Visión general del hacking web/móvil
Cómo se descubren los fallos de seguridad de las aplicaciones web/móviles
¿Qué es un fallo de seguridad?
Un defecto o debilidad en los procedimientos de seguridad del sistema, el diseño, la implementación o los controles internos que podría ejercerse (desencadenado accidentalmente o explotado intencionadamente) y que da lugar a un fallo de seguridad o a una violación de la política de seguridad del sistema.
Problemas básicos que pueden conducir a fallos de seguridad |
|
Usuarios
|
|
• puede interferir en cualquier dato transmitido entre el cliente (puede ser un navegador en un ordenador o en un teléfono móvil) y el servidor
|
• puede enviar peticiones (pueden ser direcciones en el navegador, o diferentes llamadas desde la línea de comandos) en cualquier secuencia y puede enviar parámetros en una etapa diferente a la que la aplicación espera.
|
• no se limitan a utilizar sólo un navegador web para acceder a la aplicación: pueden ser aplicaciones móviles nativas que se comunican con el sistema operativo o herramientas de línea de comandos desde el ordenador.
|
|
Causas comunes de los fallos de seguridad
|
• La falta de concienciación sobre la seguridad
Normalmente, los programadores no prestan suficiente atención a la seguridad, sino más bien a las funcionalidades del negocio, y no son conscientes de las amenazas. El papel del CTO (Chief Technical Officer) es el de ser el impulsor de la concienciación sobre la seguridad en el departamento de desarrollo de software.
• Desarrollo a medida
Los entornos seguros se modifican (de forma insegura) para cumplir con los requisitos del cliente. Los programadores o los proveedores de software deben asegurarse de crear pruebas técnicas (será bueno proporcionar informes al cliente sobre las pruebas realizadas) para garantizar que la aplicación siga siendo segura.
• Limitación de recursos
Tiempo, dinero (buenos programadores), plataformas de pago (y seguras), etc.
|
Herramientas de pruebas de seguridad de aplicaciones web
Las herramientas pueden utilizarse para
• Adivinar las credenciales de autentificación
• Protocolos de bases de datos de acceso y líneas de comandos para introducir diferentes textos
• Directorio de la organización (LDAP) - para modificar el directorio de la estructura de la organización
• Modificación de diferentes protocolos web/móviles
|
|
Herramientas reconocidas que pueden utilizarse para reforzar la seguridad |
•Zed Attack Proxy (ZAP)
|
•SQLMap
|
•Wfuzz
|
•SonarQube
|
•Grabber
|
•Netsparker
|
•Arachni
|
•Acunetix
|
•Wapiti
|
•Intruder
|
Contramedidas
• Requerir un token secreto y específico del usuario en todos los campos que se completan y envían al servidor - el sitio del atacante no puede poner el token correcto en sus envíos
• Solicitar al cliente que proporcione datos de autenticación (mejor en combinación con otro dispositivo como un teléfono móvil) en la misma petición del navegador que se utiliza para realizar cualquier operación con implicaciones de seguridad (transferencia de dinero, nombres, documentos secretos, etc.)
• Limitar la vida útil de las cookies de sesión (un archivo que contiene un identificador numérico o de letras que el servidor de un sitio web envía a un navegador para su uso temporal durante un periodo de tiempo limitado)
• Acceder a sitios web que tengan un certificado seguro: la dirección del navegador debe empezar por "https".
• Valide sólidamente la entrada del usuario utilizando como estrategia "aceptar lo bueno conocido", o aísle los archivos entrantes y compruebe su legitimidad antes de ejecutarlos.
• Muchas empresas que son víctimas de ciberataques los sufren porque sólo consideran los riesgos una vez que ha ocurrido lo peor. Lo cierto es que nunca es demasiado pronto para proteger su negocio y existen soluciones dirigidas a las pequeñas empresas, incluidas las basadas en la nube, que le facilitan esta tarea
¿Cuánta seguridad es suficiente?
• La implantación de la seguridad se basa en el análisis Coste vs. Riesgo
• Riesgo es igual a Amenaza * Vulnerabilidad
• El coste es igual a la diferencia entre el coste de aplicar los controles y el coste de no aplicar los controles
|
|
Principales retos de seguridad a los que se enfrentan las PYMES
Limitaciones presupuestarias
No te conviertas en fruta madura para los ciberdelincuentes
• Las ciberamenazas son un riesgo empresarial importante para las PYMES. Con las prácticas cada vez más orientadas hacia Internet y la nube, las PYMES tienen una mayor exposición a los ataques que nunca antes
• A medida que las PYMES trabajan para protegerse en un panorama de amenazas en constante evolución, descubren que sus necesidades de seguridad cambian constantemente. Mientras los atacantes innovan para encontrar nuevas formas de penetrar en las redes de las organizaciones, los defensores también deben pensar fuera de la caja y más allá del perímetro
• A medida que el panorama de las ciberamenazas sigue evolucionando y volviéndose más complejo, las PYMES se encuentran con presupuestos cada vez más ajustados y están expuestas a la cada vez mayor brecha de habilidades cibernéticas. Por ello, las empresas están expuestas a ataques maliciosos
• Utilice el análisis Coste vs. Riesgo con todos los cambios en el panorama de la ciberseguridad
|
|
Robo por parte de empleados
¡¡¡Los malos actores dentro de una empresa son mucho más comunes de lo que crees!!!
• Ofrezca formación a sus empleados
La formación es otro elemento importante para proteger su empresa contra los ciberataques.
Sus empleados deben conocer los peligros de hacer clic en enlaces que no son seguros o de utilizar software que no ha sido autenticado.
|
|
|
• Tener una política de principio de mínimo privilegio (POLP)
Una vez que comprenda bien cómo priorizar la seguridad de sus datos, puede emplear una política que limite quién tiene acceso a sus datos dependiendo de su papel y función. Esto va más allá de la simple autorización y autenticación y, en cambio, sólo da acceso a los empleados en función de su necesidad. Esto le ayudará a reducir el riesgo al que se expone al garantizar que el acceso a los datos críticos y a la red es globalmente limitado. Esto también hace más fácil descubrir quién podría estar detrás de una exposición o incidente.
|
|
|
• Implemente un software para supervisar e impedir el acceso
Una vez que haya hecho el duro trabajo de evaluar sus necesidades internas de seguridad de datos, puede implementar un software que supervise el comportamiento y el acceso a la red y limite quién tiene acceso a partes de su infraestructura..
|
|
|
• Tenga preparado un plan de respuesta a incidentes
Ningún plan o software puede garantizar una prevención del 100%, por lo que es importante planificar y prepararse para los peores escenarios. Utilizando los tipos de amenazas internas enumeradas anteriormente y la evaluación de los datos críticos que hemos descrito, puede analizar varios escenarios:
¿Y si un empleado que acaba de ser despedido desactiva las actualizaciones automáticas del software crítico?
¿Y si un proveedor de infraestructuras de terceros sufriera una brecha de datos?
¿Y si un empleado del departamento de finanzas hace clic en un correo electrónico de phishing?
|
|
|
Error humano
• Envío erróneo de correos electrónicos
El envío erróneo de correos electrónicos fue la quinta causa más común de violaciones de la ciberseguridad: el 58% de los empleados admitió haber enviado un correo electrónico a la persona equivocada en el trabajo
• Mala calidad de las contraseñas
En muchas organizaciones, las contraseñas son la primera línea de defensa de la ciberseguridad. Sin embargo, a menudo son también el mayor punto débil: el 61% de las infracciones se deben a credenciales de usuario robadas o comprometidas.
• Parcheado inadecuado, incompleto o retrasado
Los ciberdelincuentes se aprovechan de las vulnerabilidades del software para acceder a las redes, los sistemas y los datos de las empresas. Cuando se descubren estos ataques, los desarrolladores (o proveedores) de software corrigen la vulnerabilidad y envían el parche a todos los usuarios.
• Control de acceso deficiente
Un control de acceso inadecuado es otro de los principales errores humanos en las brechas de ciberseguridad, ya que permite a los delincuentes hacerse con el control de las redes empresariales.
Medidas técnicas y mejores prácticas para PYMES
Hazte cibersabio
Su PYME puede descubrir fácilmente su nivel de preparación en materia de ciberseguridad encontrando respuestas a estos importantes elementos que se describen a continuación. Le ayudará a detectar las deficiencias de seguridad en su organización y las mejores prácticas necesarias, como por ejemplo:
• Cortafuegos y pasarelas de Internet en la oficina
• Configuración segura
• Parches de software
• Mejores prácticas para las cuentas de usuario y administrativas
• Protección contra el malware
• Conciencia de las debilidades de las contraseñas
• Evaluación básica de riesgos
|
|
Herramientas de seguridad
Contar con las herramientas de ciberseguridad adecuadas para una pequeña empresa se ha convertido en algo esencial.
• El 60% de las pequeñas empresas cierran a los pocos meses de sufrir un ciberataque
Los presupuestos son limitados, por lo que la elección de las herramientas de ciberseguridad adecuadas para una pequeña empresa es fundamental en estas áreas
• Cortafuegos y seguridad de la red
• Seguridad del correo electrónic
• Contraseñas
• Antivirus
|
|
Prácticas de ciberseguridad
Algunas de las prácticas que ayudarán a las pymes a estar más protegidas frente a las ciberamenazas:
• Evite los correos electrónicos, enlaces y ventanas emergentes
desconocidos
• Tenga cuidado con los USB no verificados
• Utilice la autenticación multifactorial (MFA)
• Mantenga su dispositivo móvil seguro
• Utilice contraseñas seguras
• Ser consciente de la ingeniería social
• Utilizar una WI-FI segura
• Garantizar la protección de los datos
• Instalar actualizaciones de software de seguridad
• Utilizar la protección del cortafuegos en el trabajo o en casa
• Comunicarse con su departamento de TI
|
|
Vulnerabilidades menos conocidas de las aplicaciones web
Errores comunes de seguridad en la web
Algunos de los errores más frecuentes que cometen las PYMES y que deben ser revisados inmediatamente:
• Permitir la entrada de datos no válidos en la base de datos
• Centrarse en el sistema en su conjunto
• Establecer métodos de seguridad desarrollados personalmente
• Tratar la seguridad como el último paso
• Establecer el almacenamiento de contraseñas en texto plano
• No realizar análisis de seguridad de sitios web
• Crear contraseñas débiles
• Almacenar datos sin cifrar en la base de datos
• No encriptar los datos sensibles
• Tener software obsoleto
• Tener componentes de software con vulnerabilidades conocidas
|
|
Cómo afectan las vulnerabilidades de las aplicaciones web a las PYMES y su prevención
Esto ocurre cuando los responsables toman decisiones sobre la creación de medidas de ciberseguridad confiando excesivamente en su intuición y experiencia, pero no en las tendencias estadísticas existentes y en el impacto de los ciberataques.
ATAQUE AUTOMATIZADO DE UNA VULNERABILIDAD CONOCIDA
Activo comprometido: El sistema operativo (SO) del ordenador.
Prevención: La PYME puede utilizar un software de gestión de parches para escanear la red, identificar los parches que faltan y las actualizaciones de software, y distribuir los parches desde una consola central para tener toda la red al día. Además, las PYMES pueden formar a los empleados para que ellos mismos apliquen los parches actualizados.
|
|
CORREO ELECTRÓNICO HTML MALICIOSO
Activo comprometido: Ordenador, teléfono móvil, tableta cualquier equipo que pueda mostrar los correos maliciosos.
Prevención: La pyme puede implementar un filtro de spam agresivo para que este tipo de correos no aparezcan en la bandeja de entrada del usuario. También es necesario concienciar a los empleados sobre la seguridad del correo electrónico. Hay que concienciar a los empleados sobre los correos electrónicos no deseados. Una PYME puede implementar una formación periódica para los empleados sobre el reconocimiento de los correos electrónicos de spam..
|
|
|
|
NAVEGACIÓN IMPRUDENTE POR INTERNET POR PARTE DE LOS EMPLEADOS
Activo comprometido: Ordenadores, tabletas, teléfonos móviles conectados a la red de la empresa.
Prevención: Se debe aconsejar a los empleados que no naveguen por ningún sitio web que no esté relacionado con el trabajo. También se debe informar a los empleados de que todo el registro de navegación por Internet se supervisa para que no naveguen por sitios web poco éticos durante el trabajo. Es necesario aplicar una política de uso aceptable de Internet.
|
|
DATOS PERDIDOS EN UN DISPOSITIVO PORTÁTIL
Activo comprometido: Dispositivo portátil y los datos sensibles almacenados en él.
Prevención: La mayoría de los dispositivos móviles tienen la opción de cifrar todos los datos del usuario, y/o solicitar una contraseña para acceder a los datos. Debe haber una política que solicite a todos los empleados el uso de esa característica particular para los dispositivos portátiles utilizados para el trabajo. Uso de un software de gestión de dispositivos móviles (MDM) que ayude a la empresa a gestionar los dispositivos móviles y a borrar todos los datos del dispositivo en caso de necesidad. |
|
|
|
USO IMPRUDENTE DE LAS REDES Y QUIOSCOS DE LOS HOTELES
Compromised asset: Company’s entire network and employee’s device.
Prevention: Devices like laptops, smartphone, tablets should have the updated antivirus, anti- spyware/malware, and firewall. Also policy should be implemented that employees can never turn off security defenses of the devices.
|
|
FALTA DE PLANES DE CONTINGENCIA
Activo comprometido: Puede afectar a toda la infraestructura informática de la PYME.
Prevención: Desarrollar una política para cualquier tipo de contingencia es la principal solución. Aunque desarrollar una política puede ser una tarea difícil, un experto externo puede ayudar.
|
|
|
|
Consecuencias de los ciberataques para las Pymes
Consecuencias en la vida real de los ciberataques a las Pymes
Impacto económico
Los ciberataques suelen acarrear importantes pérdidas económicas derivadas de
• robo de información corporativa
• robo de información financiera (por ejemplo, datos bancarios o de tarjetas de pago)
• robo de dinero
• interrupción del desarrollo de la actividad comercial (por ejemplo, imposibilidad de
realizar transacciones en línea)
• pérdida de negocio o de contratos
Las empresas que han sufrido una brecha cibernética también suelen sufrir los costes asociados a la reparación de los sistemas, redes y dispositivos afectados.
|
|
Daño a la reputación
La confianza es un elemento esencial de la relación con el cliente. Los ciberataques pueden dañar la reputación de su empresa y erosionar la confianza de sus clientes. Esto, a su vez, podría conducir potencialmente a::
• pérdida de clientes
• pérdida de ventas
• reducción de beneficios
El efecto del daño a la reputación puede incluso repercutir en sus proveedores, o afectar a las relaciones que pueda tener con socios, inversores y otros terceros implicados en su negocio.
Implicaciones legales
Las leyes de protección de datos y privacidad le piden que gestione la seguridad de todos los datos personales que posee, ya sea de su personal o de sus clientes. Si estos datos se ven comprometidos de forma accidental o deliberada, y no ha implementado las medidas de seguridad adecuadas, puede enfrentarse a multas y sanciones reglamentarias.
Ciberataque y error humano
Incluso cuando las PYMES aceleran sus esfuerzos de digitalización para hacer frente al competitivo clima económico actual, pueden tener dificultades para realizar las inversiones necesarias en seguridad, ya sea mediante la creación de un equipo interno de especialistas o la contratación de un costoso proveedor externo para la asistencia.
Sin una plantilla de profesionales, es difícil que los propios propietarios de las PYME planifiquen, establezcan y mantengan la infraestructura de ciberseguridad adecuada para protegerse de las amenazas conocidas y desconocidas, ahora y en el futuro, incluso si el error humano está ahí por la falta de habilidades de las personas que forman parte de la empresa.
Las áreas que pueden verse afectadas:
• Daño a la marca
• Pérdida de clientes
• Haber perdido la oportunidad de atraer nuevos clientes
• Haber perdido la oportunidad de ampliar sus actividades
|
|
Gestión de riesgos cibernéticos
Gestionar el riesgo de ciberseguridad centrándose en el ciber seguro
El seguro cibernético o es un tipo de cobertura de seguro que tiene como objetivo proteger su negocio de las amenazas informáticas y le cubre si sus sistemas o datos se han perdido, dañado o robado en caso de un ciberataque.
¿Qué cubre un ciber seguro?
La mayoría de las pólizas de ciberseguro suelen cubrir los costes de primera y tercera parte relacionados con un ciberataque:
• El seguro cibernético a primera parte cubre los daños a su empresa, como el coste de la investigación del ciberdelito, la restauración de los sistemas informáticos, la recuperación de los datos perdidos, los daños a la reputación, los pagos de extorsión exigidos por los ciberdelincuentes y los costes relacionados con el cierre de la empresa.
• El ciber seguro a terceros cubre los activos de otros, normalmente sus clientes, y cualquier posible reclamación contra usted, incluyendo daños y liquidaciones, así como los costes legales para defender su negocio
Al evaluar el riesgo de un cliente, las aseguradoras suelen centrarse en las siguientes categorías principales:
• Recursos dedicados
• Políticas y procedimientos
• Concienciación de los empleados
• Respuesta a incidentes
• Medidas de seguridad
• Gestión de proveedores
• Supervisión de la Junta Directiva
|
|
¿Necesita mi negocio un ciber seguro?
Si su empresa utiliza, envía o almacena datos electrónicos, podría ser vulnerable a la ciberdelincuencia. El seguro cibernético podría ayudarle con los costes financieros y de reputación si su empresa es alguna vez víctima de un ciberataque.
Coste e impacto del ciberseguro
El seguro de ciberseguridad (y el seguro de ciberresponsabilidad) puede ayudar a su empresa a mitigar el riesgo al compensar algunos de los costes de la recuperación de incidentes cibernéticos.
Pueden ser gastos relacionados con:
• la gestión de un ciberincidente
• la investigación de una brecha
• la notificación a los interesados y su reparación
• responsabilidad - violación de la privacidad o de los datos confidenciales
• honorarios profesionales relacionados con las acciones de recuperación
• interrupción de la actividad, por ejemplo, por la caída de la red
|
|
|
|
|