Informe: 9 de cada 10 veces, los piratas informáticos pueden atacar a los visitantes del sitio web


Un estudio de Positive Technologies encuentra que el 82% de las vulnerabilidades de las aplicaciones web se encuentran en el código fuente.

Los 5 principales riesgos de seguridad de las aplicaciones web
Difundir el conocimiento de estos riesgos dentro de su organización puede ayudar a crear una cultura de código más seguro.

Un informe reciente de Positive Technologies estudió las vulnerabilidades de las aplicaciones web y descubrió que más de la mitad de todos los sitios tienen vulnerabilidades de alto riesgo.

El informe "Vulnerabilidades y amenazas de la aplicación web: estadísticas para 2019" de la compañía encontró señales de que las empresas están comenzando a priorizar la seguridad, pero aún no están haciendo todo lo necesario al proteger las aplicaciones web y los usuarios.

Nueve de cada 10 veces, los piratas informáticos pueden atacar fácilmente a los visitantes del sitio web y el 82% de las vulnerabilidades de las aplicaciones web se encuentran en el código fuente.

VER: 10 vulnerabilidades de aplicaciones peligrosas a tener en cuenta (PDF gratuito) (TechRepublic Premium)

Muchos de los ataques destacados en el informe incluyen el robo de credenciales en ataques de phishing, infectar computadoras con malware o redirigir a los usuarios a sitios controlados por piratas informáticos.

Las empresas tampoco estaban protegiendo adecuadamente sus aplicaciones web con autenticación de múltiples factores, y seguían confiando en la autenticación de solo contraseña que se podía pasar por alto fácilmente.

"La autenticación solo con contraseña es un factor que contribuye en la mayoría de los ataques de autenticación. La falta de autenticación de dos factores hace que los ataques sean muy fáciles", dijo Evgeny Gnedin, jefe de análisis de seguridad de la información de Positive Technologies.

"Los usuarios tienden a usar contraseñas débiles, lo que empeora aún más las cosas. Eludir las restricciones de acceso generalmente conduce a la divulgación, modificación o destrucción no autorizadas de datos", dijo Gnedin.

Positive Technologies evaluó 38 aplicaciones web completamente funcionales en 2019 y dijo que si bien hubo una disminución constante en el porcentaje de aplicaciones web con vulnerabilidades graves, la seguridad de la mayoría de las aplicaciones web sigue siendo deficiente.

La investigación de la compañía encontró que el número promedio de vulnerabilidades por aplicación ha disminuido en un tercio en comparación con 2018 y las compañías están tomando la seguridad más en serio no solo en las aplicaciones web públicas sino también en las internas.

Las instituciones financieras obtuvieron las calificaciones más altas de seguridad de aplicaciones web en el estudio, mientras que las instituciones estatales obtuvieron los puntajes más bajos.

El informe dice que el 16% de las aplicaciones contienen vulnerabilidades que permiten a los atacantes tomar el control total del sistema y que la mitad de los sitios web en producción tenían vulnerabilidades de alto riesgo. En promedio, cada sistema contenía 22 vulnerabilidades, cuatro de las cuales eran de alta gravedad. Una de cada cinco vulnerabilidades tiene una gravedad alta, según el informe de Positive Technologies.

"El porcentaje de sistemas de producción con vulnerabilidades de alto riesgo disminuyó: 45% en 2019 en comparación con 71% en 2018. Pero esto aún es más alto que en 2017, cuando la cifra equivalente era del 25%. Los últimos cinco años muestran una reducción en el porcentaje de sitios que contienen vulnerabilidades severas. Esta es una señal alentadora consistente con una mejora general en la seguridad ", dice el informe.

"El acceso no autorizado a las aplicaciones es posible en el 39% de los sitios. En 2019, el control total del sistema podría obtenerse en el 16% de las aplicaciones web. En el 8% de los sistemas, el control total del servidor de aplicaciones web permitió atacar la red local". "

Casi el 70% de las aplicaciones web eran vulnerables a violaciones de datos confidenciales, y la mayoría de los datos contenían información personal o credenciales.

En términos de vulnerabilidades y ataques comúnmente encontrados, el informe de Positive Technologies dijo que las configuraciones incorrectas de seguridad, las secuencias de comandos entre sitios y la autenticación interrumpida eran las principales preocupaciones para la mayoría de las aplicaciones web.

Una de cada cinco aplicaciones que los investigadores de Positive Technologies probaron tenía vulnerabilidades que permitían a los ciberdelincuentes atacar una sesión de usuario.

La vulnerabilidad de alto riesgo más común fue la autenticación interrumpida, que se encontró en el 45% de las aplicaciones web.

Según la investigación de la compañía, casi un tercio de esas vulnerabilidades consisten en la incapacidad de restringir adecuadamente el número de intentos de autenticación y un atacante podría explotar esto para obtener credenciales de fuerza bruta o acceder a la aplicación web.

En un caso particular, el informe señala que se puede acceder a una de las aplicaciones con derechos de administrador después de solo 100 intentos.

"Como recomendación general, las aplicaciones web deben desinfectar todas las entradas de los usuarios que se muestran posteriormente en un navegador, incluidos los campos de encabezado de solicitud HTTP como User-Agent y Referer. Los caracteres potencialmente inseguros que se pueden usar en el formato de página HTML deben reemplazarse por sus equivalentes sin formato. También recomendamos el uso de firewalls modernos de aplicaciones web, ya que pueden bloquear las secuencias de comandos entre sitios ", señaló el informe de Tecnologías positivas.

"En un ataque dirigido contra una empresa, las vulnerabilidades de las aplicaciones web pueden ayudar a recopilar datos sobre la red interna de la empresa, como la estructura de los segmentos de red, puertos y servicios. En muchos casos, los piratas informáticos pueden incluso acceder a los recursos de la red interna y datos confidenciales almacenados allí ", agregó el informe.

Como sugerencia, el estudio dice que las empresas deberían capacitar a los desarrolladores en una variedad de métodos de desarrollo seguros y, al mismo tiempo, brindarles herramientas para el análisis automatizado del código fuente y los firewalls de aplicaciones web como medidas preventivas.

Ver también

Ilustración plana del centro de seguridad. Bloqueo con cadena alrededor del regazo

Imagen: Lucy2014, Getty Images / iStockphoto



Enlace a la noticia original