Informática

Análisis de vulnerabilidades en aplicaciones web: Guía práctica para fortalecer la seguridad.

3 de mayo de 2023

Hay muchas razones por las que la seguridad cibernética se está elevando a la cima de la lista de prioridades de los gerentes, y eso no solo incluye a las empresas que brindan productos o servicios tecnológicos.

Dos buenos indicadores para esta preocupación son el surgimiento de leyes de protección de datos y el auge del trabajo a distancia. Cabe también mencionar la necesidad de reducir las vulnerabilidades de seguridad debido al mercado competitivo y la búsqueda de resiliencia cibernética y continuidad comercial.

Es en este contexto, el ranking OWASP Top 10 representa una dirección con el potencial de facilitar la elaboración de su estrategia de seguridad basada en riesgos.

Top-10: vulnerabilidades más frecuentes en aplicaciones

Abordemos ahora la lista de las diez vulnerabilidades más comunes en las aplicaciones, según la versión más actualizada del OWASP Top 10. Al tomar nota de ellas, podrás fortalecer la seguridad de tu empresa.

1: romper el control de acceso

Esta vulnerabilidad ocupó el quinto lugar en el anterior ranking OWASP Top 10 publicado y ha subido al número uno.

Es, por tanto, la vulnerabilidad que actualmente representa el riesgo de seguridad más grave para las aplicaciones web.

Este tipo de vulnerabilidad indica que existen riesgos relacionados con el acceso a una determinada aplicación por parte de personas no autorizadas debido a los recursos utilizados por los ciberdelincuentes para eludir el control de acceso.

En la investigación realizada para compilar la lista, se encontraron una o más enumeraciones de debilidades comunes (Common Weakness Enumeration o CWE) en aproximadamente el 3,81% de las aplicaciones probadas.

Se identificaron 34 tipos de listas de debilidades comunes y se detectaron más de 318.000 ocurrencias, la mayoría presentes en aplicaciones.

2: Defectos criptográficos

Otra vulnerabilidad escaló posiciones en el ranking. Las fallas relacionadas con el cifrado ocuparon el tercer lugar en la lista anterior.

Anteriormente, esta vulnerabilidad se denominaba Exposición de datos confidenciales o Exposición de datos confidenciales. Ahora está más claro que la categoría se enfoca en fallas criptográficas, lo que anteriormente estaba implícito.

El cifrado se considera un recurso fundamental a la hora de pensar en la seguridad de los datos, tanto en lo que se refiere al envío y recepción de información como cuando el objetivo es almacenarla.

Sin embargo, usar criptografía no es suficiente, es necesario tener garantías en cuanto a su eficiencia y alcanzar el segundo lugar en el ranking muestra una situación crítica.

Las fallas de cifrado pueden dar lugar a la exposición de datos confidenciales o incluso al compromiso del sistema en su conjunto.

Te puede interesar: Cómo manejar grandes cantidades de datos y obtener información valiosa

3: Inyección

Cuando hablamos de inyección en el mundo de las aplicaciones, la referencia es a una técnica de ataque que se basa en la manipulación de código, como ocurre con SQL.

SQL es un código utilizado para intercambiar información entre aplicaciones y bases de datos relacionales. Por lo tanto, el ciberdelincuente inyecta una entrada de cadena en la aplicación e intenta manipular la instrucción del código.

Esto puede dañar la base de datos de varias maneras, incluso culminando en denegaciones de servicio. La tasa máxima de incidencia de este tipo de problemas en las aplicaciones probadas para el último ranking es del 19% y la tasa media es del 3,37%.

Dentro de esta categoría, se identificaron 33 enumeraciones de debilidades comunes, con el segundo mayor número de ocurrencias en aplicaciones (274 000 ocurrencias).

4: Diseño inseguro

Esta es una nueva categoría y se enfoca en riesgos vinculados a fallas de diseño.

Los resultados obtenidos en los análisis realizados llevaron a la conclusión de que es necesario aportar más seguridad al desarrollo de todas las etapas de la aplicación y no solo a las etapas finales. Es decir, es necesario “mover a la izquierda”, ya que las iniciales de las etapas están más a la izquierda en el flujo de desarrollo.

Esto requiere principios y patrones de diseño más seguros, arquitecturas de referencia y modelos de amenazas.

Cuando se tiene un diseño inseguro en una aplicación en funcionamiento, no es posible corregirlo mediante una implementación perfecta, porque los controles de seguridad, en teoría, nunca se crearon.

En este sentido, la aplicación se queda sin una defensa robusta frente a ataques específicos.

Quizás también te interese: 5 tendencias tecnológicas emergentes en 2023

5: Configuración insegura

Las vulnerabilidades relacionadas con la configuración insegura subieron del sexto al quinto lugar en el ranking OWASP. Se detectaron más de 208.000 ocurrencias de debilidades comunes enumeradas para esta categoría de riesgo, con una tasa de incidencia promedio de 4.5% en las aplicaciones probadas.

El ascenso en el ranking se justifica por el aumento de cambios en software altamente configurable que se está produciendo en los últimos años. Por tanto, es necesario revisar esta maleabilidad con respecto a las configuraciones para evitar incidentes de seguridad.

Otro cambio de la categoría de configuraciones inseguras es la inclusión de la antigua categoría de Entidades Externas, que ahora también abarca.

6: Componentes obsoletos y vulnerables

La categoría subió del noveno al sexto lugar desde el ranking de 2017 y representa un riesgo difícil de probar y evaluar. De hecho, es la única categoría donde no se ha mapeado ninguna enumeración de debilidades comunes.

En este sentido, llama la atención la falta de cuidado con respecto a la necesidad de actualizaciones periódicas para mejorar la seguridad de la aplicación.

Un componente que hoy difícilmente supondría riesgos puede traer muchos de ellos en un futuro próximo. De esta manera, resulta importante considerar la evolución de la tecnología al desarrollar soluciones.

7: Fallos de identificación y autenticación

Anteriormente, esta categoría se conocía como “Autenticación rota” y cayó del segundo al séptimo lugar en el ranking.

La principal diferencia es que ahora también incluye enumeraciones de debilidades comunes relacionadas con fallas de identificación.

La razón más probable de su caída en las clasificaciones es la mayor disponibilidad de marcos estandarizados, lo que ha ayudado a reducir este problema.

Por lo tanto, aunque estos fallos sigan formando parte del Top 10, la tendencia es que siga cayendo en el ranking hasta dejar de formar parte de él.

Está claro aquí que el OWASP Top 10 no solo indica situaciones alarmantes en el desarrollo de aplicaciones. También hay expectativas positivas relacionadas con los avances en seguridad de la información.

8: fallas en la integridad del software y los datos

Esta es una nueva categoría. Se centra en suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD (método de entrega frecuente de aplicaciones a los clientes) sin verificación de la integridad.

Sus impactos se consideraron ponderados a medida que se mapearon 10 enumeraciones de debilidades comunes.

Leé también: Cómo implementar y administrar redes de área amplia (WAN)

9: Monitoreo de seguridad y fallas de registro

Las fallas relacionadas con el registro y el monitoreo de seguridad ocuparon el décimo lugar en el ranking OWASP Top 10 de 2017. Estos se denominaron “Registro y monitoreo insuficientes” y ahora se han ampliado para incluir otros tipos de fallas.

Esta es una categoría difícil de probar, que no está bien representada cuando se trata de enumerar las debilidades comunes. Las fallas pueden afectar directamente la visibilidad, la experiencia y las alertas sobre incidentes de ciberseguridad.

Aunque ocupa el noveno lugar de la lista, esta es una vulnerabilidad que merece atención, ya que las acciones relacionadas con el monitoreo de la seguridad se han incrementado en los últimos años.

Estas iniciativas necesitan ganar en eficiencia y el ranking apunta un posible camino a seguir en este sentido.

10: falsificación de solicitud del lado del servidor

De las encuestas realizadas para la publicación del Top 10, se puede concluir que la tasa de incidencia de esta vulnerabilidad es relativamente baja.

Aun así, la presencia de esta categoría en el ranking demuestra que los miembros de la comunidad de seguridad indican que este problema necesita atención, incluso si los datos no muestran una necesidad urgente de enfocar los esfuerzos para combatir esta vulnerabilidad.

Hasta acá llegamos con la información “Análisis de vulnerabilidades en aplicaciones web: Guía práctica para fortalecer la seguridad.”, esperamos que te haya sido útil. Recordá que en SSD ofrecemos soluciones tecnológicas en las áreas de infraestructura, virtualización, tele comunicaciones, datos y contact centers. ¡Contáctanos para más información y déjanos tu opinión sobre este artículo en comentarios!

0 0

Análisis de vulnerabilidades en aplicaciones web: Guía práctica para fortalecer la seguridad.

Top-10: vulnerabilidades más frecuentes en aplicaciones

1: romper el control de acceso

2: Defectos criptográficos

3: Inyección

4: Diseño inseguro

5: Configuración insegura

6: Componentes obsoletos y vulnerables

7: Fallos de identificación y autenticación

8: fallas en la integridad del software y los datos

9: Monitoreo de seguridad y fallas de registro

10: falsificación de solicitud del lado del servidor

Leave a Reply Cancel Reply

Ventajas de la virtualización de aplicaciones en el entorno laboral

Telefonía IP: la revolución frente al modelo tradicional

Cómo implementar una estrategia de transformación digital

Ciberseguridad empresarial: ¿Cómo proteger tus datos más valiosos?

¿Por qué tu Contact Center necesita una solución omnicanal?