Vulnerabilidades en las aplicaciones Web, aporte del Ing. Pedro Castillo, de TechnologyINT

Vulnerabilidades en las aplicaciones Web, aporte del
Ing. Pedro Castillo, de TechnologyINT

El software inseguro es aquel que desarrollan los programadores y que entran a producción sin pasar por un proceso de auditoría en la cual se puedan verificar las principales vulnerabilidades que al final debilitan las organizaciones y le causan pérdidas económicas y de confianza a los clientes e inversionistas.

Cuando una organización pierde datos, pierde dinero? Basta recordar el caso de Sony que reportó pérdidas por alrededor de 2,000 millones de dólares por los episodios de hackeo en su red PlayStation tan sólo en 2011. En el 2014 el fraude en el comercio electrónico en la región alcanza los 430 millones de dólares y el robo a los bancos supera los 50 millones de dólares por año; Brasil, Argentina, Colombia, México y Chile los países más afectados. Aquí no se contabiliza la pérdida de imagen y de confianza.

A medida que la infraestructura digital se hace cada vez más compleja e interconectada, la dificultad de lograr la seguridad en las aplicaciones aumenta exponencialmente lo que trae un aumento en el riesgo de la perdida de datos sensibles.

Es constante el escenario de cambio de las amenazas para la seguridad en aplicaciones.

Existen tres factores claves en esta evolución:
1- Avances hechos por los atacantes
2- La liberación de nuevas tecnologías con nuevas debilidades
3- Sistemas cada vez mas complejos

Qué son los riesgos de seguridad en aplicaciones? Los atacantes pueden potencialmente usar rutas diferentes, a través del código para hacer daño a la organización. Cada ruta representa un riesgo que puede o no, ser lo suficientemente grave como para justificar la atención. A veces, estas rutas son triviales de encontrar y explotar, y a veces son muy difíciles. Del mismo modo, el daño que se causa puede ir desde tomar la base datos principal de clientes de su organización hasta sólo tomar los reportes de facturas con comprobante fiscal de algún período del área de contabilidad.

Cuáles son los riegos que corre mi organización? Para determinar cuáles son estos riesgos usted puede evaluar la probabilidad asociada a cada agente de amenaza, vector de ataque y debilidades de seguridad y combinar estos resultados con los controles implementados, el impacto técnico que podría tener el ataque y el impacto que esto tendría en el negocio. En conjunto estos factores determinan el riesgo global que tiene su organización al ser impactada por un ataque cibernético desde una de las aplicaciones web de su organización.

Los principales riesgos de seguridad en aplicaciones son: Inyección, tales como SQL, OS Y LDAP, Perdida de Autenticación y gestión de sesiones, Secuencia de comandos en sitios cruzados, Referencia directa insegura a objetos, configuración de seguridad incorrecta, exposición a datos sensibles, Ausencia de control de acceso a funciones, Falsificación de funciones en sitios cruzados, Utilización de componentes con vulnerabilidades conocidas, Redirecciones y reenvíos no validados, entre otras vulnerabilidades.

A mediano y largo plazo recomendamos:

• Crear un programa de seguridad en aplicaciones que sea compatible con su cultura y su tecnología, basándose en la aplicación de las mejores prácticas.
• Crear un programa de educación continuada a los equipos de desarrollo de aplicaciones, auditoria informática, seguridad tecnológica e informática forense, logrando certificar por lo menos una persona de la organización.
• Desplegar en la organización alguna plataforma que se rija por las mejores prácticas y que le permita auditar de forma automatizada las vulnerabilidades de los códigos fuentes que produce la organización así como del análisis de los códigos ejecutables que se adquieren de terceros.
• Ordenar certificaciones de cero vulnerabilidades, así como solicitar un informe auditado de los resultados de las auditoria del software que el proveedor ofrece a la organización.

Ing. Pedro Héctor Castillo Rodriguez
Gerente General de TechnologINT

Fuentes:
http://prensa.lacnic.net/news/feb2014_es/estudio-sobre-ciberdelito-en-la-region-se-duplico-el-fraude-en-el-comercio-electronico
http://www.welivesecurity.com/la-es/2013/03/01/top-10-de-vulnerabilidades-de-owasp-para-el-2013/
http://www.cnnexpansion.com/emprendedores/2012/04/30/cuanto-valen-los-datos-de-tu-empresa