Equifax no fue un caso aislado: el peligro de las web apps
En la actualidad, podemos hacer casi cualquier cosa desde un navegador gracias a la expansión del cloud computing. Antes un usuario debía descargar un programa, instalarlo y ejecutarlo para casi cualquier tarea. Pero ahora, gracias a las aplicaciones web, disponer de un navegador es suficiente: utilizamos web apps para revisar el correo, realizar presentaciones, ver series y películas, editar imágenes… Tanto en nuestra vida personal como en al ámbito laboral.
En el punto de mira de los cibercriminales
La imparable proliferación de aplicaciones web no ha pasado desapercibida para los ciberatacantes. En los últimos meses, las webs apps han ganado peso como vector de ataque en numerosos incidentes de seguridad. Dos datos del Verizon Data Breach Report 2017 hacen patente la popularización de estos ataques: casi 3 de cada 10 brechas de seguridad tuvieron como origen ataques a aplicaciones web y, de hecho, la tasa de brechas de seguridad derivadas de vulnerabilidades de las web apps ha aumentado un 300% entre 2014 y 2016.
En un mundo que funciona gracias a las aplicaciones web, aquellas con niveles insuficientes de seguridad se han convertido en objetivos muy atractivos para cibercriminales que buscan una manera sencilla de introducirse en la red corporativa. Aunque las empresas se benefician de diversas maneras de las capacidades de las aplicaciones web, la prevalencia de vulnerabilidades está exponiendo a las empresas a importantes riesgos. El caso más ilustrativo de las consecuencias negativas que puede tener no asegurar correctamente estas herramientas es el de Equifax.
Caso Equifax: más de 147 millones de clientes expuestos
La brecha de seguridad que sufrió la entidad financiera en septiembre de 2017 es uno de los mayores robos de datos personales de la historia. Si bien hasta ahora la empresa había reconocido que se habían sustraído los datos de 145,5 millones de usuarios, Equifax acaba de admitir que la cifra era incorrecta. Ahora la compañía ha advertido que el cómputo total asciende hasta los 147,9 millones.
La pregunta es: ¿se podía haber prevenido semejante ataque? Sí. Equifax dejó la puerta abierta a los cibercriminales al no actualizar Apache Struts, el framework de desarrollo de aplicaciones web. No haber parcheado esta vulnerabilidad permitió que los hackers expusieran los números de seguridad social, direcciones postales e incluso números de los carnés de conducir de millones de personas. Esto demuestra que no cumplir con medidas básicas de seguridad como parchear el software que emplea la empresa puede tener consecuencias colosales. Como explica Zane Lackey, uno de los mayores expertos en seguridad de aplicaciones web, del ataque a Equifax podemos extraer dos lecciones. La primera, que el 99% de las veces los ataques suceden por cosas comunes y sencillas: sistemas que no fueron parcheados, contraseñas débiles, malware en un endpoint… Y la segunda, que el riesgo de seguridad ha pasado de la red hacia la capa de aplicaciones y los endpoints.
Es hora de proteger las aplicaciones web
Si no quieres que tu empresa se convierta en el próximo caso Equifax, deberías vigilar estos tipos de ataques comunes e implementar medidas adecuadas para combatirlos.
Según datos de Imperva, las vulnerabilidades de cross-site scripting o XSS representan el mayor número de vulnerabilidades de aplicaciones web en 2017. De hecho, su número se ha duplicado respecto a 2016. Estos ataques inyectan scripts maliciosos en sitios web vulnerables y permiten a los atacantes robar datos sensibles o incluso hacerse con el control de dispositivos. Y según las predicciones de Imperva, seguirán siendo las ofensivas más frecuentes en 2018.
Otro de los ataques más frecuentes son los de SQL injection. El lenguaje de programación SQL se usa tan a menudo para administrar y compartir información entre las aplicaciones que los cibercriminales lo ven como una oportunidad de realizar ataques introduciendo sus propios comandos SQL en las bases de datos. Como muchos servidores que almacenan datos críticos de aplicaciones web recurren al lenguaje SQL para gestionar la comunicación con esos datos, los hackers introducen comandos que les permiten cambiar, robar o borrar dichos datos.
Además del peligro que entrañan las web apps externas, las aplicaciones web internas también suponen grandes riesgos de seguridad. Es más, numerosas veces son un blanco mucho más fácil una vez que el atacante ya ha conseguido acceso a la red interna.
Para que la seguridad de nuestra empresa no se vea comprometida debido a vulnerabilidades en aplicaciones web, la prioridad debe ser diseñar dichas aplicaciones de manera segura desde el primer momento. Para ello puedes seguir estos consejos: almacena tus datos en bruto y codifícalos a la hora de renderizar, evita frameworksinseguros (o actualiza los que empleas, al contrario de lo que hizo Equifax) y llamadas de JavaScript que eviten la codificación, etc. Además, deberías proveer a los desarrolladores de herramientas que les permitan ver cómo están intentando atacar sus aplicaciones web para que puedan reaccionar de manera consecuente.
Otra de las medidas ineludibles es cifrar todos los datos. Los WAF o firewalls de aplicaciones web no son la panacea y no te van a proteger al 100%. Por eso, tener la información cifrada convertirá un posible ataque en una ofensiva frustrada.
Por último, dispón de una solución de seguridad que te ofrezca visibilidad detallada de toda la actividad que tiene lugar en los endpoints, un control absoluto de todos los procesos en ejecución y una monitorización continua de todas las aplicaciones. Panda Adaptive Defense te protege de los peligros que entrañan las aplicaciones web y evita que tu empresa sea en el próximo caso Equifax.
Fuente: https://www.pandasecurity.com/
Fecha de consulta: 18 abril 2018
