La seguridad en aplicaciones es un aspecto tan importante como lo es su desarrollo y puesta en operación. Si bien este aspecto es cada vez más considerado en el mundo de las aplicaciones web, la preocupación por crear criterios de vulnerabilidad en ellas data de muchos años atrás.
Al respecto, la Fundación sin fines de lucro OWASP (de las siglas en inglés Open Web Application Security Project) ha publicado desde el año 2003 su TOP 10 en Riesgos de Seguridad para las Aplicaciones Web, realizado después de un extenso de análisis de vulnerabilidad en estas.
TOP 10 de OWASP
El Ranking de vulnerabilidades OWASP, que es uno de los más relevantes dentro del mundo de la ciberseguridad y el desarrollo de aplicaciones web, vuelve después de una ausencia de más de media década para informar las nuevas amenazas en lo que a aplicaciones web se refiere.
Estos criterios de vulnerabilidad son:
10. Falsificación de Solicitudes del Lado del Servidor (SSRF)
Un tipo de error que aparece cuando, sin validación previa de la URL del usuario, una aplicación web obtiene un recurso remoto.
Esto le da la facultad al ciberdelincuente de enviar a través de la aplicación una solicitud falsificada, sin importar si se está protegido por un cortafuegos o VPN.
Las fallas SSRF están vulnerando con mayor recurrencia la seguridad en aplicaciones gracias, en gran parte, a los servicios cloud y la complejidad de sus infraestructuras.
9. Fallas en el Registro y Monitoreo
Este riesgo subió del lugar número 10 hasta el noveno, en comparación al TOP 10 de análisis de vulnerabilidad 2017
Al respecto, la aplicación puede ser vulnerable en casos en los que eventos como inicios de sesión, fallas en la autenticación no son registradas o solo son almacenados localmente.
8. Fallas en el software y en la integridad de los Datos
Corresponde a una nueva categoría en la edición 2021 del listado vulnerabilidades OWASP.
Estos fallos se relacionan con código y arquitectura no protegida, como lo son por ejemplo: plugins o CDN no confiables, entre otros.
7. Fallas de Identificación y Autenticación
Esta categoría, que anteriormente era conocida como Pérdida de Autenticación, bajó del segundo lugar en comparación con el listado 2017.
Al respecto, una de los escenarios en donde puede existir fallas en la identificación y autentificación de un software son:
- Aplicaciones web en las cuales se permite utilizar contraseñas por defecto u otras débiles como “123456”.
- El identificador de sesión está expuesto en la URL.
- Permite ataque de fuerza bruta.
6. Componentes Vulnerables y Desactualizados
Corresponde al riesgo que fue número 2 en el pasado TOP 10 de vulnerabilidades OWASP.
Este tipo de vulnerabilidad se da:
- Cuando no se tiene conocimiento de las versiones usadas en los componentes del servidor o cliente.
- En casos en que el software no tiene soporte técnico ni ha sido actualizado.
- Si no se realiza una búsqueda de riesgos periódicamente.
5. Configuración de Seguridad Incorrecta
Este riesgo de seguridad se elevó desde el puesto número 6 con respecto a la edición 2017.
La configuración de seguridad incorrecta puede darse en casos en los que:
Se tienen habilitadas páginas, cuentas, puertos o privilegios de usuario que no son necesarios.
Los accesos de usuario mantienen sus contraseñas predeterminadas.
Se emplean permisos de acceso cloud configurados de manera incorrecta.
4. Diseño Inseguro
Corresponde a una nueva amenaza en este informe 2021.
El diseño inseguro tiene relación con las vulnerabilidades derivadas de errores de diseño y arquitectura.
3. Inyección
Tipo de ciberataque que se aprovecha de vulnerabilidades existentes en el software para inyectar un código malicioso.
Los ciberdelincuentes utilizan este método para romper medidas de seguridad y acceder a datos confidenciales de los usuarios de la aplicación.
2. Fallas criptográficas
Cómo su nombre lo dice, este problema surge debido a fallas relacionadas con la criptografía, así como también la ausencia de esta.
1. Pérdida de Control de Acceso
Falla que ocurre cuando un usuario accede a un área o recurso sin contar con los permisos para hacerlo.
También puede darse de forma inversa, es decir, cuando una persona no puede acceder a recursos con permisos que si se lo permiten.
Este tipo de fallas pueden llevar a la filtración de información confidencial de los usuarios.
Protege tus aplicaciones web con White Shield
En White Shield contamos con una amplia gama de soluciones en ciberseguridad para tus aplicaciones web que permiten, entre otras cosas, una detección temprana de vulnerabilidades y errores en la infraestructura de estas.
Visítanos y descubre nuestro catálogo de soluciones para aumentar la ciberseguridad de tu empresa.
