Las aplicaciones de terceros como Google Analytics, Meta Pixel, HotJar y JQuery se han convertido en herramientas fundamentales para que las empresas optimicen el rendimiento y los servicios de su sitio web para una audiencia global. Sin embargo, a medida que ha crecido su importancia, también lo ha hecho la amenaza de incidentes cibernéticos que involucran aplicaciones de terceros no administradas y herramientas de código abierto. Las empresas en línea luchan cada vez más por mantener una visibilidad y control completos sobre el panorama de amenazas de terceros en constante cambio, con amenazas sofisticadas como skimmers evasivos, ataques de Magecart y prácticas de seguimiento ilegales que pueden causar daños graves.
Este artículo explora los desafíos de proteger sitios web modernos de secuencias de comandos de terceros y los riesgos de seguridad asociados con la falta de visibilidad de estas secuencias de comandos.
Invisible para los controles de seguridad estándar
Los scripts de terceros a menudo son invisibles para los controles de seguridad estándar, como los firewalls de aplicaciones web (WAF), porque se cargan desde fuentes externas que no están bajo el control del propietario del sitio web. Cuando un sitio web carga un script de terceros, se ejecuta en el navegador del usuario junto con el propio código del sitio web. Esto significa que un WAF, que generalmente se coloca frente a un sitio web para inspeccionar y filtrar el tráfico entrante, es posible que no pueda detectar y bloquear la actividad maliciosa que se origina en un script de terceros.
Además, los scripts de terceros a menudo usan técnicas de ofuscación para ocultar su verdadero propósito o para evadir la detección por parte de los controles de seguridad. Esto puede dificultar aún más que los controles de seguridad identifiquen y mitiguen amenazas potenciales. Por lo tanto, es importante que los propietarios de sitios web tomen medidas adicionales para monitorear y controlar el comportamiento de los scripts de terceros.
Los riesgos de seguridad causados por la falta de visibilidad
La falta de visibilidad sobre las aplicaciones web de terceros y las herramientas de código abierto puede plantear varios riesgos de seguridad para una organización, entre ellos:
- Violaciones de datos: Las aplicaciones de terceros a menudo tienen acceso a datos confidenciales, y la falta de visibilidad sobre estas aplicaciones puede dificultar la detección y prevención de violaciones de datos o acceso no autorizado a información confidencial.
- Malware y virus: Las aplicaciones de terceros pueden introducir malware o virus en los sistemas de su organización, lo que puede infectar otros sistemas y provocar la pérdida de datos o el tiempo de inactividad del sistema.
- Violaciones de cumplimiento: Las aplicaciones de terceros que no se examinan adecuadamente o no cumplen con los requisitos reglamentarios pueden exponer a una organización a riesgos legales y financieros, como multas y demandas.
- Vulnerabilidades de la red: Las aplicaciones de terceros que están integradas con los sistemas de una organización pueden crear vulnerabilidades en la red que los ciberdelincuentes pueden explotar.
- Malas prácticas de seguridad: Es posible que algunas aplicaciones de terceros no tengan controles de seguridad sólidos, lo que puede aumentar el riesgo de incidentes de seguridad y violaciones de datos.
Para mitigar estos riesgos, es esencial tener un conocimiento profundo de las aplicaciones de terceros que utiliza una organización e implementar controles y procesos de seguridad sólidos, como evaluaciones de seguridad continuas, monitoreo y aplicación de parches. Además, es importante contar con políticas y procedimientos claros para seleccionar, examinar y administrar aplicaciones de terceros para garantizar que cumplan con los requisitos de seguridad y cumplimiento de la organización.
Soluciones de monitoreo externas/instaladas
El monitoreo efectivo de scripts de terceros requiere soluciones de monitoreo externas o instaladas. Muchas empresas instalan scripts de seguridad en sus sitios web para protegerse contra amenazas y vulnerabilidades conocidas. Sin embargo, estos scripts no pueden acceder a muchos componentes de terceros como iFrames y los scripts que contienen, ya que están limitados por restricciones de navegación. Si bien este enfoque de monitoreo integrado se diseñó para aumentar la seguridad de los componentes web, crea limitaciones para que JavaScript instalado brinde seguridad total porque estos iFrames incluyen rastreadores, píxeles y múltiples scripts de terceros no administrados.
La falta de visibilidad sobre los scripts de terceros es un desafío importante para las empresas, ya que limita su capacidad para mapear todos los rastreadores, detectar fugas de datos y crear un inventario funcional de aplicaciones y scripts de terceros. Las actividades críticas, como la detección de CVE para marcos JS, el seguimiento de píxeles como Meta y TikTok, y la configuración incorrecta de etiquetas, están limitadas porque estos componentes se vuelven inaccesibles. Esta limitación expone a las empresas al riesgo de recolección de datoslo que puede resultar en pérdida de ingresos, daños en la reputación y multas reglamentarias.
Visibilidad mejorada lograda con monitoreo externo
Las soluciones integradas de monitoreo de sitios web sufren de falta de visibilidad. Por lo tanto, una solución de monitoreo externo podría ser la respuesta para resolver este desafío. Recientemente, Reflectiz, una solución de monitoreo externo, ayudó a una gran empresa de servicios financieros a detectar actividades sospechosas relacionadas con el píxel de Tik Tok. La empresa utilizó Reflectiz en su sitio web para monitorear su seguridad, y la solución detectó actividad no autorizada relacionada con el píxel: el script de píxel de TikTok estaba accediendo a datos de entrada confidenciales en uno de sus formularios de inicio de sesión. TikTok había actualizado su píxel y la nueva versión había estado «pintando» a los usuarios en el sitio web, accediendo a información personal y transmitiendo la información a sus servidores. El equipo de investigación de Reflectiz brindó pasos de mitigación claros para terminar de inmediato la actividad no aprobada del píxel.
Este caso es un claro ejemplo de cómo monitorear su sitio web desde el exterior le brinda una mejor visibilidad sobre la superficie de ataque moderna, a diferencia de las soluciones de monitoreo instaladas que simplemente no ven la imagen completa y no pueden monitorear de manera efectiva los componentes del sitio web de terceros como iFrames. , etiquetas y píxeles.
 |
| Captura de pantalla de la detección de píxeles falsos de Tiktok |
Mantenga la seguridad a prueba de agua contra scripts de terceros
Entonces, ¿qué puede hacer para proteger sus sitios web de los riesgos asociados con los scripts de terceros? Aquí hay algunos consejos:
- Realice auditorías periódicas de seguridad: Audite regularmente su sitio web y los servicios de terceros para identificar vulnerabilidades y abordarlas de inmediato.
- Use soluciones de monitoreo de sitios web externos: Implemente soluciones de monitoreo de sitios web que puedan detectar actividades sospechosas y brinden pasos claros de mitigación para abordarlas.
- Utilice alojamiento seguro: Elija un proveedor de alojamiento seguro que proporcione copias de seguridad periódicas, supervisión y actualizaciones de seguridad.
- Educa a tus empleados: Capacite a sus empleados para que reconozcan amenazas potenciales y edúquelos sobre prácticas seguras en línea.
- Utilice la autenticación de dos factores: Requiera autenticación de dos factores para todas las áreas confidenciales de su sitio web, como el panel de administración y la página de pago.
- Usar políticas de seguridad de contenido: Implemente políticas de seguridad de contenido que restrinjan los tipos de contenido que se pueden cargar en su sitio web.
- Mantenga el software actualizado: Actualice regularmente el software de su sitio web, incluidos los servicios de terceros, para garantizar que se solucionen las vulnerabilidades conocidas.
En conclusión, la creciente dependencia de secuencias de comandos de terceros ha generado nuevos desafíos para las empresas en línea que buscan mantener la seguridad y la privacidad de sus usuarios. La falta de visibilidad sobre estos scripts aumenta la posibilidad de filtraciones de datos, ataques cibernéticos y violaciones de cumplimiento. Para mitigar estos riesgos, las empresas necesitan comprender las aplicaciones de terceros utilizadas por sus organizaciones e implementar controles y procesos de seguridad sólidos. Soluciones de monitoreo de sitios web externos, como Reflectizpuede mejorar significativamente la visibilidad en línea y proporcionar pasos de mitigación claros para abordar actividades sospechosas relacionadas con scripts de terceros.