El código abierto es cada vez más frecuente en aplicaciones comerciales y domésticas. De acuerdo con estimaciones del recopilador de estadísticas sobre proyectos de código abierto, Black Duck Software, el número de ataques basados en vulnerabilidades aumentará un 20% este año. Asimismo, el peligro de más del 50% de los proyectos de software comercial compuestos de código abierto creció de un 3% en 2011 a un 33% hoy, según Mike Pittenger, vicepresidente de esta firma consultora.
“Dos tercios de las aplicaciones comerciales tienen código con vulnerabilidades conocidas”, afirma Pittenger.
“Lo malo es que los compradores no tienen manera de saber en qué software están. Claro que, por lo general, las empresas no se quieren aproximar a la realidad, ya que cuando proporcionan a los clientes una lista de componentes, suele ser incompleta. Sólo los grandes compradores corporativos suelen pedir a los vendedores la lista completa y revisada por terceros, como Black Duck”.
Agregó que esto no significa que deba evitarse el código abierto. “Hay que ser conscientes de que escribir el mismo código desde cero requiere mucho tiempo y eso retrasaría el tiempo de comercialización y dañaría la competitividad de la empresa”. Es por ello por lo que se está acelerando la tendencia de los proveedores de software comercial que utilizan código abierto.
“Tener muchos ojos” no siempre funciona
En opinión de Pittenger, aunque esté creciendo el porcentaje de los ciberataques en este tipo de software, existe una gran cantidad de apoyo en la comunidad para crear proyectos que traigan consigo seguridad y actualizaciones. Sin embargo, según Ed Moyle, director de Liderazgo e Investigación en ISACA, la estrategia de tener muchos ojos para revisar las vulnerabilidades de la fuente del código abierto no siempre funciona. “Cualquiera puede auditar el código, pero parece ser que todo el mundo lo asume y luego nadie lo hace”, explicó Javvad Malik, defensor de Seguridad de AlientVault.
El problema más grave de este panorama es que los cibercriminales son conscientes de ello. La fuente de código abierto es omnipresente, por lo que los atacantes pueden ir tras un gran número de objetivos con el mismo exploit. A esto hay que sumarle que los usuarios no realizan a menudo parches o actualizaciones. Asimismo, el nuevo código se escribe con las vulnerabilidades conocidas y antiguas puesto que ya están incorporadas.
Los expertos también informan de que el crecimiento del Internet de las Cosas se ha convertido en un problema de seguridad importante desde el año pasado. Y lo seguirá siendo este año.
“Mucho código abierto se está utilizando en dispositivos inteligentes y en el IoT”, asegura Malik.
Según Pittenger, se descubren entre 2,000 y 4,000 ataques nuevos cada año. Para solucionar el problema, los proveedores de software y sus clientes deben hacer frente a esta situación. Pero es probable que empeore antes de que empiece a mejorar.