La seguridad de las aplicaciones web sigue siendo preocupante según informe de vulnerabilidades
Aunque muchas personas podrían pensar que las aplicaciones web en general se están volviendo más seguras, "la verdad es menos optimista", revela un nuevo informe. Si bien las aplicaciones protegidas por escaneo de vulnerabilidades web están mejorando su seguridad, "los nuevos objetivos tienen más vulnerabilidades", según el Informe de Vulnerabilidades Web 2020 de Acunetix.
Las vulnerabilidades en las aplicaciones web
Los sitios web y las aplicaciones web desprotegidas son la segunda fuente principal de importantes brechas de seguridad, lo que lleva al robo de miles de millones de registros personales por parte de criminales, según Acunetix.
La existencia de nuevos objetivos es preocupante, porque "esto significa que los nuevos desarrolladores no tienen los conocimientos necesarios para evitar vulnerabilidades", señala el informe. "También sugiere que estos desarrolladores trabajan dentro de una estructura de desarrollo que no promueve la seguridad web".
La investigación reveló vulnerabilidades de scripting entre sitios (XSS), bibliotecas de JavaScript vulnerables y problemas relacionados con WordPress en el 25% de los objetivos muestreados, según el informe. "Esto significa que las aplicaciones web siguen siendo bastante vulnerables, pero, aun así, este número es un 30% menor que el año pasado".
Principales vulnerabilidades detectadas
Específicamente, el informe menciona las siguientes vulnerabilidades:
Ejecución remota de código (RCE): 3% (↑ desde el 2% en 2019)
Nuevo ataque de phishing utiliza Symantec para robar credenciales - Descubre cómo se lleva a caboInyección de SQL (SQLi): 8% (↓ desde el 14% en 2019)
Traversal de directorios: 4% (↑ desde el 2% en 2019)
Cross-site Scripting (XSS): 25% (↓ desde el 33% en 2019)
Bibliotecas de JavaScript vulnerables: 33% (↓ desde el 36% en 2019)
Manipulación de solicitudes del lado del servidor (SSRF): 1% (1% en 2019)
Falsificación de solicitudes entre sitios (CSRF): 36% (↓ desde el 51% en 2019)
¡Alerta! Nueva campaña de phishing suplanta a LogMeIn para robar credenciales de usuariosInyección de encabezado de host: 2.5% (↓ desde el 4% en 2019)
Vulnerabilidades de WordPress: 24% (↓ desde el 30% en 2019)
El informe plantea que desarrolladores web y administradores de sistemas experimentados están progresando, ya que Acunetix afirmó que también se observó una disminución de los problemas de inyección de SQL por segundo año consecutivo.
El aumento de las aplicaciones web interactivas
Mientras tanto, la demanda de aplicaciones web interactivas está creciendo, según el informe. "Debido a esto, las aplicaciones web utilizan cada vez más tecnologías del lado del cliente", lo que hace que el número de bibliotecas de JavaScript siga aumentando. "Muchas de estas bibliotecas tienen vulnerabilidades. Sus autores y usuarios conocen estas vulnerabilidades. Y aún así, alrededor del 25% de las aplicaciones web utilizan este tipo de bibliotecas vulnerables".
Los investigadores compararon lenguajes de programación del lado del servidor y concluyeron que "PHP sigue siendo tan popular como antes", seguido por ASP.NET, "pero cada vez se usan con más frecuencia otros lenguajes de servidor menos populares". El informe encontró que:
El porcentaje de vulnerabilidades de PHP ha disminuido mucho. El porcentaje de vulnerabilidades en ASP o ASP.NET está aumentando.
Cómo los ciberdelincuentes están utilizando Amazon Web Services para robar credenciales de usuarioEl porcentaje de vulnerabilidades en Apache/nginx ha disminuido mucho. El porcentaje de vulnerabilidades en IIS está aumentando.
La importancia de la seguridad de las aplicaciones web
Según Acunetix, muchas empresas piensan que todo lo que necesitan hacer para asegurar un sitio web es instalar un certificado SSL. Muchas no se dan cuenta de cuántos vacíos de seguridad existen en sus sitios web y de lo fácil que es para un hacker malicioso infiltrarse. Sin embargo, un ataque puede conducir al robo de datos sensibles, a dañar la reputación de la empresa y a atacar directamente a los clientes de la empresa. Por ejemplo, Acunetix citó el caso de la brecha de seguridad de Capital One en 2019, que fue causada por una vulnerabilidad web llamada SSRF.
El informe concluye que "vamos muy lentamente en la dirección correcta. El número de vulnerabilidades está disminuyendo, pero solo gradualmente. Todavía estamos lejos de estar seguros en la web: más del 25% de las aplicaciones web tienen al menos una vulnerabilidad de alta gravedad".
No es suficiente mantenerse al día con la versión adecuada y la gestión de parches para mantener seguros los recursos web, indica el informe. "Mantener una aplicación web segura es mucho más difícil. La mayoría de las vulnerabilidades no se deben a los sistemas que utilizas, sino a cómo los utilizas. Las vulnerabilidades de las aplicaciones web, como la inyección de SQL y la ejecución remota de código, aparecen debido a un diseño y una programación deficientes, incluso si eliges software y componentes de primera clase".
Acunetix sugiere que la mejor manera de mejorar la seguridad de las aplicaciones web es introducir pruebas de seguridad automatizadas en el ciclo de desarrollo. "Esto implica integrar el escaneo de vulnerabilidades web con herramientas de seguimiento de problemas, entornos de implementación continua y herramientas similares".
El análisis del informe de Acunetix se aplica principalmente a las vulnerabilidades de alta y media gravedad encontradas en aplicaciones web, así como a los datos de vulnerabilidades de red perimetral de 5.000 objetivos de escaneo seleccionados al azar, según la compañía.
La importancia de la autenticación de dos factores en línea y cómo funcionaEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La seguridad de las aplicaciones web sigue siendo preocupante según informe de vulnerabilidades , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados