Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Identificación
de ataques web
Para proporcionar a nuestros clientes una oferta más sólida de soluciones de seguridad para sus
aplicaciones web y API, Fastly adquirió Signal Sciences a finales de 2020. Ya no importa cómo o dónde
instales tus aplicaciones: podremos protegerlas a escala. Si buscas una solución fiable, de última
generación y que sea líder en el mercado, contacta con nuestro equipo de expertos en seguridad.
Relleno de credenciales������������������������������������������������������������������������������������������������������������������� 4
Inyección de SQL������������������������������������������������������������������������������������������������������������������������������� 6
Lógica de negocio������������������������������������������������������������������������������������������������������������������������������7
Conclusión������������������������������������������������������������������������������������������������������������������������������������������10
100 %
75 %
50 %
25 %
0 %
En julio de 2019, los intentos de relleno de credenciales • Incremento del número de intentos de inicio
fueron el ataque más frecuente en la capa web de de sesión fallidos de todos los usuarios.
entre los ataques dirigidos al billón de peticiones • Inicios de sesión correctos desde
web en producción que Signal Sciences observó. direcciones IP sospechosas.
Puedes consultar el análisis de los intentos de relleno
de credenciales por sectores en el gráfico anterior. Mitigación
Los sectores más atacados fueron el turismo, la
sanidad, y los medios y el entretenimiento. En lugar de denegar el acceso, puedes usar tácticas
para confirmar que los usuarios que intentan iniciar
Indicadores de ataque sesión sean legítimos. Tus aplicaciones deben responder
por medio de controles de seguridad adicionales,
El relleno de credenciales es la principal táctica de como la autenticación de doble factor. Los equipos de
los ataques de apropiación de cuentas, por lo que las seguridad y operaciones también pueden supervisar
señales de un ataque son distintas a las de los ataques el volumen de peticiones relativas a las principales
de diccionario o de averiguación de contraseñas acciones de autenticación, como intentos de inicio
mediante fuerza bruta. Suelen distribuirse a lo largo de sesión, recuperaciones de contraseña mediante
de un gran número de direcciones IP para que ninguna correo electrónico y peticiones de recuperación
de las fuentes envíe un alto volumen de credenciales. de contraseña. Bloquea temporalmente aquellas
Estos son algunos de los indicadores de un ataque: peticiones que superen los umbrales esperados. Las
herramientas de seguridad que brindan visibilidad
• Intentos de inicio de sesión desde distintas áreas
de distintos tipos de eventos de autenticación son
geográficas o áreas atípicas para los usuarios.
vitales para detectar el uso indebido de credenciales.
Indicadores de ataque
Ejemplos del mundo real
Una simple coincidencia de patrones puede detectar
En marzo de 2019, una popular aplicación de una inyección de SQL, aunque es propensa a
comercio electrónico notificó que su plataforma devolver falsos positivos y a errar en ocasiones
tenía una vulnerabilidad que permitía a los atacantes en la detección de nuevos ataques. Para bloquear
acceder a su base de datos de backend. En solo
10 ataques automáticamente, las empresas necesitan
16 horas, los delincuentes empezaron a atacar la poder detectar con gran precisión lo siguiente:
vulnerabilidad; consiguieron poner en peligro el
software de la tienda y plantar un malware que • Ataques que excedan los umbrales
robó los datos de las tarjetas de los clientes. normales de peticiones SQL.
• Respuestas 405 de servidores SQL
Un cliente de comercio electrónico de Signal Sciences
(método no permitido).
sufrió una serie de peticiones SQL anómalas que
provenían de distintas IP chinas e iban dirigidas a • Coincidencia de patrones que desenmascaren
diferentes rutas del sitio web. Signal Sciences envió ataques comunes o búsquedas que
notificaciones indicando que se habían bloqueado revelen código de ataque.
los ataques SQLi. El cliente investigó el contenido de
la petición y descubrió documentación de un nuevo Mitigación
ataque a bases de datos de backend de WordPress.
Es esencial poder bloquear ataques en función de
Los ataques de inyección de SQL son un umbral de peticiones. Según la cadencia del
habituales en todos los sectores. ataque, debes tener la capacidad para investigar
los incidentes a fin de saber si un grupo específico
está intentando acceder a tus activos de datos.
Indicadores de ataque
Lógica de negocio
Debido a que usan funciones de aplicaciones
Los atacantes tienden a aprender el funcionamiento de legítimas, los ataques de lógica de negocio pueden
una aplicación e intentan usar indebidamente ciertas ser difíciles de detectar. Las empresas deben realizar
partes de su diseño para lograr sus objetivos. Estos un seguimiento de los indicadores de uso indebido
ataques de lógica de negocio pueden aprovechar de aplicaciones y establecer controles que verifican
funciones autorizadas para robar información, obtener usos potencialmente peligrosos, como los siguientes:
acceso a cuentas o causar interrupciones en el servicio.
• Problemas de rendimiento o de uso
Por ejemplo, los parámetros enviados a un servidor de recursos de aplicación.
para mantener el estado de la sesión se podrían • Irregularidades en llamadas a API
someter a ingeniería inversa a fin de conceder mayores o en el uso de servicios.
privilegios al atacante. Las reglas de los sitios de
comercio electrónico que ofrecen descuentos en Mitigación
función de los perfiles de los usuarios se pueden eludir
modificando el perfil. Un atacante podría entrar en Una vez que se haya detectado el ataque, podrás
una aplicación de una sala de conciertos que guarde bloquear el uso indebido mediante reglas específicas
durante cinco minutos las entradas reservadas y hasta actualizar la aplicación con las mitigaciones
manipularla para reservar un gran volumen de entradas. correspondientes. Las mejores herramientas de
seguridad te permiten definir reglas en función de
las señales extraídas de la interacción aplicación-
Ejemplos del mundo real usuario y de datos externos, como agentes de
usuario, parámetros de petición, cookies y otros
Un experto en investigación sobre seguridad usó
datos vinculados a los atacantes. Gracias a estas
indebidamente el sistema de tickets de un servicio
reglas, la empresa obtiene una mejor visibilidad de
de soporte técnico aprovechando una función de una
los ataques y define acciones automatizadas.
destacada plataforma de mensajería que permitía a
cualquiera con un dominio corporativo unirse a chats de
SELECCIÓN DE L A MEJOR
equipo. Dado que algunos servicios de soporte técnico
H E R R A M I E N TA D E D E F E N S A W E B
respondían con una dirección de correo electrónico
única que usaba el dominio de la empresa en cada Las herramientas con opciones de despliegue
ticket, el experto envió un ticket a la empresa y usó esa flexibles te ofrecen una mayor visibilidad de los
dirección de correo para iniciar sesión en las cuentas ataques a tus aplicaciones e infraestructura en
de mensajería de varios clientes empresariales.11 la nube y permiten detectar ataques que, de
En otro de los casos, el ataque iba dirigido a una otro modo, pasarían inadvertidos. Tus ingenieros
empresa de emisión de entradas online que creaba necesitan la ayuda de datos prácticos para
códigos de canje para las entradas. El cliente subsanar los fallos y mejorar sus aplicaciones. Las
sufrió un ataque de uso indebido de API cuando el
mejores herramientas de seguridad web blindan
atacante usó un script automatizado que trataba de
las aplicaciones para protegerlas y proporcionan a
encontrar códigos de canje de entradas válidas.
los responsables de tomar las decisiones los datos
necesarios sobre rendimiento y posibles ataques.
Aprovechando la visibilidad que aporta nuestro exclusivo enfoque a la amplia gama de ataques y señales anómalas,
en Signal Sciences hemos analizado las principales señales de ataque por sector. En toda nuestra base de clientes,
muchos sectores están obligados a detectar y prevenir los intentos de apropiación de cuentas. Los datos muestran
el porcentaje sobre el total de ataques en julio de 2019.
Retailers Tecnología
1. Informe «2020 Data Breach Investigations Report»: 9. «SQL Injection Attacks Represent Two-Third of All
Verizon Enterprise Solutions. Consultado en julio Web App [...]». Consultado el 17 de julio de 2019.
de 2020. https://www.darkreading.com/attacks-breaches/sql-
https://enterprise.verizon. com/resources/reports/dbir/ injection-attacks-represent-twothird-of-allweb-app-
attacks/d/d-id/1334960
2. Informe «2019 Data Breach Investigations Report»:
Verizon Enterprise Solutions. Consultado el 17 de julio 10. «Two hacking groups responsible for huge spike
de 2019. in hacked [...]»: ZDNet. Consultado el 17 de julio
https://enterprise.verizon.com/resources/reports/2019- de 2019.
data-breach-investigations-report.pdf https://www.zdnet.com/article/two-hacking-groups-
responsible-for-huge-spike-in-hacked-magento-
3. «Google Warns Nest Users to Update Security [...]»:
stores/
Popular Mechanics. Consultado el 17 de julio de 2019.
https://www.popularmechanics.com/technology/ 11. «This hacker gained access to hundreds of
security/a26214078/google-nest-hack-warning/ companies through their [...]». Consultado el 17 de
4. «Hacker talks to baby through Nest security cam, jacks julio de 2019.
[...]»: NakedSecurity. Consultado el 17 de julio de 2019. https://thenextweb.com/security/2017/09/21/ticket-
https://nakedsecurity.sophos.com/2019/02/01/hacker- trick-see-hackers-gain-unauthorized-access-slack-
talks-to-baby-through-nest-security-cam-jacks-up- teams-exploiting-issue-trackers/
thermostat/