Fallos de control de acceso y exposición de datos prevalecen en las apps web corporativas: Kaspersky
Un estudio realizado por Kaspersky identificó vulnerabilidades en aplicaciones web corporativas desarrolladas internamente. En el periodo entre 2021 y 2023, se encontraron fallos relacionados con el control de acceso y la protección de datos en la mayoría de las aplicaciones examinadas. El mayor número de vulnerabilidades de alto riesgo se refirió a inyecciones SQL.
El estudio analizó las vulnerabilidades en las aplicaciones web como las redes sociales, el correo electrónico y los servicios en línea, utilizadas por organizaciones de tecnología de la información, gobierno, seguros, telecomunicaciones, comercio electrónico, atención médica, entre otras, para identificar los tipos de ataques prevalentes.
Los tipos predominantes de vulnerabilidades implicaban el uso malicioso de fallas en el control de acceso y fallos en la protección de datos sensibles. Entre 2021 y 2023, el 70% de las aplicaciones web examinadas presentaron vulnerabilidades en estas categorías.
Una vulnerabilidad de control de acceso comprometido puede ser utilizada cuando los atacantes intentan eludir las políticas del sitio web que limitan a los usuarios a sus permisos autorizados. Esto puede llevar a un acceso no autorizado, la alteración o eliminación de datos, entre otras acciones. El segundo tipo de fallo más común implica la exposición de información sensible como contraseñas, detalles de tarjetas de crédito, registros de salud, datos personales e información comercial confidencial, destacando la necesidad de aumentar las medidas de seguridad, explicó el análisis.
«Una vulnerabilidad podría permitir a los atacantes robar datos de autenticación de usuario, mientras que otra podría ayudar a ejecutar código malicioso en el servidor, cada una con diferentes grados de consecuencias para la continuidad y la resiliencia del negocio. Nuestras clasificaciones reflejan esta consideración», mencionó Oxana Andreeva, experta en seguridad del equipo de Evaluación de Seguridad de Kaspersky.
Los expertos de la firma también examinaron la peligrosidad de las vulnerabilidades en los grupos mencionados anteriormente. La mayor proporción de vulnerabilidades que representan un alto riesgo estaban asociadas con las inyecciones SQL. En particular, el 88% de todas las vulnerabilidades de inyección SQL analizadas se consideraron de alto riesgo.
Otra parte significativa de las vulnerabilidades de alto riesgo se encontró vinculada con contraseñas débiles de usuarios. Dentro de esta categoría, el 78% de todas las vulnerabilidades analizadas se clasificaron como de alto riesgo.
Es importante señalar que solo el 22% de todas las aplicaciones web estudiadas tenían contraseñas débiles. Una posible razón es que las aplicaciones incluidas en la muestra del estudio pueden haber sido versiones de prueba en lugar de sistemas en vivo reales.
Las categorías de vulnerabilidades descritas en la investigación se alinean con las categorías y subcategorías de la clasificación OWASP Top Ten. La corrección de las vulnerabilidades más extendidas en aplicaciones web descritas en el estudio ayudará a las empresas a proteger datos confidenciales y evitar comprometer aplicaciones web y sistemas relacionados, afirmó el fabricante.
Para mejorar la seguridad de las aplicaciones web y detectar posibles ataques de manera oportuna, el equipo de Evaluación de Seguridad de Kaspersky recomienda:
–Utilizar el ciclo de vida de desarrollo de software seguro (SSDLC).
–Realizar evaluaciones periódicas de seguridad de aplicaciones.
–Utilizar mecanismos de registro y monitoreo para rastrear la operación de las aplicaciones.
Información adicional sobre este estudio está disponible en Securelist.
WhatsApp eSemanal 55 7360 5651
