Cómo los ciberdelincuentes se aprovechan de las vulnerabilidades en los sistemas web

Las vulnerabilidades presentes en las aplicaciones y sistemas web — es decir, aquellos a los que accedes y utilizas directamente por el navegador, sin necesidad de descargar alguna cosa — se están convirtiendo en las favoritas de los ciberdelincuentes. Las razones no faltan: es mucho más fácil explotar este tipo de brechas (ya que existe una serie de herramientas automatizadas y sencillas técnicas de aprendizaje) que dedicarse a escribir códigos maliciosos o elaborar complejas campañas de phishing para engañar a los internautas.

Tomemos, por ejemplo, las brechas de mala configuración en los servidores web. Un agente malintencionado es capaz de utilizar las técnicas de Google Dorking (uso de parámetros específicos para encontrar contenido indexado en el motor de búsqueda) para encontrar directorios y documentos sensibles dentro de un servidor web que fue creado como público. A partir de ahí, es fácil explorar otras carpetas, encontrar archivos que deberían protegerse bajo muchas claves e iniciar una campaña de fuga de datos o extorsión.

Los problemas de inyección de SQL tampoco requieren conocimiento técnico para ser explotados. Hay una serie de herramientas que son fácilmente encontradas en la web y que automatizan la explotación de estas vulnerabilidades. Con unos pocos clics del mouse, el ciberdelincuente encuentra puntos en los cuales es posible inyectar código malicioso en el intérprete y tener acceso a las tablas de la base de datos SQL. Basta con hacer una copia local de toda esta base de datos y “divertirse”.

Riesgo para los usuarios

Las vulnerabilidades de las aplicaciones web no se explotan únicamente con el fin de robar datos confidenciales. También es posible aprovechar brechas como el cross-site scripting (XSS) para cambiar el comportamiento de una página web cuando es visitada por un usuario de Internet, convenciéndolo, por ejemplo, a completar un formulario malicioso que robará los datos de su tarjeta de crédito.

No podemos olvidarnos de las web shells. Son malwares enviados a servidores comprometidos que, una vez ahí dentro, permiten a los delincuentes ejecutar códigos arbitrarios de forma remota, efectivamente tomando el control sobre todo el servidor web.

¡Ojo!

En general, lo que sucede es que las aplicaciones web tienden a recibir menos atención por parte de los desarrolladores y del área de seguridad de la información, en comparación con softwares instalables. Sin embargo, con los empleados trabajando de forma remota debido a la pandemia, este tipo de aplicación se está volviendo cada vez más común – que tire la primera piedra el profesional que no use un solo software-as-a-service (SaaS) para trabajar durante esta pandemia.

Por lo tanto, siempre es importante asegurarse de que tu proyecto de aplicación web o de sitio web cumpla con el OWASP Top 10, un ranking global que enumera las vulnerabilidades más críticas y comunes en este tipo de proyecto. Con base en sus orientaciones y documentación técnica, es más fácil asegurarse de que la aplicación esté libre de errores que puedan causar problemas en el futuro.

Artículo traducido de: Como criminosos se aproveitam de vulnerabilidades em sistemas web — Perallis Security

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança