Está en la página 1de 6

Tabla 1

top 10 actual de los riesgos de seguridad para aplicaciones web

1.- Inyección
Las fallas de inyección, como SQL, NoSQL, OS o LDAP ocurren cuando se envían datos
no confiables a un intérprete, como parte de un comando o consulta. Los datos dañinos
del atacante pueden engañar al intérprete para que ejecute comandos involuntarios o
acceda a los datos sin la debida autorización.
Una de las vulnerabilidades más antiguas que afecta directamente las bases de datos
de la aplicación web, a través de una inyección de código SQL dentro de un sitio web
es posible alterar el funcionamiento normal generando la ejecución del código
malicioso y extracción de información desde la base de datos (Castillo, 2019).
LDAP Inyección
Significa Lightweight Directory Access Protocol, traducido al español como Protocolo
Ligero de Acceso a Directorio, es un protocolo encargado de las listas de control de
acceso a un dominio o una red, no es un ataque muy común pero requiere la protección
respectiva para no recibir la inyección de código malicioso.
La forma más sencilla de comprender una inyección LDAP, es que los hackers atacan
al sistema de validación de usuarios, para intentar así cambiar la permisología de estos
y hasta crear usuarios con los cuales acceder luego a otros equipos o a zonas más
sensibles del dominio (Velazco, 2017).
CRLF Inyección
Se refiere a Carriage Return (ASCII 13, \r) Line Feed (ASCII 10, \n) se logra
modificando un parámetro de HTTP o URL, a diferencia de LDAP no le será posible
crear nuevos usuarios, pero sí leer y acceder archivos confidenciales.

2.- Perdida de Autenticación


Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son
implementadas incorrectamente, permitiendo a los atacantes comprometer usuarios
y contraseñas, token de sesiones, o explotar otras fallas de implementación para
asumir la identidad de otros usuarios (temporal o permanentemente).

3.- Exposición de datos sensibles


Muchas aplicaciones web y APIs no protegen adecuadamente datos sensibles, tales
como información financiera, de salud o Información Personalmente Identificable
(PII). Los atacantes pueden robar o modificar estos datos protegidos
inadecuadamente para llevar a cabo fraudes con tarjetas de crédito, robos de identidad
u otros delitos. Los datos sensibles requieren métodos de protección adicionales, como
el cifrado en almacenamiento y tránsito (Reasco, 2019).
4.- Entidades Externas XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan referencias a
entidades externas en documentos XML. Las entidades externas pueden utilizarse
para revelar archivos internos mediante la URI o archivos internos en servidores no
actualizados, escanear puertos de la LAN, ejecutar código de forma remota y realizar
ataques de denegación de servicio (DoS).
XML significa Extensible Markup Language es un metalenguaje sencillo para la
comunicación a través de Internet dando soporte a bases de datos. Las aplicaciones
que analizan archivos XML pueden ser engañadas para brindar al atacante datos
confidenciales.

5.- Perdida de Control de Acceso


Las restricciones sobre lo que los usuarios autenticados pueden hacer no se aplican
correctamente. Los atacantes pueden explotar estos defectos para acceder, de forma
no autorizada, a funcionalidades y/o datos, cuentas de otros usuarios, ver archivos
sensibles, modificar datos, cambiar derechos de acceso y permisos, etc.

6.- Configuración de Seguridad Incorrecta


La configuración de seguridad incorrecta es un problema muy común y se debe en
parte a establecer la configuración de forma manual, ad hoc o por omisión (o
directamente por la falta de configuración). Son ejemplos: S3 buckets abiertos,
cabeceras HTTP mal configuradas, mensajes de error con contenido sensible, falta de
parches y actualizaciones, frameworks, dependencias y componentes desactualizados,
etc (Gimenez, 2017).

7.- Secuencia de Comandos en Sitios Cruzados (XSS)


Los XSS ocurren cuando una aplicación toma datos no confiables y los envía al
navegador web sin una validación y codificación apropiada; o actualiza una página web
existente con datos suministrados por el usuario utilizando una API que ejecuta
JavaScript en el navegador. Permiten ejecutar comandos en el navegador de la víctima
y el atacante puede secuestrar una sesión, modificar (defacement) los sitios web, o
redireccionar al usuario hacia un sitio malicioso.

8.- Deserialización Insegura


Estos defectos ocurren cuando una aplicación recibe objetos serializados dañinos y
estos objetos pueden ser manipulados o borrados por el atacante para realizar ataques
de repetición, inyecciones o elevar sus privilegios de ejecución. En el peor de los casos,
la deserialización insegura puede conducir a la ejecución remota de código en el
servidor (Peláez, 2017).
9.- Componentes con vulnerabilidades conocidas
Los componentes como bibliotecas, frameworks y otros módulos se ejecutan con los
mismos privilegios que la aplicación. Si se explota un componente vulnerable, el
ataque puede provocar una pérdida de datos o tomar el control del servidor. Las
aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden
debilitar las defensas de las aplicaciones y permitir diversos ataques e impactos.

10.- Registro y Monitoreo Insuficientes


El registro y monitoreo insuficiente, junto a la falta de respuesta ante incidentes
permiten a los atacantes mantener el ataque en el tiempo, pivotear a otros sistemas y
manipular, extraer o destruir datos. Los estudios muestran que el tiempo de detección
de una brecha de seguridad es mayor a 200 días, siendo típicamente detectado por
terceros en lugar de por procesos internos.
Tabla 2

top 10 actual de los riesgos de seguridad para aplicaciones móviles

1.- Uso inadecuado de la Plataforma


Esta categoría cubre el uso indebido de una función de la plataforma o la falta de uso
de los controles de seguridad de la plataforma. Puede incluir intenciones de Android,
permisos de plataforma, uso indebido de TouchID, el llavero o algún otro control de
seguridad que sea parte del sistema operativo móvil (Morales, 2020).

2.- Almacenamiento de datos inseguros


Los agentes de amenazas incluyen lo siguiente: un adversario que ha obtenido un
dispositivo móvil perdido / robado; malware u otra aplicación reempaquetada que
actúe en nombre del adversario y que se ejecute en el dispositivo móvil.
se trata mayormente de dispositivos móviles perdidos y/o robados, aunque también
está la posibilidad de acceder a dichos dispositivos sin la necesidad de tenerlos
físicamente a través de exploits in-the wild y/o distintos códigos maliciosos.

3.- Comunicación Insegura


Cuando se diseña una aplicación móvil, los datos se intercambian comúnmente de
manera cliente-servidor. Cuando la solución transmite sus datos, debe atravesar la red
del operador del dispositivo móvil e Internet. Los agentes de amenazas pueden
aprovechar las vulnerabilidades para interceptar datos confidenciales mientras viajan
por el cable. Existen los siguientes agentes de amenaza:
- Un adversario que comparte su red local (Wi-Fi comprometido o monitoreado);
- Operador o dispositivos de red (enrutadores, torres de telefonía celular, proxy, etc.); o
- Malware en su dispositivo móvil.

4.- Autenticación Insegura


Los agentes de amenazas que explotan las vulnerabilidades de autenticación suelen
hacerlo mediante ataques automatizados que utilizan herramientas disponibles o
personalizadas (Romero, 2018).

5.- Criptografía Insuficiente


Los agentes de amenazas incluyen los siguientes: cualquier persona con acceso físico
a datos que se hayan cifrado incorrectamente o malware móvil que actúe en nombre
de un adversario. En algunas ocasiones, los métodos de encriptación de datos se
vuelven una práctica casi obsoleta. Crear y utilizar su propio algoritmo de encriptación
y utilizar algoritmos desfasados son ejemplos de malas prácticas.
6.- Fuga de Datos Involuntaria
Las aplicaciones móviles tienen que interactuar con sistemas operativos,
infraestructuras digitales, hardwares nuevos, etc. que no son propiedad de los
desarrolladores, por lo que no pueden controlar cambios y/o fallas que estén por fuera
de sus aplicaciones. En este sentido, es posible que se pierdan datos si no se realizan
evaluaciones para entender cómo las aplicaciones interactúan con todos los elementos
de los dispositivos (Mera, 2019).

7.- Calidad de Código Deficiente


Los agentes de amenazas incluyen entidades que pueden pasar entradas que no son de
confianza a llamadas de método realizadas dentro del código móvil. Estos tipos de
problemas no son necesariamente problemas de seguridad en sí mismos, sino que
conducen a vulnerabilidades de seguridad. Por ejemplo, los desbordamientos de búfer
en versiones anteriores de Safari (una vulnerabilidad de mala calidad del código)
llevaron a ataques de Jailbreak de alto riesgo. Los problemas de mala calidad del
código generalmente se explotan a través de malware o estafas de phishing.

8.- Manipulación de Código


Normalmente, un atacante aprovechará la modificación del código a través de formas
maliciosas de las aplicaciones alojadas en tiendas de aplicaciones de terceros. El
atacante también puede engañar al usuario para que instale la aplicación mediante
ataques de phishing (Willemsen, 2017)

9.- Manejo Inadecuado de Sesiones


El manejo incorrecto de la información es muy similar a la autenticación débil (M5).
Es tan importante manejar bien la sesión una vez abierta como establecer la misma
sesión. Si no se aplican cuidados sencillos pero importantes como validar la sesión a
nivel servidor y no solamente a nivel cliente, establecer un tiempo de expiración de
sesión o la creación de tokens seguros puede que terceros no autorizados accedan a
información de otros usuarios.

10.- Funcionalidad Extránea


A menudo, los desarrolladores incluyen la función de puerta trasera oculta u otros
controles internos de seguridad de desarrollo que no están destinados a ser liberados
en un entorno de producción. Por ejemplo, un desarrollador puede incluir
accidentalmente una contraseña como comentario en una aplicación híbrida. Otro
ejemplo incluye deshabilitar la autenticación de 2 factores durante la prueba.
Conclusión
En este documento se representa una serie de vulnerabilidades y amenazas que pueden
poner en riesgo la integridad de toda información, ya sea para aplicaciones wed o
móviles, hay formas de prevenir estos ataques, no hay que esperar que haya filtraciones
de información y ejecución de malware para actuar, hay que asegurar los datos de toda
empresa y de esa manera no tener futuros inconvenientes u problemas por dichas
razones, por este motivo es necesario estar pendiente de la seguridad que tengan los
datos, ya que una filtración de información sería una catástrofe.
Para ello la gran mayoría de las vulnerabilidades pueden ser evitadas si se llevan a cabo
las consideraciones mencionadas en cada una de las tablas. Sin embargo, muchas veces
estos cuidados son ignorados por razones ajenas o propias, las cuales no deberían existir
porque se estarían arriesgando a una exhibición de información confidencial.

Bibliografía

Castillo, A. (22 de Octubre de 2019). https://seguridad-ofensiva.com/blog/owasp-top-


10/owasp-top-1/. Obtenido de https://seguridad-ofensiva.com/blog/owasp-top-
10/owasp-top-1/

Gimenez, N. (05 de Diciembre de 2017). Sensedia. Obtenido de


https://es.sensedia.com/post/top-10-security-risks-on-the-web-owasp-and-how-to-
mitigate-them-with-api-management

Mera, A. (21 de Mayo de 2019). Ciberseguridad. Obtenido de


https://ciberseguridad.com/amenzas/moviles/

Morales, F. (17 de Febrero de 2020). Esemanal. Obtenido de


https://esemanal.mx/2020/02/owasp-asegura-que-el-85-de-las-apps-no-mitigan-los-
riesgos-de-seguridad/

Peláez, J. (05 de Diciembre de 2017). Incibe-cert . Obtenido de https://www.incibe-


cert.es/blog/owasp-publica-el-top-10-2017-riesgos-seguridad-aplicaciones-web
Reasco, A. (01 de Abril de 2019). Ometech. Obtenido de
https://www.omatech.com/blog/2019/04/01/riesgos-de-seguridad-owasp/

Romero, M. (19 de Marzo de 2018). Juntadeandalucia. Obtenido de


http://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/212

Velazco, R. (21 de Noviembre de 2017). RedesZone. Obtenido de


https://www.redeszone.net/2017/11/21/top-10-vulnerabilidades-2017-owasp/

Willemsen, J. (17 de Abril de 2017). Github. Obtenido de https://github.com/OWASP/owasp-


masvs/blob/master/Document-es/0x03-Using_the_MASVS.md

También podría gustarte