De acuerdo con el informe Vulnerabilidades y Amenazas de Aplicaciones Web: Estadísticas para 2019, publicado por Positive Technologies, los piratas informáticos pueden atacar a los usuarios en 9 de cada 10 aplicaciones web.
Los expertos de Positive Technologies analizaron 38 aplicaciones web de organizaciones financieras, gubernamentales, empresas de TI, telecomunicaciones e industria. Encontraron que el 16 por ciento de las aplicaciones web contenían vulnerabilidades que permiten a los atacantes tomar el control total del sistema, en tanto que en el 8 por ciento de los sistemas, el control total del servidor de aplicaciones web permitió atacar la red local.
Con el acceso completo al servidor web, los piratas informáticos también podrían colocar su propio contenido en el sitio atacado (desfigurarlo) o incluso atacar a los visitantes del sitio, por ejemplo, infectando sus computadoras con malware.
De acuerdo con el estudio, las instituciones financieras tienen las aplicaciones web más seguras, mientras que las aplicaciones gubernamentales son las menos seguras. Aunque el nivel general de seguridad de las aplicaciones web sigue siendo deficiente.
La mitad de los sitios web en producción tenían vulnerabilidades de alto riesgo. El 82 por ciento de las vulnerabilidades se encontró en el código fuente de la aplicación, lo que indica que durante el desarrollo de la aplicación no se está revisando el código fuente para detectar vulnerabilidades. Los desarrolladores le están dando poca importancia a la seguridad, enfocándose más en la funcionalidad de la aplicación.
De las aplicaciones web, 45 por ciento han tenido problemas con la autenticación. Muchas vulnerabilidades en esta categoría se clasifican como críticas.
El 90 por ciento de las aplicaciones web son vulnerables a ataques a los clientes. Cross-Site Scripting (XSS) sigue siendo una vulnerabilidad significativa. Los ataques contra usuarios incluyen la infección de computadoras con malware, ataques de phishing destinados a obtener credenciales u otros datos importantes, y haciéndose pasar por un usuario legítimo a través de clickjacking.
La seguridad de la mayoría de las aplicaciones web sigue siendo pobre. La mitad de los sitios contienen vulnerabilidades de alto riesgo.
Para lograr y mantener constantemente la alta seguridad de las aplicaciones web -que no es un proceso fácil-, los expertos de Positive Technologies recomiendan reparar cualquier falla detectada lo antes posible y hacer que los procesos sean automáticos siempre que sea posible.
Las empresas deben proporcionar a los desarrolladores capacitación en métodos de desarrollo seguros y realizar análisis de seguridad de las aplicaciones web, con el uso de herramientas automatizadas para el análisis de código fuente. Implementar como medida preventiva, un firewall de aplicaciones web (WAF) que no sólo detecte y prevenga riesgos conocidos en los niveles de aplicación y lógica empresarial, sino que también detecte la explotación de vulnerabilidades de día cero, prevenga ataques a los usuarios, y analice y correlacione eventos para la detección de cadenas de ataque.
El reporte completo de “Web Application Vulnerabilities and Threats: Statistics for 2019” puede ser consultado aquí.