotadas
Es lógico que el software y los sistemas operativos acumulen vulnerabilidades, y teniendo en cuenta el espíritu libre del Kernel Linux incluso es razonable que tenga tantos sistemas entre los primeros. Pero aquí lo importante no es tanto el número total de vulnerabilidades que se descubren como cuantas de ellas acaban siendo explotadas o cuantas son realmente peligrosa.
En este aspecto, si pulsamos sobre la cantidad de vulnerabilidades de cada producto vemos que entre la información que se da hay una nota de entre 1 a 10 para calificar la gravedad de cada una. Con ello podemos ver, por ejemplo, Windows 10 o Adobe Flash tienen muchas más vulnerabilidades con notas superiores a 9 que Debian o Ubuntu, aunque Google no se queda atrás.
Otro de los datos que ofrece la lista es la cantidad de exploits encontrados para cada vulnerabilidad. Organizando la tabla según este parámetro veremos que por lo general la inmensa mayoría de las vulnerabilidades no han sido explotadas. De hecho, según supimos en diciembre, el producto con más vulnerabilidades explotadas había sido Adobe Flash.
Vía | CVE Details
En Genbeta | Las vulnerabilidades de Adobe Flash fueron las más explotadas en 2016
Ver 19 comentarios
19 comentarios
Tony_GPR
Leí esto hace un par de días, y así por encima, y sin entrar demasiado en detalles:
- Solo se cuentan CVEs públicas, y por lo tanto es tontería las comparaciones entre SO, y entre software privativo y software libre. Porque en el software libre se publican todos los fallos de seguridad, mientras que en el privativo la mayoría de las vulnerabilidades se parchean sin que se lleguen a hacer públicas, y por lo tanto no aparecen en la lista. Algunas descubiertas por los mismos empleados de la compañía, que obviamente no publican, y otras descubiertas por terceros y compradas bajo contrato de confidencialidad por la empresa desarrolladora. Esto es un práctica muy habitual de Microsoft, haciendo firmar los contratos conocidos como "Non disclosure agreement":
https://en.wikipedia.org/wiki/Full_disclosure_(computer_security)#Non_disclosure
- En la lista aparecen CVEs de un software en concreto como si fuese una vulnerabilidad de un SO, lo cual es absurdo. Por ejemplo hay vulnerabilidades de Firefox que se apuntan en Ubuntu, aquí un ejemplo:
https://www.cvedetails.com/cve/CVE-2016-2819/
Obviamente no tiene sentido contar en Ubuntu un fallo de Firefox. Por esa regla de 3, también habría que contarlo en Windows, en Android, en OS X, y en todos los SO para los que está disponible. Y además los fallos de Internet Explorer, Edge, Safari y demás software exclusivo de una plataforma, que están por separado, se tendrían que contabilizar también en Windows y en macOS.
En fin, que esto no es un ningún estudio. Es simplemente un puñado de CVEs públicos recopilados y mal ordenados como le ha venido en gana al desarrollador de la web..
ottoswanstaiger
El título no podría ser más falso y amarillista. ¿Por qué inventan estas cosas?
Es un ranking de CVEs públicos. Estos son patrimonio casi exclusivo del software libre, y en el software privativo aparecen de tanto en tanto. ¿Cuanto software libre tienen Ubuntu y Debian en sus repositorios? ¿Cuanto tiene Fedora, OpenSuse y Mageia?
Con tanto humo en los ojos vamos a quedar chinos.
atoi
No, dejad de vender humo. Es una lista de CVE públicos, por tanto no se incluyen las vulnerabilidades de productos que apelan a divulgación responsable. Además, están contando los CVE de todo el software en los repositorio de Debian y Ubuntu; estos sistemas son los que tienen mayor catálogo de software: 43000 paquetes en el caso del primero.
260397
¿Por qué se dice que Windows es muy inseguro y resulta que aquí parece decir lo contrario?
Porque Windows es un sistema de código cerrado y estas vulnerabilidades son solo las que gente ajena a Microsoft descubre. Las vulnerabilidades que habrá encontrado gente de Microsoft o las que habrá abiertas y explotadas por la NSA no salen.
Aparte de eso también se diferencian en que Linux por diseño es más seguro y puede que estas vulnerabilidades no afecten a la mayoría porque se deben tener ciertas condiciones y Windows por el contrario sigue siendo muy inseguro, aunque ha mejorado.
Otra diferencia es que cuando sale una vulnerabilidad en Linux, a las 24 horas esta solucionada y hay actualización, en Windows normalmente tardan un mes.
fabianalexis1
Pero qué versión del Kernel Linux? cual versión de Ubuntu? es algo extraña una lista que no muestra las versiones. Por ejemplo sale otra versión del kernel Linux (supuestamente mantenida por Oracle) con menos vulnerabilidades, distros como Fedora y SUSE Linux Enterprise con menos vulnerabilidades (pero sale Leap y openSUSE separados y más arriba en la lista).
Ahora que reportan, las vulnerabilidades reportadas ? porque si es por eso, este ranking no significa nada en realidad, sobretodo sabiendo que los sistemas con kernel linux suelen corregir bugs relativamente rápido.
Ahora si uno mira la lista sale Linux Enterprise y Enterprise Linux por separado , no se cuales serán sus diferencias
GuilloooAR
Vulnerabilidades acumulan todos los sistemas, el problema es cuando se logran explotar...
sergiosalcedo
Este reporte no esta comparando peras con peras porque considera solamente al Windows 10 por un lado y en cambio toma todas las versiones de Android, OS/X y de Ubuntu (cliente y servidor) sin importar la versión.
Algo mas real es sumar las vulnerabilidades del 2016 de los Windows vigentes: Windows 10 + Windows 8.1 + Windows Server 2008 + Windows Server 2012 + Windows Server 2016
Esto da un total de 654 vulnerabilidades, es decir que sigue siendo el primer lugar.
Un problema mas preocupante es del total cuantas son las vulnerabilidades mas importantes: donde ganas accesos (GAIN INF.) o peor aun ganas privilegios (GAIN PRIV.).
Además otro punto a considerar es de esas dos vulnerabilidades importantes cuantas son CRITICAS con valor 9 o mas en la escala del 1 al 10 y que resumo en esta lista:
O.S. GAIN INF. GAIN PRIV. CRITICAS
Windows 17% 50% 11%
OS/X 19% 10% 1%
Ubuntu 12% 4% 0%
Aquí vemos que la mitad de las vulnerabilidades de Windows permiten el control del equipo; sea PC o servidor; lo cual es preocupante. Los datos los saque del mismo portal sumando las vulnerabilidades del 2016 por cada sistema operativo y revisando cuantas son criticas de esas dos vulnerabilidades.
tratamientos22
Ubuntu sólo lo utilicé en el instituto... y para nada volvería a hacerlo la verdad. Del resto del artículo no puedo hablar.
mrfloppy
Lovers de Windows y haters de Linux en 3, 2, 1...
lolo_aguirre
A mí no me afecta, yo uso Linux... Oh, wait!!