SEGURIDAD EN APLICACIONES

EJE 3.
SANDRA RUBIANO GAITAN

INGENIERÍA DE SISTEMAS.
FUNDACION DEL AREA ANDINA

MAYO 2019.
BOGOTÁ, COLOMBIA
 INTRODUCCIÓN

En la actualidad debido al auge de la tecnología, se encuentra que se realizan

ataques a los sistemas informáticos con el fin de lucrarse o perjudicar su
funcionamiento; por esta razón es primordial conocer las diferentes
vulnerabilidades que puede tener una infraestructura tecnológica.

Identificando las vulnerabilidades se pueden realizar planes de mejora para cubrir

huecos de seguridad y evitar que los ataques se materialicen.
 OBJETIVOS

 Identificar vulnerabilidades que comúnmente afectan a los sistemas

informáticos.

 Realizar un cuadro comparativo en el cual se relacionen características y

mecanismos de explotación de la vulnerabilidad.

 Conocer casos reales sobre ataques que se materializaron como

consecuencia de estas vulnerabilidades

Nombre de la Descripción de la Mecanismo de Ejemplo real de ataque

vulnerabilidad vulnerabilidad explotación de la debido a la
 vulnerabilidad vulnerabilidad

Entradas La debilidad de seguridad -Vulnerabilidad de la JavaScript, no

invalidadas más común en aplicaciones
web es la falta de validación
apropiada de las entradas
del cliente o del entorno.
Esta debilidad lleva a casi
todas las principales
vulnerabilidades en las
aplicaciones, tales como
intérprete de inyección,
ataques locale/Unicode,
ataques al sistema de
archivos y desbordamientos
de memoria.
integridad de los datos: El
atacante manipula los
datos introduciendo
intencionadamente datos
erróneos que manipulan
la función de negocio.
Violación del formato de
los datos: Un atacante
consigue introducir datos
sin la sintaxis correcta,
fuera de los límites de
longitud, que contenga
caracteres no permitidos,
con signo incorrecto o
fuera de los límites del
rango. Esto provoca un
mal funcionamiento de la
aplicación.
Incumplimiento de las
reglas de negocio: Se
introducen datos que no
cumplen con las reglas de
negocio. Lo que provoca
un comportamiento no
esperado de la aplicación.
proporciona ninguna
protección para el código
de servidor. Un atacante
puede simplemente
desactivar JavaScript,
utilizar telnet, o utilizar
un proxy de pruebas de
seguridad, tales como
WebScarab para omitir la
validación del lado del
cliente.
Debido a que sólo los
usuarios prevalidados de
entrada deben llegar a
una aplicación
(suponiendo que
JavaScript está activado),
se puede suponer que
cualquier mala entrada
representa un ataque. La
aplicación puede
responder con mucha
más dureza si se sabe que
está bajo ataque. Algunas
respuestas podrían ser la
invalidación de la sesión,
el registro o la
notificación a un
administrador.

Fallos de control Estas vulnerabilidades - Elevación de En 2012, hackers

de Acceso permiten el acceso no privilegios maliciosos obtuvieron
autorizado de los atacantes - Manipulación de acceso a los servidores de
a funciones del sistema. Las metadatos que IRS (el SII
funciones administrativas permita la elevación estadounidense) en
son un objetivo clave de de privilegios Carolina del Sur a través
este tipo de ataques. - Pasar por alto la de una contraseña de
comprobación de los administrador
privilegios al modificar predeterminada, robando
la URL 3.6 millones de números
 - La configuración de seguridad social
incorrecta de CORS
permite el acceso no
autorizado a una API
- Acceder a una API sin
control de acceso
mediante el uso de
verbos POST, PUT y
DELETE.
- Forzar la navegación a
páginas autenticadas
como un usuario no
autenticado o a
páginas privilegiadas
como usuario
estándar
- Permitir que la clave
primaria se cambie a
la de otro usuario,
pudiendo ver o editar
la cuenta de otra
persona

Fallos en la Los desarrolladores a El nivel de explotación es Una aplicación web

administración menudo crean esquemas mediano, el atacante soporta la reescritura de
de propios de autenticación o utiliza los fallos en las una URL y coloca los
Autentificación y gestión de las sesiones, pero funciones de identificadores de sesión
Sesión construirlos en forma autenticación o de gestión directamente en la URL.
correcta es difícil. Por ello, a de sesiones. Si el ataque Un usuario autenticado
menudo estos esquemas se lleva a cabo con éxito el podría querer que sus
propios contienen atacante podrá hacer todo amigos supieran sobre
vulnerabilidades en el como si fuera la víctima, lo una venta. Este encamina
cierre de sesión, gestión de más buscado suelen ser el por e-mail la URL sin
contraseñas, tiempo de acceso a las cuentas con saber que el identificador
desconexión(expiración), mayores privilegios. de la sesión acompaña ña
función de recordar URL. Cuando uno de sus
contraseña, pregunta amigos accede a la URL
secreta, actualización de este no solo usara el
cuenta, etc. Encontrar identificador de sesión
estas vulnerabilidades sino también los datos
puede ser difícil ya que cada pertenecientes a su
implementación es única. cuenta de acceso, como
por ejemplo, un número
de tarjeta de crédito
 asociado a la sesión.

Fallos de Cross Son utilizadas en ataques en Las fallas XSS ocurren cada Phishing a los usuarios de
Site Scripting donde las condiciones vez que una aplicación la entidad bancaria
(XSS) permitan ejecutar scripts de toma datos no confiables Bancolombia, se envio un
lenguajes como VBScript o y los envía al navegador correo a los usuarios de
JavaScript. Es posible web sin una validación y este banco en el que se le
encontrar este tipo de codificación apropiada. informaba a los clientes
situaciones en cualquier XSS permite a los que por motivos de
aplicación que se utilice para atacantes ejecutar seguridad los servicios
mostrar información en un secuencia de comandos contratados por este
navegador web cualquiera, en el navegador de la habían sido suspendidos
que no se encuentre victimas los cuales pueden temporalmente y que
debidamente protegido secuestrar las sesiones de para volver a hacer uso
contra estos ataques usuario, destruir sitios de estos canales virtuales
web, o dirigir al usuario debían hacer clic en un
hacia un sitio malicioso. enlace proporcionado en
el cuerpo del correo. Una
vez el cliente ingresaba a
la página fraudulenta, se
le solicitaba que ingresara
los datos
correspondientes al
usuario, contraseña y
preguntas de seguridad
con el fin de obtener en
una base de datos toda la
información necesaria a
la hora de realizar una
transferencia de dinero.

Desbordamiento Una aplicación no es capaz - Buffer overflow Gusano finger de Robert

del Búffer de controlar la cantidad de T. Morris
datos que se copian en
buffer, de forma que si esa
cantidad es superior a la
capacidad del buffer los
bytes sobrantes se
almacenan en zonas de
memoria adyacentes,
sobrescribiendo su
contenido original

Inyección de Se producen cuando - Inyección de DLL en Ciberataque SQL

código mediante alguna técnica se
inserta o adjunta código SQL -
que no formaba parte de un
código SQL programado. -
Esta técnica se utiliza con el
propósito de alterar el buen
funcionamiento de la base
de datos de una aplicación,
“inyectando” código foráneo
que permita el proceso de
datos que el atacante desee.
Fallas en el Las aplicaciones pueden -Errores de configuración
manejo de revelar, involuntariamente,
-Errores Web
errores información sobre su
configuración, su -Errores de protocolo
funcionamiento interno, o
pueden violar la privacidad a
través de una variedad de
problemas. También pueden
revelar su estado interno
dependiendo de cuánto
tardan en procesar ciertas
operaciones u ofreciendo
diferentes respuestas a
diferentes entradas, como,
por ejemplo, mostrando el
mismo mensaje de error con
distintos números de error.
Las aplicaciones Web suelen
revelar información sobre su
estado interno a través de
mensajes de error
detallados o de depuración.
Esta información, a menudo,
proceso Injection.
Inyección reflectiva de
La técnica empleada para
DLL
perpetrar el ataque es la
Process Hollowing
conocida como SQL
injection, mediante la
cual lograron los datos de
más de 1.000.000 de
usuarios, incluyendo
contraseñas, direcciones
de correo electrónico,
direcciones postales y
fechas de nacimiento.
También han podido
acceder a detalles de la
administración de Sony
Pictures, incluidas las
contraseñas, además de
75.000 “códigos de la
música” y 3,5 millones de
“cupones de la música”.
Los password por default,
password débiles,
usuarios con demasiados
privilegios e inclusive la
utilización de protocolos
de encriptación
obsoletos, normalmente
una de las cosas más
típicas en las
organizaciones es que
utilizan algún sistema de
encriptación web, lo cual
con una aplicación de
teléfono celular se puede
crackear en menos de 10
o 15 segundos o inclusive
con una laptop
 puede ser utilizada para
lanzar, o incluso
automatizar, ataques muy
potentes.
Almacenamiento La falta de encriptamiento
inseguro de información sensible, el
uso de un método
criptográfico débil o usuario/contraseña,
inadecuado, el uso de un
algoritmo criptográfico
riesgoso y la falta de uso de
sal o semilla (salt) para la
generación de hashes son
algunas de las
vulnerabilidades puntuales
englobadas en esta
categoría.
Denegación de La técnica de denegación de
servicio servicio se utiliza con el
propósito de que los
usuarios no puedan utilizar
un servicio, aplicación o
recurso. Básicamente lo que
produce un ataque de
denegación de servicio es la
pérdida de la conectividad
de la red de la víctima del
ataque por el excesivo
consumo del ancho de
banda de la red o de los
recursos conectados al
sistema informático.
Todos los años millones y Vulnerabilidad en las
millones de aplicaciones móviles
combinaciones de financieras
Un pirata informático
grandes cantidades de
invirtió 30 aplicaciones
información financiera,
financieras móviles y
médica y de otro tipo son
encontró datos
robados de diferentes
confidenciales ocultos en
bases de datos y
el código subyacente de
sorprendentemente
casi todas las aplicaciones
muchas veces todo eso
examinadas. Con esta
está guardado en texto
información, un pirata
plano o débilmente
informático podría, por
encriptado. Los datos de
ejemplo, recuperar las
tarjetas de crédito se
claves de la interfaz de
venden en los circuitos
programación de
criminales a valores
aplicaciones (API), usarlas
irrisoriamente bajos
para atacar a los
servidores backend del
proveedor y comprender
los datos del usuario.
SYN Flood, que consiste Ocurrió el miércoles 28
en enviar mensajes TCP de de febrero, cuando
petición de conexión por GitHub quedó fuera de
parte del cliente, pero servicio desde las 17:21 a
las 17:26 (UTC) y fuera de
sin enviar su confirmación
servicio, pero de manera
lo cual provoca colapsos
intermitente, desde las
en equipos y consumo de
17.26 a las 17:30 horas,
recursos en forma
explicó la empresa en una
desproporcionada.
publicación realizada en
Inundación ICMP su página web.
Agota el ancho de banda
enviando solicitudes de
En el caso de GitHub, el
ICMP con tamaños
atentado implicó engañar
la dirección IP de los
 servicios y enviar
pequeñas y repetidas
solicitudes a un número
de servidores; los cuales
respondieron
debidamente, excepto
por el hecho de que
provocaron respuestas
inmensamente
desproporcionadas.

Fallas en la Configuraciones incorrectas • Se encuentran 70 millones de registros

administración de seguridad pueden ocurrir instaladas o habilitadas de buckets S3 robados
de Configuración en cualquier nivel del stack características debido a configuraciones
tecnológico, incluidos los innecesarias (ej. puertos, incorrectas. La
servicios de red, la servicios, páginas, cuentas configuración incorrecta
plataforma, el servidor web, o permisos). de una sola carga de
el servidor de aplicaciones, trabajo en la nube o
• Las cuentas
la base de datos, instancia de unidad de
predeterminadas y sus
frameworks, el código almacenamiento puede
contraseñas siguen activas
personalizado y máquinas costar millones a una
y sin cambios.
virtuales preinstaladas, empresa o dificultar el
contenedores, etc. Los • El manejo de errores cumplimiento de las
escáneres automatizados revela a los usuarios normas. En 2018, se
son útiles para detectar trazas de la aplicación u robaron o se filtraron más
configuraciones erróneas, el otros mensajes de 70 millones de
uso de cuentas o demasiado informativos. registros de buckets S3
configuraciones que estaban configurados
predeterminadas, servicios • Para los sistemas de forma incorrecta.
innecesarios, opciones actualizados, las nuevas Ciertas herramientas
heredadas, etc funciones de seguridad se básicas disponibles en
encuentran desactivadas Internet permiten a los
o no se encuentran atacantes identificar
configuradas de forma recursos en la nube
adecuada o segura. configurados
• Las configuraciones de incorrectamente.
seguridad en el servidor Las vulnerabilidades de
de aplicaciones, en el chip de hardware, por
framework de aplicación ejemplo, Meltdown,
(ej., Struts, Spring, Spectre y Foreshadow,
ASP.NET), bibliotecas o permiten el acceso no
bases de datos no se autorizado a espacios de
encuentran especificados memoria protegidos de
con valores seguros. servicios en la nube que
 • El servidor no envía se alojan en el mismo
directrices o cabeceras de servidor físico
seguridad a los clientes o
se encuentran
configurados con valores
inseguros.

• El software se encuentra
desactualizado o posee
vulnerabilidades

CONCLUSIONES
 Se encuentra que los cibercriminales han encontrado técnicas variadas para
explotar las vulnerabilidades en las diferentes infraestructuras, las empresas
deben estar preparadas para cualquier eventualidad, ya que de acuerdo al
análisis estos ataques podrían tener consecuencias que afectan la operatividad
en una compañía.

 Debido a que se han conocido los diferentes métodos para explotar

vulnerabilidades las empresas pueden tener en cuenta las recomendaciones
de seguridad con el fin de blindar sus sistemas y evitar que se materialicen.

 Con el paso del tiempo se van encontrando cada vez más vulnerabilidades que
atentan contra los servicios de tecnología, y así se van conociendo noticias en
las cuales mencionan que afectaciones que causan en las compañías y las
técnicas sofisticadas que crean los cibercriminales para evadir la seguridad.

REFERENCIAS BIBLIOGRAFICAS

Tecnología&Informática. (2019). Vulnerabilidades informáticas. 18/05/2019, Sitio web:

https://tecnologia-informatica.com/vulnerabilidades-informaticas/
The OWASP Foundation . (2013). OWASP Top 10. 18/05/2019, de OWASP
Sitio web: https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa
%C3%B1ol.pdf

Yolman Ernesto Pérez Contreras. (2017). Un caso de phishing más en Colombia. 18/05/2019, de
Universidad Cooperativa de Colombia Sitio web: https://www.ucc.edu.co/prensa/2016/Paginas/un-
caso-de-phishing-mas-en-colombia.aspx

OACENA. (2016). Ataques de SQL Injection contra Sony. 19/05/2019, de Escuela de Organización
Industrial Sitio web: https://www.eoi.es/blogs/ciberseguridad/2016/04/18/597/

Junta de Andalucia. Validación de datos de entrada y salida. 20/05/2019, de Junta de Andalucia

Sitio web:
http://www.juntadeandalucia.es/servicios/madeja/sites/default/files/historico/1.3.1/contenido-libro-
pautas-66.html

Walter Fuertes, Patricia Zapata, Luis Ayala y Miguel Mejía. (2010). Plataforma de Experimentación
de Ataques Reales a Redes IP utilizando Tecnologías de Virtualización. 20/05/2019, de Escuela
Politécnica del Ejército Sitio web: https://repositorio.espe.edu.ec/bitstream/21000/6057/1/AC-RIC-
ESPE-034343.pdf

NIVEL4 Seguridad. (2018). Buenas prácticas de desarrollo seguro: A5-Pérdida de Control de

Acceso. 20/05/2019, de Nivel4 Sitio web: https://blog.nivel4.com/hacking/buenas-practicas-de-
desarrollo-seguro-a5-perdida-de-control-de-acceso/

The OWASP Foundation. (2007). Top 10 2007-Revelación de Información y Gestión

Incorrecta de Errores. 20/05/2019, de OWASP Sitio web:
https://www.owasp.org/index.php/Top_10_2007-Revelaci%C3%B3n_de_Informaci
%C3%B3n_y_Gesti%C3%B3n_Incorrecta_de_Errores

Geoestrategia. (2018). VULNERABILIDADES DE APLICACIONES WEB: ALMACENAMIENTO

CRIPTOGRÁFICO INSEGURO. 20/05/2019, de Geoestrategia Sitio web:
https://geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-almacenamiento-
criptografico-inseguro/

Diarleth. (2019). Riesgo de vulnerabilidad en las aplicaciones móviles financieras. 20/05/2019, de

El Wachiman Sitio web: https://elwachiman.com/riesgo-de-vulnerabilidad-en-las-aplicaciones-
moviles-financieras/

Juan Manuel Harán. (2018). Los dos ataques DDoS más grandes de la historia se registraron en
tan solo cuatro días de diferencia. 20/05/2019, de Welivesecurity Sitio web:
https://www.welivesecurity.com/la-es/2018/03/08/ataques-ddos-mas-grandes-historia-registraron-
solo-cuatro-dias/

Symantec. (2019). 70 millones de registros de buckets S3 robados debido a configuraciones

incorrectas. 20/05/2019, de Symantec Corporation Sitio web:
https://www.symantec.com/es/mx/security-center/threat-report