Los ataques de inyección son el mayor riesgo para las aplicaciones web

  • Vulnerabilidades

Según Veracode, el 27,6% de las aplicaciones analizadas son fácilmente vulnerables mediante Inyecciones SQL. Tras la inyección de comandos, la pérdida de autenticación y la exposición de datos sensibles se sitúan en lo más alto del ranking de riesgos más críticos en aplicaciones Web.

El proyecto abierto de seguridad en aplicaciones Web OWASP ha publicado su Top 10 de riesgos en aplicaciones Web, un ranking diseñado para que los desarrolladores puedan determinar y combatir las causas que hacen que el software sea inseguro. Pues bien, en esta edición, los ataques de inyección vuelven a ser el mayor riesgo de seguridad, al igual que en las dos ediciones anteriores de 2013 y 2010.

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

Los ataques de inyección de código, dirigidos principalmente a aplicaciones web, permiten a un ciberatacante ejecutar comandos en una web para robar datos, modificarlos o eliminarlos, aprovechando campos destinados para otras finalidades. Esto es debido principalmente a fallos de programación, que son detectados y explotados por los atacantes para realizar este tipo de acciones maliciosas. Pues bien, según la empresa de seguridad Veracode, que participa en la elaboración del OWASP, el 77% de aplicaciones tienen al menos un fallo de seguridad, y cerca del 70% no pasaría una auditoría de seguridad respecto de las 10 medidas del OWASP. En concreto, un 27,6 % de las aplicaciones analizadas son fácilmente vulnerables mediante Inyecciones SQL.

El escenario de amenazas para la seguridad en aplicaciones cambia constantemente, principalmente debido a la aparición de nuevas técnicas para realizar ataques web. Así, junto a la inyección de comandos, la pérdida de autenticación ha ido subiendo a la segunda posición, mientras que la exposición de datos sensibles sube a la tercera posición, debido en parte a la ausencia de cifrado o el uso de algoritmos de cifrado inadecuados.

Además, en el OWASP Top 10 aparecen tres nuevos riesgos: XML External Entities (XEE); Deserialización Insegura, una nueva vulnerabilidad que podría permitir la ejecución remota de código en servicios web; y Registro de actividades y monitorización insuficientes, cuya ausencia puede provocar que la gestión de un incidente de seguridad no se realice con la agilidad deseada o que, por ejemplo, una fuga de datos sea detectada con incluso años de demora. También se fusionan varias vulnerabilidades en Pérdida de Control de Acceso

La secuencia de comandos en Sitios cruzados (XSS), pasa de estar en séptimo lugar en 2017, debido principalmente a la implementación de herramientas que evitan y protegen frente a estas vulnerabilidades. Por su parte, el uso de componentes con vulnerabilidades conocidas se mantiene en el noveno lugar, lo que indica que se trata de una vulnerabilidad vigente motivada en parte por el uso extendido de múltiples componentes en aplicaciones web, así como el crecimiento que está teniendo IoT y las dificultades que presenta dicho modelo en cuanto a gestión de actualizaciones.