El 44% de las aplicaciones web ponen en riesgo los datos de los usuarios
- Endpoint
En una cuarta parte de las aplicaciones los expertos pudieron explotar la Inyección SQL, que en un ataque real permitiría obtener información sensible de la base de datos. El 65% de las vulnerabilidades detectadas son causadas por errores en el desarrollo de las aplicaciones.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Las evaluaciones de aplicaciones web realizadas por Positive Technologies revelaron que los atacantes podrían obtener datos personales del 44% de las aplicaciones que manejan dicha información, como sitios bancarios, tiendas de comercio electrónico y empresas de telecomunicaciones. El 70% de las aplicaciones eran vulnerables a fugas de información crítica.
Los ataques a usuarios de aplicaciones web fueron posibles en el 96% de las aplicaciones, mientras que el 48% también eran vulnerables al acceso no autorizado. Además, se encontró que el 17% contenía vulnerabilidades que permitirían a un atacante tomar el control total de la aplicación.
Cada aplicación web probada contenía vulnerabilidades. Sin embargo, los analistas notaron una tendencia alentadora: el porcentaje de aplicaciones web con vulnerabilidades críticas ha disminuido por segundo año consecutivo. En 2017, el 52% de las aplicaciones tenían vulnerabilidades de alta gravedad, en comparación con el 58% en 2016. Sin embargo, el número de aplicaciones que albergan vulnerabilidades de baja gravedad aumentó al 74%, frente al 67% en 2016.
De las diez vulnerabilidades más comunes en 2017, cuatro fueron clasificadas como críticas. Cross-Site Scripting, que sigue siendo la vulnerabilidad más común, se detectó en el 74% de las aplicaciones, mientras que OS Commanding, Path Traversal y XML External Entities estuvieron presentes en el 9% de las aplicaciones. Otras vulnerabilidades comunes que permiten ataques a los usuarios incluyen Cross-Site Request Forgery (39%) y URL Redirector Abuse (17%). En una cuarta parte de las aplicaciones, los expertos pudieron explotar la Inyección SQL, que en un ataque real permitiría obtener información sensible de la base de datos, incluidas las credenciales del usuario.
La mayoría de las vulnerabilidades detectadas (65%) fueron causadas por errores en el desarrollo de aplicaciones (errores de codificación), mientras que la configuración incorrecta de servidores web representó otro tercio del total. La responsable de cybersecurity resilience de Positive Technologies, Leigh-Anne Galloway, señala que "la seguridad de las aplicaciones web todavía es deficiente y, a pesar de la mayor conciencia de los riesgos, todavía no se le da prioridad en el proceso de desarrollo. La mayoría de estos problemas podrían haberse evitado por completo mediante la implementación de prácticas de desarrollo seguras, incluidas las auditorías de código desde el principio y durante todo el proceso”.