Estado de la seguridad de las aplicaciones

Tres tendencias sorprendentes de las amenazas a las aplicaciones web y las API

Las aplicaciones web rara vez se desarrollan teniendo en cuenta la seguridad. Sin embargo, las utilizamos a diario para todo tipo de funciones críticas, lo que las convierte en un objetivo importante para los hackers.

Dada la naturaleza crítica de las aplicaciones web y las API, así como de los datos que contienen, una aplicación vulnerada o desprotegida puede provocar interrupciones en la actividad, pérdidas financieras y el colapso de infraestructuras esenciales.

La información recogida en el informe de Cloudflare "Estado de la seguridad de las aplicaciones", publicado recientemente, muestra que las organizaciones están lidiando con enfoques obsoletos para proteger las aplicaciones web o las API, pero los ciberdelincuentes operan de forma más eficiente y rápida que nunca. La investigación se basó en los patrones de tráfico agregado (observados entre abril de 2023 y marzo de 2024) de la red global de Cloudflare, que identifica y bloquea 209 000 millones de ciberamenazas cada día.

Este artículo destaca tres tendencias clave del informe que requieren atención y medidas urgentes de los CISO.

Tendencia 1: las organizaciones utilizan de forma abrumadora métodos obsoletos para proteger las API

Los consumidores y los usuarios finales esperan experiencias web y móviles dinámicas, cada vez mejores y basadas en las API. Para las empresas, las API maximizan las ventajas competitivas: mayor información sobre actividades, implementaciones en la nube rápidas, integración de nuevas funciones de IA y mucho más.

Sin embargo, para muchos, la seguridad de las API ha ido a la zaga del ritmo acelerado de la implementación de las API. Cloudflare utiliza modelos de aprendizaje automático para identificar el tráfico de las API que, de otro modo, no se tendría en cuenta. Este informe muestra que el número de puntos finales de las API que tenían las empresas era un 33 % superior al número del que eran conscientes. (Este dato se calculó comparando el número de puntos finales de las API detectados a través de la identificación basada en el aprendizaje automático frente a los identificadores de sesión proporcionados por el cliente).

A pesar de que las API presentan distintos desafíos relacionados con la seguridad en comparación con las aplicaciones web, descubrimos que el 66,6 % del tráfico de API defendido por alguna forma de seguridad de la capa de aplicación está protegido principalmente con reglas WAF tradicionales que emplean un modelo de seguridad negativa, en lugar de con reglas de API especializadas que empleen un modelo de seguridad positiva. Los modelos de seguridad negativa bloquean el tráfico malicioso y permiten todo lo demás, mientras que los modelos de seguridad positiva especifican qué tráfico se permite explícitamente y deniegan todo lo demás.

Recomendación

A medida que las empresas exponen más servicios a través de las API, deben usar más herramientas para proteger las aplicaciones web (como WAF y DDoS) que integren seguridad y gestión de las API, enriquecidas con el aprendizaje automático no supervisado.

En lugar de confiar en las reglas del modelo de seguridad negativa para proteger las API, las prácticas recomendadas del sector fomentan un modelo de seguridad positiva. Este último permite a las organizaciones proteger las API aceptando solo el tráfico que se ajusta a los esquemas OpenAPI establecidos, al tiempo que bloquea las solicitudes con formato incorrecto y las anomalías HTTP que podrían contener ataques.

Identifica las API paralelas para seguir mejorando la seguridad de tus API. Una herramienta de seguridad de las API sólida debe analizar siempre todas las API públicas de tu entorno, incluso las que no están gestionadas o no están protegidas.

Tendencia 2: el código de terceros ha elevado del riesgo en la cadena de suministro

La mayoría de las aplicaciones web de las organizaciones dependen de fragmentos de código independientes de proveedores externos (a menudo JavaScript). El uso de scripts de terceros acelera el desarrollo de aplicaciones web modernas y permite a las organizaciones acelerar el lanzamiento de funciones al mercado, sin tener que desarrollar internamente todas las nuevas funciones de las aplicaciones.

Las últimas investigaciones muestran que el sitio web medio de los clientes de Cloudflare contiene 47 scripts de terceros, 50 conexiones a funciones JavaScript y su destino, y sirve 12 cookies.

El código de terceros, así como las cookies, representa riesgos de seguridad para tus visitantes web debido a que este código a menudo se carga en el navegador del usuario, y las cookies se pueden manipular para apropiarse de una sesión o cuenta, por ejemplo. El atacante puede acceder para modificar el código de los componentes JavaScript utilizados en el sitio web de diversas formas, p. ej. mediante el uso de credenciales de cuentas robadas o la explotación de vulnerabilidades de día cero o sin revisar. Luego, utilizan este acceso privilegiado para lanzar un ataque descendente en cada sitio web que utilice ese código JavaScript.

Recomendación

Busca un proveedor de seguridad que identifique automáticamente los riesgos de scripts de terceros y ofrezca visibilidad completa y única del panel de control de todas las cookies propias que utilizan tus sitios web.

Tendencia 3: un tercio de todo el tráfico de Internet proviene de bots, pero algunos sectores se ven más afectados que otros

De media, los bots representan un tercio (31,2 %) de todo el tráfico de aplicaciones procesado por Cloudflare. Este porcentaje se ha mantenido relativamente constante (alrededor del 30 %) en los últimos tres años.

El término tráfico de bot puede tener una connotación negativa, pero en realidad el tráfico de bot no es necesariamente bueno o malo. Todo depende del propósito del bot. Algunos son "buenos" y prestan un servicio necesario, como los bots de chat de atención al cliente y los rastreadores de motores de búsqueda autorizados. Sin embargo, algunos bots hacen un uso indebido de un producto o servicio en línea y es necesario bloquearlos, dadas las pérdidas en los ingresos que pueden causar. De hecho, las empresas típicas de Estados Unidos y Reino Unido pierden más del 4 % de sus ingresos en línea cada año debido a ataques de bot maliciosos.

Es en estos sectores industriales donde la cuota media diaria de tráfico vinculado a bots es más elevada:

Fuente de la imagen: Estado de la seguridad de las aplicaciones en 2024

Recomendación

Si tu sector tiende a experimentar más tráfico de bots, considera la posibilidad de aumentar la inversión en una solución de gestión de bots para detener de forma preventiva las amenazas de los bots maliciosos.

Busca un servicio de gestión de bots que:

• Identifique con precisión los bots a escala aplicando análisis de comportamiento, aprendizaje automático y huellas digitales a un volumen amplio y diverso de datos.

• Se integre fácilmente con tus otros servicios de seguridad y rendimiento de las aplicaciones web (por ejemplo, WAF, CDN y DDoS).

• Permita a los bots buenos, como los que pertenecen a motores de búsqueda, seguir llegando a tu sitio, al tiempo que evita el tráfico malicioso.

Anticípate a los riesgos emergentes

Muchas organizaciones cuentan con hardware de seguridad heredado, seguridad nativa de nube y seguridad propia para abordar todos sus desafíos relacionados con la seguridad de las aplicaciones. Sin embargo, este enfoque fragmentado dificulta la conexión y la protección de las aplicaciones SaaS , las aplicaciones web y otras infraestructuras informáticas. La expansión informática facilita que los atacantes encuentren y aprovechen las vulnerabilidades. Un enfoque de plataforma consolidada ayuda a mejorar la seguridad, a garantizar una conectividad sin latencia y a impulsar el crecimiento empresarial, ya que permite que las organizaciones cumplan con las normativas locales cuando se expanden a nuevos mercados, y a reforzar la confianza de los clientes.

Las soluciones de seguridad para las aplicaciones de Cloudflare protege las aplicaciones y las API del abuso, detiene los bots maliciosos, evita los ataques DDoS y supervisa las cargas malintencionadas sospechosas y los ataques a la cadena de suministro del navegador. Nuestros productos de seguridad para aplicaciones funcionan en estrecha colaboración con nuestras soluciones de rendimiento, todo ello proporcionado por la conectividad cloud de Cloudflare — la evolución futura de la nube pública, que brinda una plataforma unificada e inteligente de servicios programables y componibles en una red global programable en la nube.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• El papel de las aplicaciones y las API en las empresas y las comunicaciones modernas

• Las 3 tendencias emergentes de las aplicaciones web y las API que requieren la atención urgente de los CISO

• Las recomendaciones prácticas que ayudan a las organizaciones a anticiparse a las amenazas

Recursos relacionados

• Estado de la seguridad de las aplicaciones en 2024

• Informe de seguridad global en 2024

• Auge de los ataques del lado cliente