theNet by CLOUDFLARE

Las deficiencias en la seguridad de las aplicaciones web

Cómo distintas soluciones de seguridad provocan vulnerabilidades

La historia de la empresa A y la empresa B

Esta es la historia de la empresa A y la empresa B, cuyos enfoques de seguridad de aplicaciones web y API, aparentemente diferentes, comparten un fallo sutil, pero crucial. Este fallo dio lugar a fugas de datos (y a todos los resultados negativos asociados) para ambas.

La empresa A dispone de la solución de protección de API más segura posible. Bloquean todas las infracciones de esquema, limitan las solicitudes excesivas y utilizan la información más reciente sobre amenazas para bloquear las direcciones IP maliciosas conocidas. Su método de autenticación de la API basado en contraseñas podría ser más seguro si se sustituyera por la autenticación mediante TLS mutuo, pero todavía no han sufrido fugas.

Sin embargo, las soluciones de seguridad de su API, la información sobre amenazas y el WAF son de distintos proveedores. Gracias a las actualizaciones de los proveedores, la información sobre amenazas notifica que la seguridad de su API ya no es compatible con su WAF, que protege la página de inicio de sesión de su cuenta. En consecuencia, un atacante puede utilizar una nueva vulnerabilidad de inyección SQL en esta página y obtener el nombre de usuario y la contraseña de un usuario legítimo. A continuación, el atacante envía solicitudes autenticadas y validadas por esquema a su API, y obtiene gran cantidad de datos confidenciales.

Mientras tanto, la aplicación web de la empresa B está totalmente protegida contra ataques DDoS. La empresa B también expone una API a usuarios de pago que quieren integrarse con la aplicación de la empresa.

El atacante compra la clave API de un usuario de pago legítimo en la web oscura. Con esta clave, el atacante lanza un ataque DDoS de baja intensidad y velocidad contra el servidor API de la empresa B. El atacante activa un bot que envía solicitudes a intervalos irregulares. El servidor de la API acepta como legítima cada solicitud de API que envía el bot porque incluye una clave de API aceptable. Además, por desgracia para la empresa B, su equipo de backend olvidó redireccionar su servidor de la API mediante proxy a través de su proveedor de mitigación de DDoS, aunque el resto de sus servidores están protegidos.

Conforme se acumulan las solicitudes, el servidor de la API se ve desbordado y finalmente no puede dar servicio a los demás usuarios de la empresa. Muchos de ellos cancelan sus cuentas de pago por las molestias.

¿Qué problema tenían en común las empresas A y B?


Soluciones dispares que provocaron descuidos y fugas

En estos ejemplos, los enfoques de seguridad de las aplicaciones web y API de ambas empresas eran combinaciones de soluciones de varios proveedores. Las soluciones no estaban integradas y además eran propensas a errores manuales.

Para entender por qué la adopción de diferentes soluciones es un problema, analiza los componentes típicos de un marco de seguridad de aplicaciones web y API:

  • WAF: bloquea los ataques contra aplicaciones y propiedades web.

  • Gestión de bots: responsable de desafiar o bloquear probables bots maliciosos.

  • Mitigación de DDoS: mantiene las propiedades web en línea frente a ataques DDoS de cualquier tipo (ya sean volumétricos o de baja intensidad y velocidad).

  • Protección de API: incluye limitación de velocidad, validación de esquemas, autenticación, etc. para API.


La empresa A y la empresa B habían adoptado todas estas protecciones, pero como sus soluciones de seguridad de aplicaciones web eran dispares (aunque fueran las mejores de su clase), presentaban fallos que el atacante pudo vulnerar.

En el caso de la empresa A, tanto su WAF como su protección de API, al ser por capas y no integral, tuvieron que hacer frente y bloquear el ataque. Una de las técnicas podía detener el ataque, mientras que la otra podía arreglárselas. La protección DDoS de la empresa B no protegía su infraestructura de API, su gestión de bots no detectaba las solicitudes de API que procedían de bots, y su autenticación era poco segura y fácil de vulnerar.

Estos son solo un par de ejemplos de posibles vulnerabilidades. Otras deficiencias comunes en la seguridad de las aplicaciones web son:

  • Información limitada sobre amenazas, que no está actualizada, no llega al lugar adecuado o no está en un formato compatible, que fue lo que le ocurrió a la empresa A.

  • Demasiada información sobre amenazas procedente de demasiadas fuentes da lugar a falsos positivos, redundancia y otras ineficiencias.

  • Falsos positivos de bots que pueden frustrar a los usuarios, ralentizar el servicio y fomentar un cumplimiento poco estricto de la normativa.

  • Hastío de alertas: la empresa media utiliza 45 herramientas de ciberseguridad de distintos proveedores. Todas ellas generan alertas. Esta disparidad de productos puede hacer que los usuarios ignoren las amenazas con el fin de poder hacer su trabajo.

  • Autenticación insuficiente: tanto la empresa A como la B son vulnerables al robo de credenciales de alguna forma.

  • Protección contra amenazas no escalable: los dispositivos de seguridad de hardware obstaculizan el tráfico y se ven desbordados durante ataques grandes o con una variedad de ataques.

Estas deficiencias son cada vez más peligrosas conforme aumenta la complejidad y la sofisticación de los ciberataques. Según McKinsey, los atacantes actuales "incluyen organizaciones muy sofisticadas que aprovechan herramientas y capacidades integradas con la inteligencia artificial y el aprendizaje automático". Los ciberdelincuentes modernos a menudo se mueven más rápido y mejoran sus tácticas más ágilmente que sus objetivos.


El riesgo añadido de las API

Las API son cada vez más importantes para la infraestructura de aplicaciones web de las organizaciones modernas. En la actualidad, el 58 % de todo el tráfico dinámico que procesa Cloudflare está basado en API, y ese porcentaje sigue en aumento. De hecho, muchas organizaciones se describen a sí mismas como empresas que priorizan las API. Además, Cloudflare bloquea un porcentaje mayor de tráfico de API malicioso que de tráfico web, lo que demuestra que las API están en el punto de mira de los atacantes.

Dado que las API suelen estar plenamente integradas en las aplicaciones web, su seguridad debe ser primordial. Sin embargo, los equipos internos suelen implementar las API con rapidez, y a menudo sin consultar, sin mala intención, a los equipos de seguridad. El resultado es que muchas deficiencias en las aplicaciones web tienen su origen en un bajo nivel de seguridad de las API.

Por ejemplo, una fuga relacionada con la API afectó a USPS cuando se descubrió que una API que permitía el seguimiento de paquetes en tiempo real carecía de autorización básica. Los usuarios registrados podían consultar la información de la cuenta de cualquier otro usuario, mediante el uso de parámetros de búsqueda comodín que revelaban todos los registros del conjunto de datos. Esta fuga puso en peligro los datos de 60 millones de titulares de cuentas de USPS.



Una solución consolidada

¿Y si, en lugar de utilizar diferentes productos de seguridad, la empresa A y la empresa B hubieran combinado todos sus servicios de seguridad de aplicaciones web y API en una plataforma consolidada? ¿Y si esos diferentes servicios se integraran entre sí? ¿Y si los datos sobre el estado de la infraestructura de la empresa se mostraran en un único lugar, para que pudieran evaluar rápidamente los ataques y su postura de seguridad?

La empresa A se podría haber asegurado de que todos los componentes de su marco de seguridad de aplicaciones web y API dispusieran de la información sobre amenazas más reciente y detener el ataque antes de que empezara, ya que todo estaría en una sola plataforma. La empresa B podría haber ampliado más fácilmente su protección DDoS a todos sus servidores.

El uso de una plataforma habría simplificado la gestión con menos deficiencias.

Este enfoque consolidado de la seguridad de las aplicaciones web requiere una infraestructura muy escalable, capaz de redireccionar todo tipo de tráfico mediante proxy. En décadas anteriores, las organizaciones compraban aplicaciones cuando necesitaban defenderse de nuevos ataques, o cuando necesitaban expandirse. Sin embargo, un servicio basado en la nube se amplía más fácilmente y debe poder redireccionar cualquier tipo de infraestructura mediante proxy. Y, si bien, una plataforma consolidada no es garantía contra todos los ataques, sin duda habría ayudado a nuestras hipotéticas empresas.


Más que un ejercicio mental: la creciente importancia de soluciones WAAP

No se trata de un simple ejercicio mental e hipotético. Gartner define estos servicios consolidados como "protección de API y aplicaciones web", o WAAP. En 2022, Gartner pronosticó que "para 2024, el 70 % de las organizaciones que implementen estrategias multinube para aplicaciones web en entornos de producción favorecerán los servicios de plataformas de protección de API y aplicaciones web (WAAP) en la nube frente a los dispositivos WAAP y WAAP nativa de IaaS".

WAAP no es solo un acrónimo más. Consolidar los servicios de WAF, gestión de bots, protección DDoS, seguridad API, entre otros, es cada vez más esencial para las organizaciones modernas. La naturaleza global de Internet expone continuamente las aplicaciones web y las API a ataques desde muchas ubicaciones y varios niveles de escala y complejidad. No es de extrañar que en 2022, IBM informara de que el 83 % de las empresas encuestadas habían sufrido fugas de datos que supusieron un coste medio de 4,35 millones de dólares en todo el mundo y de 9,44 millones de dólares en Estados Unidos.


Otra consideración: infraestructura heterogénea

Si la empresa A y la empresa B crearan hoy sus aplicaciones y API desde cero, podrían alojarlas por completo en la nube, quizás con un proveedor de alojamiento para facilitar la implementación. Sin embargo, en realidad, la mayoría de las organizaciones han implementado una infraestructura híbrida con servidores de bases de datos locales heredados, API de terceros basadas en la nube y servicios de aplicaciones alojados en varias nubes. Estas implementaciones ofrecen muchas ventajas, pero también conllevan sus propios problemas de seguridad.

Por ejemplo, la seguridad nativa en una solución de un determinado proveedor de nube puede que no se implemente en la totalidad de su infraestructura. Para empezar, identificar y asignar toda su infraestructura para luego protegerla también puede ser un desafío. Y por último, sus productos de seguridad pueden no ser compatibles con otras soluciones de tu pila tecnológica.

Por lo tanto, además de consolidar las capacidades esenciales de seguridad de las aplicaciones web, las soluciones WAAP tienen que ser independientes en cuanto a la infraestructura, lo que significa que tiene que poder situarse frente a cualquier tipo de infraestructura o implementación en la nube.


Seguridad web consolidada e independiente en cuanto a la infraestructura

Cloudflare es una empresa nativa de la nube e independiente en cuanto a la infraestructura. Ofrecemos soluciones de seguridad para aplicaciones web desde hace más de una década, y brindamos todas estas funciones como una plataforma consolidada en un panel único. Cloudflare también tiene la ventaja de ver un gran porcentaje del tráfico de Internet, ya que atiende más de 55 millones de solicitudes HTTP por segundo y bloquea en promedio182 MM de ciberamenazas al día. Esta capacidad proporciona a Cloudflare visibilidad única de las amenazas de día cero y nuevos ataques.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


Más información sobre este tema


Gartner reconoció a Cloudflare como empresa líder en el informe 2022 Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP).
Get the report!


CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Cómo las soluciones de seguridad dispares pueden crear deficiencias en materia de seguridad

  • Ejemplos de cómo se pueden manifestar estas deficiencias

  • Por qué Gartner recomienda consolidar las soluciones en una plataforma de seguridad de aplicaciones web independiente en cuanto a la infraestructura


Recursos relacionados

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?