Publicada. September 1, 2010

IBM admite “errores” en su reporte de seguridad

Por Carlos Fernández de Lara

Email |  ¿Desea imprimir? Regístrese ahora

Los errores siempre cuestan. Ahora IBM y su división de seguridad X-Force  lo saben. Esto,  luego de recibir reclamos por parte de varios proveedores de software sobre datos erróneos publicados en su reporte Mid-Year Trend and Risk Report.

El reporte de IBM, del que b:Secure y Netmedia hicieron un recuento, fue liberado la semana pasada por los expertos de seguridad de la compañía y contenía el análisis, impacto, vectores y tipo de plataformas de más de 4,500 vulnerabilidades detectadas por X-Force entre enero y julio de 2010.

Sin embargo, no tardo mucho tiempo en que alguno de los proveedores del software, que fueron calificados por su eficacia para parchar o cerrar las vulnerabilidades en sus plataformas reclamaran “impresiones” en los datos o estadísticas publicadas en el reporte.

Esto, pues el análisis de IBM calificó  el desempeño de corrección de vulnerabilidades y el porcentaje de errores “críticos” o “altos” de soluciones de software de firmas como Sun Microsystems, Oracle, Microsoft, Adobe, Linux, IBM, Novell, Google, entre otros.

Así, en la primera versión del reporte de X-Force los resultados de los porcentajes de vulnerabilidades publicadas sin parche, y la de las vulnerabilidades críticas y altas sin parche terminó así:

Una de las primeras compañías en reclamar los datos revelados  por IBM en el reporte fue Google, a manos de Adam Mein, miembro del grupo de seguridad del puntocom californiano.

Mein escribió en el blog de seguridad de Google, que si bien este tipo de análisis son de gran valor para la industria a fin de detectar y dar solución a los retos y problemas en materia de seguridad, agregó que muchas veces los datos o estadísticas  de estos reportes es imprecisa y poco confiable.

“Nosotros cuestionamos varias datos revelados en el reporte de IBM, sobre todo aquellos que conciernen a los niveles de vulnerabilidad y tiempos de respuesta de los programas de Google. Luego de platicar con IBM descubrimos una serie de errores en el reporte, que impactan en las conclusiones del mismo”, redactó Mein.

Mein explica que en el primer análisis de X-Force Google falló en parchar 9% de las vulnerabilidades y 33% de los errores críticos o altos. Tras actualizar el reporte ambos parámetros para la firma de internet terminaron en cero, lo que hizo de Google al mejor proveedor de la industria en respuesta contra parches y corrección de vulnerabilidades.

El mismo experto de Google aceptó que, a fin de que IBM y cualquier otra firma de análisis de seguridad eviten liberar reportes con datos incorrectos es necesario una “colaboración más frecuente entre todas las empresas y una mayor transparencia de la metodología utilizada para la elaboración del reporte”.

Pero no sólo los datos de Google cambiaron tras las correcciones de IBM, pues ocho de los 12 vendedores analizados por x-Force sufrieron modificaciones.

Una de las más importantes fue Sun Microsystems, hoy propiedad de Oracle,  que, de acuerdo a los datos del primer reporte, falló en parchar 24% de las fallas y 9% de los errores críticos.

Tom Cross de IBM X-Force reconoció en un blog de la compañía los errores del análisis de vulnerabilidades y anunció la liberación de un segundo reporte con los datos actualizados.

Aquí les dejamos la tabla corregida  que causó discordia entre la industria y proveedores de software.

Artículos relacionados

1. Imparable, sofisticado y en crecimiento: el malware
2. Por su bien, no ceda derechos de administrador en Windows 7: Reporte
3. Reporte establece que IE es el navegador más seguro
4. Menos vulnerabilidades en 2009, pero 359% más sitios maliciosos
5. Errores que cuestan datos