Un estudio reciente realizado por los expertos en Evaluación de Seguridad de Kaspersky ha identificado las vulnerabilidades más peligrosas y extendidas en aplicaciones web corporativas desarrolladas internamente. En el período entre 2021 y 2023, se encontraron fallos relacionados con el control de acceso y la protección de datos en la mayoría de las aplicaciones examinadas, totalizando varias decenas. El mayor número de vulnerabilidades de alto riesgo se refirió a inyecciones SQL.
Las aplicaciones web, como las redes sociales, el correo electrónico y los servicios en línea, son básicamente sitios web donde los usuarios interactúan con un servidor web a través de un navegador. En su más reciente estudio, Kaspersky analizó las vulnerabilidades en las aplicaciones web utilizadas por organizaciones de tecnología de la información, gobierno, seguros, telecomunicaciones, criptomonedas, comercio electrónico y atención médica para identificar los tipos más prevalentes de ataques que pueden ocurrir en empresas.
Los tipos predominantes de vulnerabilidades implicaban el potencial uso malicioso de fallas en el control de acceso y fallos en la protección de datos sensibles. Entre 2021 y 2023, el 70% de las aplicaciones web examinadas en este estudio presentaron vulnerabilidades en estas categorías.
Una vulnerabilidad de control de acceso comprometido puede ser utilizada cuando los atacantes intentan eludir las políticas del sitio web que limitan a los usuarios a sus permisos autorizados. Esto puede llevar a un acceso no autorizado, la alteración o eliminación de datos, y más allá. El segundo tipo de fallo más común implica la exposición de información sensible como contraseñas, detalles de tarjetas de crédito, registros de salud, datos personales e información comercial confidencial, destacando la necesidad de aumentar las medidas de seguridad.
“La clasificación se compiló teniendo en cuenta las vulnerabilidades más comunes en las aplicaciones web desarrolladas internamente en varias empresas y su nivel de riesgo. Por ejemplo, una vulnerabilidad podría permitir a los atacantes robar datos de autenticación de usuario, mientras que otra podría ayudar a ejecutar código malicioso en el servidor, cada una con diferentes grados de consecuencias para la continuidad y la resiliencia del negocio. Nuestras clasificaciones reflejan esta consideración, basándose en nuestra experiencia práctica en la realización de proyectos de análisis de seguridad“, explica Oxana Andreeva, experta en seguridad del equipo de Evaluación de Seguridad de Kaspersky.
Tipo de vulnerabilidad | Proporción de aplicaciones web que lo contienen | Proporción de vulnerabilidades de alto riesgo | Proporción de vulnerabilidades de riesgo medio | Proporción de vulnerabilidades de bajo riesgo |
Control de acceso comprometido | 70% | 37% | 49% | 14% |
Exposición de datos sensibles | 70% | 9% | 28% | 63% |
Falsificación de petición del lado del servidor (SSRF) | 57% | 15% | 66% | 19% |
Inyección SQL | 43% | 88% | 12% | – |
Cross Site Scripting (XSS) | 61% | 11% | 78% | 11% |
Autenticación comprometida | 52% | 21% | 47% | 32% |
Configuración de seguridad incorrecta | 43% | 15% | 41% | 44% |
Protección insuficiente contra ataques de fuerza bruta | 39% | 11% | 39% | 50% |
Contraseña de usuario débil | 22% | 78% | 22% | – |
Uso de componentes con vulnerabilidades conocidas | 13% | 43% | 43% | 14% |
Los expertos de Kaspersky también examinaron la peligrosidad de las vulnerabilidades en los grupos mencionados anteriormente. La mayor proporción de vulnerabilidades que representan un alto riesgo estaban asociadas con las inyecciones SQL. En particular, el 88% de todas las vulnerabilidades de inyección SQL analizadas se consideraron de alto riesgo.
Otra parte significativa de las vulnerabilidades de alto riesgo se encontró vinculada con contraseñas débiles de usuarios. Dentro de esta categoría, el 78% de todas las vulnerabilidades analizadas se clasificaron como de alto riesgo.
Es importante señalar que solo el 22% de todas las aplicaciones web estudiadas por el equipo de Evaluación de Seguridad de Kaspersky tenían contraseñas débiles. Una posible razón es que las aplicaciones incluidas en la muestra de estudio pueden haber sido versiones de prueba en lugar de sistemas en vivo reales.
Las categorías de vulnerabilidades descritas en la investigación se alinean con las categorías y subcategorías de la clasificación OWASP Top Ten. La corrección de las vulnerabilidades más extendidas en aplicaciones web descritas en el estudio ayudará a las empresas a proteger datos confidenciales y evitar comprometer aplicaciones web y sistemas relacionados.
Para mejorar la seguridad de las aplicaciones web y detectar posibles ataques de manera oportuna, el equipo de Evaluación de Seguridad de Kaspersky recomienda:
- Utilizar el Ciclo de Vida de Desarrollo de Software Seguro (SSDLC).
- Realizar evaluaciones periódicas de seguridad de aplicaciones.
- Utilizar mecanismos de registro y monitoreo para rastrear la operación de las aplicaciones.
Información adicional sobre este estudio está disponible en Securelist.