Conoce los 10 riesgos más críticos para aplicaciones
10 riesgos más críticos para aplicaciones | No se puede negar que la mayoría de los usuarios de laptops y teléfonos móviles, disfrutan pasar un buen tiempo en sus aplicaciones, desde las redes sociales, juegos móviles, ofimática, multimedia, etc. Las aplicaciones se han convertido en parte fundamental de nuestra vida.
De acorde a App Annie, líder mundial de datos en el mercado de los móviles, el usuario promedio de smartphones tiene alrededor de 80 aplicaciones en sus teléfonos y usan cerca de 40 por mes (puedes ver el reporte completo aquí)
La cantidad de información que entregamos voluntariamente a las aplicaciones es enorme: Fotografías personales con nuestra ubicación, nuestra lista de amigos y colaboradores, información confidencial de nuestros clientes, nuestros intereses amorosos o sentimentales, etc. No hace falta ser un agente del servicio secreto británico para conocer cada detalle de una persona, solo hace falta tener acceso a sus aplicaciones.
Conoce OWASP
Afortunadamente, no todo está perdido. El primero de Diciembre de 2001, la fundación OWASP (Open Web Application Security, por sus siglas en inglés) se funda con el propósito de convertirse en una comunidad abierta que permita a las organizaciones concebir, desarrollar, adquirir, operar y mantener aplicaciones que puedan ser confiables.
A pesar de que nuevas vulnerabilidades son descubiertas dia con dia, el principio de pareto aplica también aquí, es por ello que OWASP publica periódicamente una lista con las 10 vulnerabilidades más utilizadas por los cibercriminales para tener acceso no permitido a nuestra información, a continuación te presentamos un breve resumen (puedes ver la lista completa aquí)
- Inyección
Sucede cuando en una consulta de base de datos de (como SQL, LDAP, etc) el atacante envía un comando malicioso como parte de un dato legítimo. El intérprete de este comando no sabe que está siendo atacado y ejecuta un comando no intencionado que puede ocasionar la pérdida de la información o en el peor de los casos, el acceso no autorizado. - Malas prácticas de autenticación
Las funciones de ls aplicación relacionadas con la autenticación de los usuarios, a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer contraseñas, claves o tokens de sesión, o explotar otras fallas de implementación para asumir las identidades de otros usuarios de forma temporal o permanente. - Exposición de datos sensibles
Muchas aplicaciones web y API no protegen adecuadamente los datos confidenciales, como finanzas, salud y datos de sus clientes. Los atacantes pueden robar o modificar los datos que están débilmente protegidos para cometer fraude con tarjetas de crédito, robo de identidad u otros delitos. Los datos confidenciales pueden verse comprometidos sin protección adicional, como el cifrado en reposo o en tránsito, y requieren precauciones especiales cuando se intercambian con el navegador. - Entidades externas de XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan referencias de entidades externas dentro de los documentos XML (piensa por ejemplo, en la aplicación que usas para facturar). Las entidades externas pueden ser usadas para divulgar archivos internos mediante el controlador de archivos URI, recursos compartidos internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de servicio. - Pérdida de control de acceso
Las restricciones sobre lo que los usuarios autenticados pueden hacer a menudo no se aplican correctamente. Los atacantes pueden explotar estas fallas para acceder a funciones y / o datos no autorizados, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar datos de otros usuarios, cambiar derechos de acceso, etc. - Configuración de Seguridad Incorrecta
La mala configuración de la seguridad es el problema más común. Esto suele deberse a configuraciones predeterminadas inseguras, configuraciones incompletas o por “default”, almacenamiento en la nube abierta, encabezados HTTP mal configurados y mensajes de error detallados que contienen información confidencial. No solo todos los sistemas operativos, marcos, bibliotecas y aplicaciones deben estar configurados de manera segura, sino que deben ser parchados / actualizados de manera oportuna. - Secuencia de comandos en sitios cruzados(XSS)
Las fallas de XSS ocurren siempre que una aplicación incluye datos no confiables en una nueva página web sin la validación adecuada, o actualiza una página web existente con datos proporcionados por el usuario mediante una API del navegador que puede crear HTML o JavaScript. XSS permite a los atacantes ejecutar scripts en el navegador de la víctima que puede secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos. - Deserializacion Insegura
La deserialización insegura a menudo conduce a la ejecución remota de código. Incluso si las fallas de deserialización no dan como resultado la ejecución remota de código, se pueden usar para realizar ataques, incluidos ataques de repetición, ataques de inyección y ataques de escalada de privilegios - Uso de componentes con vulnerabilidades conocidas
Los componentes, como bibliotecas, marcos y otros módulos de software, se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, tal ataque puede facilitar la pérdida grave de datos o la toma de control del servidor. Las aplicaciones y las API que utilizan componentes con vulnerabilidades conocidas pueden socavar las defensas de las aplicaciones para permitir o facilitar ataques. - Registro de logs y monitoreo insuficientes
El registro y monitoreo insuficientes, junto con una mala integración de respuesta a incidentes, permite a los atacantes atacar aún más los sistemas, mantener la persistencia, girar a más sistemas y manipular, extraer o destruir datos. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días, típicamente detectado por partes externas en lugar de procesos internos o monitoreo.
No estás solo
En Quanti conocemos lo difícil que puede ser mantenerse al día con todas estas vulnerabilidades al mismo tiempo que mantenemos el negocio operando. Así como el proyecto OWASP se preocupa por mantener un listado de las vulnerabilidades más críticas, en Quanti nos preocupamos por ti, para que tu te enfoques en lo más importante: Tu negocio.
Si ya eres parte de la estadística o bien, te gustaría no serlo. No dudes en llamarnos. Nuestro equipo de consultores ponen a tu disposición diversas metodologías de trabajo que te permitirán contar con una solución a tu medida, que crezca conforme tu vayas creciendo y que se adapte a las necesidades de tu empresa.
Autor: Andrea Cantú
Edición: Martín Chávez
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes