Los fallos de control de acceso y exposición de datos prevalecen en las aplicaciones web corporativas: Kaspersky

fallos de control de acceso y exposición

Tales vulnerabilidades se detectaron en el 70% de las apps web utilizadas pororganizaciones de TI, gobierno, seguros, telecomunicaciones, criptomonedas, comercio electrónico y atención médica. Los fallos de control de acceso y exposición de datos prevalecen en las aplicaciones web corporativas: Kaspersky.

Un estudio reciente realizado por los expertos en Evaluación de Seguridad de Kaspersky ha identificado las vulnerabilidades más peligrosas y extendidas en aplicaciones web corporativas desarrolladas internamente. En el período entre 2021 y 2023, se encontraron fallos relacionados con el control de acceso y la protección de datos en la mayoría de las aplicaciones examinadas, totalizando varias decenas. El mayor número de vulnerabilidades de alto riesgo se refirió a inyecciones SQL.

Fallos de control de acceso y exposición de datos prevalecen en las aplicaciones web corporativas: Kaspersky

Las aplicaciones web, como las redes sociales, el correo electrónico y los servicios en línea, son básicamente sitios web donde los usuarios interactúan con un servidor web a través de un navegador. En su más reciente estudio, Kaspersky analizó las vulnerabilidades en las aplicaciones web utilizadas por organizaciones de tecnología de la información, gobierno, seguros, telecomunicaciones, criptomonedas, comercio electrónico y atención médica para identificar los tipos más prevalentes de ataques que pueden ocurrir en empresas.

Los tipos predominantes de vulnerabilidades implicaban el potencial uso malicioso de fallas en el control de acceso y fallos en la protección de datos sensibles. Entre 2021 y 2023, el 70% de las aplicaciones web examinadas en este estudio presentaron vulnerabilidades en estas categorías.

Una vulnerabilidad de control de acceso comprometido puede ser utilizada cuando los atacantes intentan eludir las políticas del sitio web que limitan a los usuarios a sus permisos autorizados. Esto puede llevar a un acceso no autorizado, la alteración o eliminación de datos, y más allá. El segundo tipo de fallo más común implica la exposición de información sensible como contraseñas, detalles de tarjetas de crédito, registros de salud, datos personales e información comercial confidencial, destacando la necesidad de aumentar las medidas de seguridad.

fallos de control de acceso y exposición

«La clasificación se compiló teniendo en cuenta las vulnerabilidades más comunes en las aplicaciones web desarrolladas internamente en varias empresas y su nivel de riesgo. Por ejemplo, una vulnerabilidad podría permitir a los atacantes robar datos de autenticación de usuario, mientras que otra podría ayudar a ejecutar código malicioso en el servidor, cada una con diferentes grados de consecuencias para la continuidad y la resiliencia del negocio. Nuestras clasificaciones reflejan esta consideración, basándose en nuestra experiencia práctica en la realización de proyectos de análisis de seguridad«, explica Oxana Andreeva, experta en seguridad del equipo de Evaluación de Seguridad de Kaspersky.

Tipo de vulnerabilidadProporción de aplicaciones web que lo contienenProporción de vulnerabilidades de alto riesgoProporción de vulnerabilidades de riesgo medioProporción de vulnerabilidades de bajo riesgo
Control de acceso comprometido70%37%49%14%
Exposición de datos sensibles70%9%28%63%
Falsificación de petición del lado del servidor (SSRF)57%15%66%19%
Inyección SQL43%88%12%
Cross Site Scripting (XSS)61%11%78%11%
Autenticación comprometida52%21%47%32%
Configuración de seguridad incorrecta43%15%41%44%
Protección insuficiente contra ataques de fuerza bruta39%11%39%50%
Contraseña de usuario débil22%78%22%
Uso de componentes con vulnerabilidades conocidas13%43%43%14%

Los expertos de Kaspersky también examinaron la peligrosidad de las vulnerabilidades en los grupos mencionados anteriormente. La mayor proporción de vulnerabilidades que representan un alto riesgo estaban asociadas con las inyecciones SQL. En particular, el 88% de todas las vulnerabilidades de inyección SQL analizadas se consideraron de alto riesgo.

Otra parte significativa de las vulnerabilidades de alto riesgo se encontró vinculada con contraseñas débiles de usuarios. Dentro de esta categoría, el 78% de todas las vulnerabilidades analizadas se clasificaron como de alto riesgo.

Es importante señalar que solo el 22% de todas las aplicaciones web estudiadas por el equipo de Evaluación de Seguridad de Kaspersky tenían contraseñas débiles. Una posible razón es que las aplicaciones incluidas en la muestra de estudio pueden haber sido versiones de prueba en lugar de sistemas en vivo reales. Los fallos de control de acceso y exposición de datos prevalecen en las aplicaciones web corporativas: Kaspersky.

Las categorías de vulnerabilidades descritas en la investigación se alinean con las categorías y subcategorías de la clasificación OWASP Top Ten. La corrección de las vulnerabilidades más extendidas en aplicaciones web descritas en el estudio ayudará a las empresas a proteger datos confidenciales y evitar comprometer aplicaciones web y sistemas relacionados.

Para mejorar la seguridad

De las aplicaciones web y detectar posibles ataques de manera oportuna, el equipo de Evaluación de Seguridad de Kaspersky recomienda:

  • Utilizar el Ciclo de Vida de Desarrollo de Software Seguro (SSDLC).
  • Realizar evaluaciones periódicas de seguridad de aplicaciones.
  • Utilizar mecanismos de registro y monitoreo para rastrear la operación de las aplicaciones.

Información adicional sobre este estudio está disponible en Securelist.

Acerca de Kaspersky

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados, así como soluciones de ciber inmunidad para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 220,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en https://latam.kaspersky.com

ACERCA DE

Cultura Digital, Tecnología, Videojuegos, Entretenimiento. Somos una plataforma que busca conectar personas en sus múltiples aficiones.