Dos riesgos del lado del cliente dominan los problemas de p\u00e9rdida y exfiltraci\u00f3n de datos: rastreadores colocados incorrectamente en sitios web y aplicaciones web y c\u00f3digo malicioso del lado del cliente extra\u00eddo de repositorios de terceros como NPM. <\/p>\n
Los investigadores de seguridad del lado del cliente est\u00e1n descubriendo que los rastreadores ubicados incorrectamente, aunque no son intencionalmente maliciosos, son un problema creciente y tienen implicaciones de privacidad claras y significativas cuando se trata de preocupaciones de cumplimiento\/regulaci\u00f3n, como HIPAA o PCI DSS 4.0. Para resaltar los riesgos con rastreadores fuera de lugar, un estudio reciente<\/a> por The Markup (una organizaci\u00f3n de noticias sin fines de lucro) examin\u00f3 los 100 mejores hospitales de Newsweek en Estados Unidos. Encontraron un rastreador de Facebook en un tercio de los sitios web del hospital que enviaba a Facebook datos de atenci\u00f3n m\u00e9dica muy personales cada vez que el usuario hac\u00eda clic en el bot\u00f3n “programar cita”. Los datos no se anonimizaron necesariamente, porque los datos se conectaron a una direcci\u00f3n IP, y tanto la direcci\u00f3n IP como la informaci\u00f3n de la cita se env\u00edan a Facebook.<\/p>\n Los periodistas y los investigadores de seguridad del lado del cliente no son los \u00fanicos que analizan los problemas de privacidad de datos. La semana pasada, la FTC anunci\u00f3 sus planes para tomar medidas en\u00e9rgicas contra el uso indebido o ilegal y el intercambio de datos altamente confidenciales por parte de las empresas de tecnolog\u00eda. La FTC indic\u00f3 que tambi\u00e9n planean apuntar a afirmaciones falsas sobre el anonimato de datos. La agencia gubernamental se\u00f1ala que la informaci\u00f3n m\u00e9dica confidencial combinada con las pr\u00e1cticas de seguridad de datos en la sombra utilizadas por las empresas de tecnolog\u00eda es extremadamente problem\u00e1tica, ya que la mayor\u00eda de los clientes tienen poco o ning\u00fan conocimiento de c\u00f3mo se recopilan sus datos, qu\u00e9 datos se recopilan, c\u00f3mo se utilizan o como se protege. <\/p>\n La industria de la seguridad ha demostrado repetidamente lo f\u00e1cil que es volver a identificar datos an\u00f3nimos al combinar varios conjuntos de datos para crear una imagen clara de la identidad del usuario final. <\/p>\n Adem\u00e1s de los rastreadores web colocados incorrectamente, los investigadores de seguridad del lado del cliente advierten sobre los riesgos asociados con el c\u00f3digo JavaScript extra\u00eddo de repositorios de terceros, como NPM. Investigaciones recientes descubrieron que los administradores de paquetes que contienen JavaScript ofuscado y malicioso se estaban utilizando para recopilar informaci\u00f3n confidencial de sitios web y aplicaciones web. Usando fuentes como NPM, los actores de amenazas maliciosas apuntan a las organizaciones a trav\u00e9s de un Ataque a la cadena de suministro de software JavaScript<\/a> usar componentes no autorizados para exfiltrar datos ingresados \u200b\u200ben formularios por usuarios en sitios web que incluyen este c\u00f3digo malicioso.<\/p>\n Los investigadores de seguridad del lado del cliente recomiendan varios enfoques para identificar y mitigar estos dos riesgos principales. Supervisi\u00f3n de la superficie de ataque del lado del cliente<\/a> es el m\u00e1s completo y protege por completo a los usuarios finales y las empresas del riesgo de robo de datos debido a Magecart, e-skimming, cross-site scripting y ataques de inyecci\u00f3n de JavaScript. Otras herramientas, como los firewalls de aplicaciones web (WAF), protegen algunos aspectos de la superficie de ataque del lado del cliente, pero no protegen las actividades que ocurren en las p\u00e1ginas web din\u00e1micas. Las pol\u00edticas de seguridad de contenido (CSP) son otra buena herramienta de seguridad del lado del cliente, pero los CSP son engorrosos. Las revisiones manuales de c\u00f3digo para identificar problemas con los CSP pueden significar largas horas (o d\u00edas) de exploraci\u00f3n a trav\u00e9s de miles de l\u00edneas de secuencias de comandos de aplicaciones web. <\/p>\n Los profesionales de seguridad tambi\u00e9n pueden explorar soluciones de mapeo de superficie de ataque del lado del cliente que incorporan inteligencia de amenazas, informaci\u00f3n de acceso (qu\u00e9 activos acceden a qu\u00e9 datos) y privacidad (si alguno de los datos se comparte con fuentes externas de manera inapropiada). <\/p>\n Las soluciones de monitoreo de la superficie de ataque del lado del cliente son una tecnolog\u00eda de seguridad cibern\u00e9tica relativamente nueva que descubre autom\u00e1ticamente todos los activos web de una empresa e informa sobre su acceso a los datos. Estas soluciones utilizan navegadores sin cabeza para navegar a trav\u00e9s de todo el JavaScript contenido en el sitio web y las p\u00e1ginas de la aplicaci\u00f3n web. Recopilan informaci\u00f3n en tiempo real sobre c\u00f3mo funciona el sitio web escaneado desde la perspectiva del usuario final. <\/p>\n Un componente tecnol\u00f3gico clave en las soluciones de monitoreo de la superficie de ataque del lado del cliente son los usuarios sint\u00e9ticos, implementados durante los rastreos de detecci\u00f3n de amenazas para interactuar como lo har\u00eda un ser humano real en p\u00e1ginas web din\u00e1micas. Estos usuarios sint\u00e9ticos pueden completar una variedad de actividades, que incluyen hacer clic en enlaces activos, enviar formularios, resolver Captchas e ingresar informaci\u00f3n financiera. La interacci\u00f3n sint\u00e9tica del usuario se registra y supervisa, seguida de an\u00e1lisis de comportamiento e inyecci\u00f3n de l\u00f3gica en cada p\u00e1gina para recopilar la informaci\u00f3n que es dif\u00edcil de recopilar manualmente, incluidos los datos de formularios, los datos a los que tienen acceso los scripts de terceros, los rastreadores que se implementan y sus actividades. , y cualquier formulario o script de terceros que transfiera datos a trav\u00e9s de las fronteras nacionales.<\/p>\n Las soluciones tambi\u00e9n deben ser capaces de poner en pr\u00e1ctica cualquier problema descubierto en la identificaci\u00f3n o el proceso de mapeo del lado del cliente mediante el uso de listas de permitidos y listas de bloqueo y mediante an\u00e1lisis de informaci\u00f3n posterior al escaneo para obtener inteligencia sintetizada para proteger las aplicaciones web de da\u00f1os. <\/p>\n Los profesionales de seguridad con experiencia en el lado del cliente est\u00e1n asesorando fuertemente a las organizaciones en industrias como servicios financieros, medios\/entretenimiento, comercio electr\u00f3nico, atenci\u00f3n m\u00e9dica y tecnolog\u00eda\/SaaS que tienen m\u00faltiples aplicaciones web front-end para comprender. seguridad del lado del cliente<\/a> y c\u00f3mo los riesgos del lado del cliente pueden afectar su negocio.<\/p>\n <\/p>\n<\/div>\n![\"Exfiltraci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658254228_829_Los-expertos-en-seguridad-advierten-sobre-dos-riesgos-principales-del.jpg\" "\\"Exfiltraci\u00f3n")
<\/div>\n![\"Exfiltraci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1658254228_767_Los-expertos-en-seguridad-advierten-sobre-dos-riesgos-principales-del.jpg\" "\\"Exfiltraci\u00f3n")
<\/div>\n