{"id":13704,"date":"2024-04-04T14:39:19","date_gmt":"2024-04-04T19:39:19","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=13704"},"modified":"2024-04-04T14:39:24","modified_gmt":"2024-04-04T19:39:24","slug":"los-fallos-de-control-de-acceso-y-exposicion-de-datos-prevalecen-en-las-aplicaciones-web-corporativas","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/los-fallos-de-control-de-acceso-y-exposicion-de-datos-prevalecen-en-las-aplicaciones-web-corporativas\/","title":{"rendered":"Los fallos de control de acceso y exposici\u00f3n de datos prevalecen en las aplicaciones web corporativas"},"content":{"rendered":"\n

Un estudio reciente realizado por los expertos en Evaluaci\u00f3n de Seguridad de Kaspersky ha identificado las vulnerabilidades m\u00e1s peligrosas y extendidas en aplicaciones web corporativas desarrolladas internamente. En el per\u00edodo entre 2021 y 2023, se encontraron fallos relacionados con el control de acceso y la protecci\u00f3n de datos en la mayor\u00eda de las aplicaciones examinadas, totalizando varias decenas. El mayor n\u00famero de vulnerabilidades de alto riesgo se refiri\u00f3 a inyecciones SQL.<\/p>\n\n\n\n

Las aplicaciones web, como las redes sociales, el correo electr\u00f3nico y los servicios en l\u00ednea, son b\u00e1sicamente sitios web donde los usuarios interact\u00faan con un servidor web a trav\u00e9s de un navegador. En su m\u00e1s reciente estudio, Kaspersky analiz\u00f3 las vulnerabilidades en las aplicaciones web utilizadas por organizaciones de tecnolog\u00eda de la informaci\u00f3n, gobierno, seguros, telecomunicaciones, criptomonedas, comercio electr\u00f3nico y atenci\u00f3n m\u00e9dica para identificar los tipos m\u00e1s prevalentes de ataques que pueden ocurrir en empresas.<\/p>\n\n\n\n

Los tipos predominantes de vulnerabilidades implicaban el potencial uso malicioso de fallas en el control de acceso y fallos en la protecci\u00f3n de datos sensibles. Entre 2021 y 2023, el 70% de las aplicaciones web examinadas en este estudio presentaron vulnerabilidades en estas categor\u00edas.<\/p>\n\n\n\n

Una vulnerabilidad de control de acceso comprometido puede ser utilizada cuando los atacantes intentan eludir las pol\u00edticas del sitio web que limitan a los usuarios a sus permisos autorizados. Esto puede llevar a un acceso no autorizado, la alteraci\u00f3n o eliminaci\u00f3n de datos, y m\u00e1s all\u00e1. El segundo tipo de fallo m\u00e1s com\u00fan implica la exposici\u00f3n de informaci\u00f3n sensible como contrase\u00f1as, detalles de tarjetas de cr\u00e9dito, registros de salud, datos personales e informaci\u00f3n comercial confidencial, destacando la necesidad de aumentar las medidas de seguridad.<\/p>\n\n\n\n

La clasificaci\u00f3n se compil\u00f3 teniendo en cuenta las vulnerabilidades m\u00e1s comunes en las aplicaciones web desarrolladas internamente en varias empresas y su nivel de riesgo. Por ejemplo, una vulnerabilidad podr\u00eda permitir a los atacantes robar datos de autenticaci\u00f3n de usuario, mientras que otra podr\u00eda ayudar a ejecutar c\u00f3digo malicioso en el servidor, cada una con diferentes grados de consecuencias para la continuidad y la resiliencia del negocio. Nuestras clasificaciones reflejan esta consideraci\u00f3n, bas\u00e1ndose en nuestra experiencia pr\u00e1ctica en la realizaci\u00f3n de proyectos de an\u00e1lisis de seguridad<\/em>“, explica Oxana Andreeva, experta en seguridad del equipo de Evaluaci\u00f3n de Seguridad de Kaspersky.<\/strong><\/p>\n\n\n\n

Tipo de vulnerabilidad<\/em><\/strong><\/td>Proporci\u00f3n de aplicaciones web que lo contienen<\/em><\/strong><\/td>Proporci\u00f3n de vulnerabilidades de alto riesgo<\/em><\/strong><\/td>Proporci\u00f3n de vulnerabilidades de riesgo medio<\/em><\/strong><\/td>Proporci\u00f3n de vulnerabilidades de bajo riesgo<\/em><\/strong><\/td><\/tr>
Control de acceso comprometido<\/em><\/td>70%<\/em><\/td>37%<\/em><\/td>49%<\/em><\/td>14%<\/em><\/td><\/tr>
Exposici\u00f3n de datos sensibles<\/em><\/td>70%<\/em><\/td>9%<\/em><\/td>28%<\/em><\/td>63%<\/em><\/td><\/tr>
Falsificaci\u00f3n de petici\u00f3n del lado del servidor (SSRF)<\/em><\/td>57%<\/em><\/td>15%<\/em><\/td>66%<\/em><\/td>19%<\/em><\/td><\/tr>
Inyecci\u00f3n <\/em>SQL<\/em><\/td>43%<\/em><\/td>88%<\/em><\/td>12%<\/em><\/td>–<\/em><\/em><\/td><\/tr>
Cross Site Scripting (XSS)<\/em><\/td>61%<\/em><\/td>11%<\/em><\/td>78%<\/em><\/td>11%<\/em><\/td><\/tr>
Autenticaci\u00f3n comprometida<\/em><\/td>52%<\/em><\/td>21%<\/em><\/td>47%<\/em><\/td>32%<\/em><\/td><\/tr>
Configuraci\u00f3n de seguridad incorrecta<\/em><\/td>43%<\/em><\/td>15%<\/em><\/td>41%<\/em><\/td>44%<\/em><\/td><\/tr>
Protecci\u00f3n insuficiente contra ataques de fuerza bruta<\/em><\/td>39%<\/em><\/td>11%<\/em><\/td>39%<\/em><\/td>50%<\/em><\/td><\/tr>
Contrase\u00f1a de usuario d\u00e9bil<\/em><\/td>22%<\/em><\/td>78%<\/em><\/td>22%<\/em><\/td>–<\/em><\/em><\/td><\/tr>
Uso de componentes con vulnerabilidades conocidas<\/em><\/td>13%<\/em><\/td>43%<\/em><\/td>43%<\/em><\/td>14%<\/em><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Los expertos de Kaspersky tambi\u00e9n examinaron la peligrosidad de las vulnerabilidades en los grupos mencionados anteriormente. La mayor proporci\u00f3n de vulnerabilidades que representan un alto riesgo estaban asociadas con las inyecciones SQL. En particular, el 88% de todas las vulnerabilidades de inyecci\u00f3n SQL analizadas se consideraron de alto riesgo.<\/p>\n\n\n\n

Otra parte significativa de las vulnerabilidades de alto riesgo se encontr\u00f3 vinculada con contrase\u00f1as d\u00e9biles de usuarios. Dentro de esta categor\u00eda, el 78% de todas las vulnerabilidades analizadas se clasificaron como de alto riesgo.<\/p>\n\n\n\n

Es importante se\u00f1alar que solo el 22% de todas las aplicaciones web estudiadas por el equipo de Evaluaci\u00f3n de Seguridad de Kaspersky ten\u00edan contrase\u00f1as d\u00e9biles. Una posible raz\u00f3n es que las aplicaciones incluidas en la muestra de estudio pueden haber sido versiones de prueba en lugar de sistemas en vivo reales.<\/p>\n\n\n\n

Las categor\u00edas de vulnerabilidades descritas en la investigaci\u00f3n se alinean con las categor\u00edas y subcategor\u00edas de la clasificaci\u00f3n OWASP Top Ten<\/a>. La correcci\u00f3n de las vulnerabilidades m\u00e1s extendidas en aplicaciones web descritas en el estudio ayudar\u00e1 a las empresas a proteger datos confidenciales y evitar comprometer aplicaciones web y sistemas relacionados.<\/p>\n\n\n\n

Para mejorar la seguridad de las aplicaciones web y detectar posibles ataques de manera oportuna, el equipo de Evaluaci\u00f3n de Seguridad de Kaspersky recomienda:<\/p>\n\n\n\n