Las 10 vulnerabilidades de seguridad más comunes en 2020 y sus impactos financieros

La plataforma de recompensas por errores de seguridad, HackerOne, ha publicado su lista de las vulnerabilidades de seguridad más comúnmente descubiertas en 2020, con las 10 vulnerabilidades mencionadas representando $23.5 millones en pagos a hackers éticos que encontraron y reportaron errores en su plataforma.

Las 10 vulnerabilidades de seguridad más comunes en 2020 y sus impactos financieros - Seguridad | Imagen 1 Newsmatic

A medida que la pandemia de COVID-19 continúa, empresas de todo tipo se han visto obligadas a digitalizarse más rápido de lo planeado, lo que ha dado lugar a una serie de nuevas vulnerabilidades de seguridad potenciales.

"Decenas de millones de trabajadores empezaron a trabajar de forma remota, estuvieran o no preparados", dijo Miju Han, director senior de gestión de proyectos de HackerOne. "Con este ritmo acelerado de transformación digital, los CISO tuvieron que facilitar rápidamente nuevas necesidades al tiempo que garantizaban la seguridad de los sistemas existentes".

Listas como esta de HackerOne son información valiosa para los CISOs, especialmente en 2020: pueden alertarles sobre problemas que desconocían y que surgieron a raíz del coronavirus.

HackerOne considera su lista de las 10 principales como uno de "los tipos de vulnerabilidad más impactantes y recompensados", y está compuesta por las siguientes, en orden descendente:

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
  1. Cross-site Scripting (XSS)
  2. Control de acceso inadecuado
  3. Divulgación de información
  4. Server-Side Request Forgery (SSRF)
  5. Referencia directa insegura a objetos (IDOR)
  6. Escalada de privilegios
  7. SQL Injection
  8. Autenticación incorrecta
  9. Inyección de código
  10. Cross-Site Request Forgery (CSRF)

HackerOne destaca cuatro conclusiones clave que se pueden extraer de la lista: la persistente amenaza del XSS, el rápido aumento del control de acceso inadecuado y la divulgación de información, la creciente peligrosidad de las vulnerabilidades SSRF y la disminución de los ataques de inyección SQL.

Encabezando la lista por segundo año consecutivo está el cross-site scripting, que implica que un atacante inyecte código en un sitio web para robar datos, credenciales de usuario y otra información. En 2020, hubo un aumento del 26% en los pagos por errores de XSS, y el XSS representó el 18% de todos los errores reportados en HackerOne.

El control de acceso inadecuado (IAC) consiste en que un atacante aproveche restricciones de acceso mal diseñadas para acceder a datos sensibles, y la divulgación de información se puede considerar como el resultado de un ataque IAC. La divulgación de información se mantuvo en el tercer puesto, pero es el IAC lo que resulta alarmante: subió del noveno lugar en 2019 al segundo lugar en 2020, con un aumento del 134% interanual.

"Las decisiones de diseño de control de acceso deben ser tomadas por humanos, no por tecnología, y el potencial de errores es alto, además ambos errores son casi imposibles de detectar mediante herramientas automatizadas", afirmó HackerOne en un comunicado de prensa.

Con el aumento del trabajo remoto por la pandemia, un buen control de acceso es esencial, por lo que puede ser el momento ideal para destacar la arquitectura de confianza cero.

El Server-Side Request Forgery (SSRF) implica que un atacante envíe una solicitud maliciosa a través de una aplicación web vulnerable, lo que permite al atacante acceder a sistemas seguros a los que no debería poder acceder desde el exterior.

Cómo proteger tu computadora de los virus: métodos y consejos

HackerOne menciona que el SSRF suele ser benigno, ya que los ataques normalmente solo permiten el escaneo de redes o el acceso a un panel de administrador. "En esta era de rápida transformación digital, el advenimiento de la arquitectura en la nube y los puntos finales de metadatos sin protección han vuelto estas vulnerabilidades cada vez más críticas", advierte HackerOne. Con los servicios en la nube siendo un componente clave para el trabajo remoto impuesto por el COVID-19, el SSRF representa un riesgo aún más importante en el que hay que protegerse.

En una pequeña buena noticia, las inyecciones de SQL, ataques simples pero potencialmente devastadores, han ido disminuyendo. HackerOne vio cómo caía del quinto al séptimo lugar entre 2019 y 2020, lo cual la compañía atribuye a un cambio en la postura de seguridad hacia la monitorización proactiva de superficies de ataque y un mayor uso de pruebas de penetración.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Las 10 vulnerabilidades de seguridad más comunes en 2020 y sus impactos financieros , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.