El 100% de las aplicaciones web contienen vulnerabilidades
- Seguridad Inteligente
Según un Informe de seguridad mundial de 2018, derivado del análisis de miles de millones de eventos de seguridad y de compromiso registrados en todo el mundo, todas las aplicaciones probadas muestran al menos 1 vulnerabilidad. La media es de 11 fallos por aplicación.
La mayoría (85,9%) de las vulnerabilidades de las aplicaciones web involucra la administración de sesiones, lo que permite a un atacante escuchar a escondidas una sesión de usuario para obtener información confidencial.
Las vulnerabilidades en general han experimentado un fuerte aumento, según el informe. Después de permanecer relativamente estable de 2008 a 2011, desde 2012 se produce un marcado aumento en las divulgaciones de vulnerabilidad, con un aumento espectacular en 2017. Esto se debe en parte al aumento de los usuarios de Internet en el transcurso de una década, según el informe. Además, tanto los investigadores de seguridad como los delincuentes están buscando activamente vulnerabilidades (aunque estos últimos venden los exploits correspondientes en la red oscura para obtener grandes ganancias). Más vulnerabilidades, por supuesto, equivalen a un mayor potencial para las explotaciones.
El informe también encontró que los ataques web son cada vez más específicos, más frecuentes y mucho más sofisticados. Muchos incidentes de violación muestran signos de planificación previa cuidadosa por parte de ciberdelincuentes que investigan paquetes débiles y herramientas para explotar. Cross-site scripting (XSS) es la técnica utilizada en el 40% de los intentos de ataque, seguido de la inyección SQL (SQLi) al 24%, el recorrido transversal en el 7%, la inclusión de archivos locales (LFI) en el 4% y la denegación de servicio distribuida (DDoS) a las 3%.
Mientras tanto, incluso cuando los ciberdefensores registran mejoras en áreas tales como los tiempos de detección, los malos actores muestran una mayor sofisticación en la ofuscación del malware y las tácticas de ingeniería social.
La ingeniería social, incluido el phishing, encabeza los métodos de compromiso al 55%. Eso es seguido por insiders maliciosos al 13% y acceso remoto al 9%. Esto indica que el factor humano sigue siendo el mayor obstáculo para los equipos corporativos de ciberseguridad. El fraude al CEO, una estafa de ingeniería social que alienta a los ejecutivos a autorizar transacciones fraudulentas de dinero, también continúa aumentando.
En la columna de buenas noticias, el tiempo medio entre la intrusión y la detección de compromisos descubiertos cayó internamente de 16 días en 2016 a cero días en 2017, lo que significa que las empresas descubrieron la mayoría de las infracciones el mismo día en que sucedieron.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.