Seguridad de las aplicaciones

1 de octubre de 2019

Por Baka DIOP – TheExpert SQUAD: líder técnico en seguridad de aplicaciones; experta en seguridad de aplicaciones, DevSecOps y seguridad desde el diseño

Definición

El término «aplicativa» hace referencia directa a la capa 7 (de aplicación) del modelo OSI. La norma ISO 27034 ofrece una definición completa de la seguridad de las aplicaciones, que demuestra que esta no abarca únicamente el software, sino también todos los controles y medidas de seguridad del ciclo de vida del desarrollo de la aplicación (SDLC).

Cifras clave

La primera página web apareció en diciembre de 1990. En 2019 se contabilizaron más de 1500 millones de páginas web (Figura 1).

El número de sitios web no tiene en cuenta las aplicaciones móviles, que superan los 2 millones. En la figura 2 se puede ver el número de aplicaciones para Android disponibles en Google Play.

Estas cifras ponen de manifiesto la rapidez y el crecimiento de la aparición de aplicaciones. Sin embargo, la métrica de la que carecemos es la madurez de los controles que se llevan a cabo sobre estas aplicaciones.

Hay algunas cuestiones que deben tenerse en cuenta para el seguimiento, concretamente la gestión de la seguridad de estas aplicaciones:

¿Se realizan revisiones del código antes de ponerlo en producción?
¿Cómo se gestiona el riesgo en determinadas aplicaciones?

De estas cuestiones fundamentales depende la importancia de la seguridad de las aplicaciones en las empresas.

La figura 3 muestra el porcentaje de ataques perpetrados a lo largo de un año en todo el mundo, desglosados por países.

Estas cifras exigen una toma de conciencia, por lo que es imprescindible poner en marcha medidas de sensibilización en materia de seguridad.

En la figura 4 se enumeran algunas fallas recurrentes y reincidentes.

El análisis de estas cifras reafirma el riesgo que supone el nivel de seguridad de las aplicaciones para una empresa, independientemente de:

El tamaño de la organización,
El lugar,
La estrategia de seguridad (Security by design).

Para comprender la seguridad de las aplicaciones, es necesario conocer sus fundamentos.

Top 10 de OWASP

El Open Web Application Security Project (OWASP) es una organización que agrupa a expertos dedicados a la seguridad de las aplicaciones, con el fin de ofrecer productos de código abierto (documentos, herramientas, etc.).

Entre sus publicaciones se encuentra una lista de las 10 vulnerabilidades más frecuentes en las aplicaciones. Esta lista permite concienciar sobre las vulnerabilidades inherentes o nuevas que afectan a las aplicaciones. La primera lista data de 2007. Se actualizó en 2010, 2013 y, por último, en 2017.

Esta es la lista de OWASP de 2017:

A1: Inyección
A2: Elusión de los mecanismos de gestión de la autenticación y de la sesión
A3: Divulgación de datos sensibles
A4: Entidades XML externas (XXE)
A5: Elusión de los controles de acceso
A6: Configuración de seguridad incorrecta
A7: Cross-Site Scripting (XSS)
A8: Desmaterialización no segura
A9: Uso de componentes con vulnerabilidades conocidas
A10: Registro y supervisión insuficientes

Esta lista de las 10 principales amenazas de OWASP se detallará y analizará en un artículo específico.

Conclusión

Actualmente nos encontramos en una época en la que ya no es posible ignorar el impacto que tiene la seguridad de las aplicaciones en una empresa. Por mucho que se refuerce la seguridad, lo primero es no olvidar el factor humano. Es necesario contar con una buena concienciación y una política empresarial que defina con claridad las normas establecidas. La seguridad de las aplicaciones no se limita únicamente al código fuente, sino que abarca todos los componentes, desde los procesos, los usuarios, los servidores (máquinas) y el alojamiento, hasta el código fuente de la aplicación.