SEGURIDAD | Artículos | 16 OCT 2018

Aplicaciones web: cada vez más vulnerables

Cada vez hay más aplicaciones empresariales. Las compañías no paran de desarrollarlas para mejorar la actividad de sus empleados. No obstante, ese desarrollo no marcha en consonancia con su seguridad. El resultado es que cada vez se detectan más agujeros dentro de la seguridad de las empresas.
Rendimiento de aplicaciones
Redacción DealerWorld

Que las empresas apenas prestan atención —o bien la que merecen— a sus aplicaciones web es tan palmario y evidente como que uno más uno suman dos. Y como es difícil que alguien venga a demostrar lo contrario —es decir, que uno más uno no suman dos, por mucho que así se manifieste continuamente en el mundo de las TI—, al menos vamos a intentar remover las conciencias a los responsables de seguridad de las empresas, o en su defecto de las empresas contratadas al respecto, en lo que a la seguridad de sus aplicaciones se refiere.

Porque es así: la seguridad en las aplicaciones web de las empresas pinta menos que la Tomasa en los títeres. Tal cual. A modo de ejemplo, y por seguir en esa labor de remover conciencias, los tests de penetración realizados por Kaspersky Lab revelan que, en 2017, cerca del 73% de los ataques externos realizados con éxito en el perímetro de red de las empresa se consiguió a través de aplicaciones web vulnerables. Es más, en cuatro de cada diez empresas, y siempre según los tests de aquel especialista en seguridad, el nivel de protección contra los atacantes es bajo o extremadamente bajo. Y para rematar, esta cifra, también aportada por Kaspersky Labs: ésta detectó software obsoleto en el perímetro de red del 86% de las empresas. Ahí queda eso.

Vulnerabilidad: el quid de la cuestión

Y es que es así: las aplicaciones web de las compañías, al menos en su mayoría, son vulnerables. ¿Por qué? Ramsés Gallego, Strategist&Evangelist, Office of the CTO de Symantec aporta una posible explicación: “Lamentablemente, el ciclo de desarrollo de las aplicaciones web es más corto, se requiere un time-to-market (el tiempo para sacar la aplicación al mercado) más rápido y los desarrolladores se ven obligados a centrarse en las funcionalidades y no tanto en cuestiones instrumentales como son la seguridad, robustez y solidez de la aplicación. Por otra parte, el conjunto de herramientas que se utilizan son más diversos, más modernos, y no siempre tienen todos los ángulos cubiertos desde el punto de seguridad. Estamos viviendo momentos donde la disciplina de DevOps (Operaciones de Desarrollo) y SecOps (Operaciones de Seguridad) no siempre van de la mano y eso terrible por el impacto que puede suponer en la integridad de una aplicación, los microservicios que utiliza, etc.

La importancia de tomarse en serio la seguridad

Porque los especialistas en seguridad consultados para este reportaje coinciden en una cosa: tomarse en serio las empresas la seguridad de sus aplicaciones, como que poco. “Normalmente se toma consciencia de este hecho cuando ya es demasiado tarde y ya se ha producido un ataque. Es entonces cuando, con suerte, se empiezan a considerar y a aplicar medidas de seguridad”, admite Josep Albors, responsable de investigación y concienciación de ESET España.

En consecuencia —lo que es una buena noticia para el Canal—, hay amplio espacio de mejora, ya que la prioridad son las funcionalidades, un entorno amigable para el usuario, una experiencia para el consumidor que le satisfaga frente a ‘barreras’ de seguridad o la necesaria auditoría y garantía de calidad de la aplicación. “Si bien es cierto que la concienciación de seguridad por parte de las empresas está ahí y hemos mejorado mucho en los últimos años (en buena parte por el estricto entorno regulatorio en este sentido), el nivel de ejecución y de supervisión que ejerce la organización en la comunidad que desarrolla las aplicaciones no es suficiente para garantizar un correcto nivel de privacidad... Y existen muchos ejemplos al respecto de agujeros de seguridad en aplicaciones móviles, Cloud y/o web”, apunta Ramsés Gallego.

Concienciación: el primer paso

Hay que admitir que algo no funciona o no se toma en cuenta lo suficiente para por concienciarse del problema. Y eso es lo que tienen que hacer las empresas en lo que a la seguridad de sus aplicaciones web se refiere.

Lo contrario de la seguridad no es la inseguridad, sino la complacencia”, considera el especialista en seguridad de Symantec. Frase que es un fiel reflejo de la realidad de buena parte de la empresa española —afortunadamente, no todas—, puesto que numerosas brechas de seguridad y ataques en nuestro país a infraestructura en la nube, móvil o centros de datos son inequívocamente muestra de todo ello.

Y es que un agujero de seguridad, una vulnerabilidad no solucionada, un error en el diseño de la infraestructura de red o de una segregación de funciones puede ser —“y será”, según Ramsés Gallego— utilizada por un atacante para ganar derechos sobre un entorno y, desde allí, escalar privilegios en un reconocimiento de la red, ya sea lateral o hacia arriba. “Somos conscientes de que hay muchas dimensiones a cubrir en una sociedad eminentemente digital —prosigue el Strategist&Evangelist, Office of the CTO de Symantec— y es por ello por lo que creemos no en una seguridad basada en silos, demasiado vertical, sino en una aproximación de principio a fin, holística, completa, desde el Gateway de la corporación hasta el puesto de trabajo, desde el centro de datos hasta la nube, desde el dispositivo móvil hasta la aplicación. Si no es así, es realmente complicado porque el eslabón más débil de toda la cadena será el que es utilizado para penetrar en un sistema, y a veces es un sistema operativo, a veces una aplicación, a veces una contraseña débil, en ocasiones es entornos compartidos en red que no deberían estarlo... Es complicado y complejo pero, por ello, sólo una seguridad unificada y simplificada —en la que creemos y proponemos— es la única solución".

Puede leer aquí el resto del reportaje.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios