Un estudio reciente realizado por los expertos en Evaluación de Seguridad de Kaspersky ha arrojado luz sobre las vulnerabilidades más peligrosas y comunes presentes en las aplicaciones web corporativas desarrolladas internamente. Entre los años 2021 y 2023, se identificaron fallos críticos relacionados con el control de acceso y la protección de datos en la mayoría de las aplicaciones examinadas, alcanzando varias decenas en total. Entre estas, las inyecciones SQL destacaron como el tipo más prevalente de vulnerabilidad de alto riesgo.
Las aplicaciones web, que abarcan desde redes sociales hasta servicios en línea, se han convertido en pilares fundamentales de la interacción digital. En este contexto, el más reciente estudio de Kaspersky se centró en analizar las vulnerabilidades presentes en las aplicaciones web utilizadas por diversas industrias, incluyendo tecnología de la información, gobierno, seguros, telecomunicaciones, criptomonedas, comercio electrónico y atención médica.
Los resultados revelaron que el 70% de las aplicaciones web examinadas presentaban vulnerabilidades relacionadas con el control de acceso y la protección de datos sensibles. Las vulnerabilidades de control de acceso comprometido pueden exponer a las organizaciones a accesos no autorizados, manipulación de datos y otros riesgos significativos. Además, se destacó la exposición de información sensible, como contraseñas, datos de tarjetas de crédito y registros de salud, lo que subraya la necesidad urgente de fortalecer las medidas de seguridad.
Oxana Andreeva, experta en seguridad del equipo de Evaluación de Seguridad de Kaspersky, explicó: “La clasificación se compiló teniendo en cuenta las vulnerabilidades más comunes en las aplicaciones web desarrolladas internamente en varias empresas y su nivel de riesgo”.
El estudio también identificó que las inyecciones SQL representaban la mayor proporción de vulnerabilidades de alto riesgo, seguidas de cerca por contraseñas débiles de usuarios. A pesar de que solo el 22% de las aplicaciones estudiadas presentaban contraseñas débiles, este hallazgo subraya la importancia de abordar proactivamente las vulnerabilidades en la seguridad de las contraseñas.
Es fundamental señalar que las categorías de vulnerabilidades descritas en el estudio se alinean con las categorías y subcategorías de la clasificación OWASP Top Ten. Corregir estas vulnerabilidades ayudará a las empresas a proteger datos confidenciales y a evitar comprometer aplicaciones web y sistemas relacionados.
Para mejorar la seguridad de las aplicaciones web y detectar posibles ataques de manera oportuna, el equipo de Evaluación de Seguridad de Kaspersky recomienda el uso del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC), realizar evaluaciones periódicas de seguridad de aplicaciones y emplear mecanismos de registro y monitoreo para rastrear la operación de las aplicaciones. Estas medidas son cruciales para salvaguardar la integridad y confidencialidad de los datos en un entorno digital cada vez más complejo y dinámico.
