La puerta de entrada para los atacantes

En la actualidad, la mayoría de los ataques dirigidos contra una empresa, tienen su origen en aplicaciones web. En el sector empresarial se utilizan aplicaciones web tanto externas, o directamente accesibles desde Internet, o internas, las cuales sólo pueden ser accedidas a través de la red de la empresa.

Gracias a la diversidad de tecnologías utilizadas, y la dificultad existente para mantener actualizadas todas las aplicaciones web en uso, los atacantes prefieren utilizar estas vías para lanzar sus acciones maliciosas a través de ellas.

Este grave riesgo, expone de manera equitativa tanto a grandes portales web, como a pequeñas aplicaciones utilizadas por departamentos de manera aislada.

Además, en estos casos, es muy difcíl situar mecanimos de defensa para proteger los accesos no autorizados o acciones malintencionadas, ya que estas soluciones, podrían denegar el acceso a las aplicaciones a los usuarios legítimos, lo que puede suponer un grave problema en función del uso de la aplicación web.

Entre los ataques más frecuentes podemos encontrar los siguientes:

  • Ataques de denegación de servicio
  • Acceso a información confidencial
  • Acceso a los servidores que alojan las aplicaciones
  • Volcado de bases de datos

Para la realización de este tipo de pruebas, utilizamos la metodología OWASP, la cual establece una serie de amenezas y riesgos más importantes para la seguridad de las aplicaciones web. Gracias al uso de este procedimiento, obtenemos resultados precisos y significativos respecto de la seguridad de una aplicación web, pudiendo de esta manera invertir muy pocos rescursos para remediar los posibles fallos de seguridad.

Otros tipos de aplicaciones basados en web

No sólo las aplicaciones directamente accesibles son vulnerables a ataques. Existen multitud de aplicaciones que utilizan los mismos protocolos y redes que la web, pero no se perciben como vectores de ataque.

API´s

Este procedimiento para acceder a la información de una aplicación web es utilizado de manera masiva actualmente. Gracias a esto, es posible crear aplicaciones que obtengan información de otras aplicaciones de manera sencilla y rápida.

Sin embargo, sin unos adecuados controles y medidas de seguridad, es bastante común que estas API´s revelen información sensible, confidencial o personal, por lo que se han convertido en una prioridad para los atacantes.

En TELINSEC, realizamos comprobaciones a API´s para comprobar que realmente son seguras y que no se producen fugas de información o que un atacante no pueda modificar la información almacenada.

Aplicaciones Móviles

De manera similar a las API´s, las aplicaciones móviles sufren de varios problemas de seguridad, similares a los que se pueden encontrar en las aplicaciones web tradicionales.

Con la importancia que han cobrado estas aplicaciones en el día a día de los usuarios y de las empresas, garantizar la seguridad de la información que manejan estas aplicaciones es una decisión estratégica que puede evitar muchos incidentes futuros.

¿Cómo realizamos este proceso?

Para garantizar la fiabilidad de las pruebas realizadas y la validez de los resultados, realizamos un mapeo completo de la aplicación a comprobar. Posteriormente, ejecutamos toda la batería de pruebas necesaria para garantizar la seguridad de la misma, en función de las tecnologías que utilice.

Una vez localizados todos los posibles fallos de seguridad, se elebora una propuesta de resolución, en la cual se incluye la corrección de todos estos fallos de seguridad.

Cuando ya están resueltos, volvemos a comprobar la validez de las medidas tomadas, comprobando que durante el proceso no se hayan generado nuevas. De esta manera, la aplicación web queda asegurada.

En TELINSEC, damos especial relevancia al mundo de las aplicaciones web, conocedores del riesgo que suponen para las empresas y sus sistemas de información. Por este motivo, dedicamos un especial esfuerzo a protegerlas de la manera adecuada, realizando pruebas de intrusión exclusivamente contra ellas.