Los ataques cibern\u00e9ticos a aplicaciones de comercio electr\u00f3nico ser\u00e1n una tendencia com\u00fan en 2023, a medida que las empresas de comercio electr\u00f3nico se vuelven m\u00e1s omnicanal, construyen e implementan cada vez m\u00e1s interfaces API y los actores de amenazas exploran constantemente m\u00e1s formas de explotar las vulnerabilidades. Es por eso que son necesarias pruebas peri\u00f3dicas y un monitoreo continuo para proteger completamente las aplicaciones web, identificando las debilidades para que puedan mitigarse r\u00e1pidamente.<\/p>\n
En este art\u00edculo, analizaremos el reciente ataque a la plataforma de comercio electr\u00f3nico de Honda, c\u00f3mo ocurri\u00f3 y su impacto en la empresa y sus clientes. Adem\u00e1s de la importancia de las pruebas de seguridad de las aplicaciones, tambi\u00e9n discutiremos las diferentes \u00e1reas de las pruebas de vulnerabilidad y sus distintas fases.<\/p>\n
Finalmente, brindaremos detalles sobre c\u00f3mo una soluci\u00f3n preventiva a largo plazo como PTaaS<\/b><\/a> puede proteger las empresas de comercio electr\u00f3nico y las diferencias entre las pruebas continuas (PTaaS) y las pruebas de penetraci\u00f3n est\u00e1ndar.<\/p>\n Equipos el\u00e9ctricos, productos para c\u00e9sped, jard\u00edn y marinos de Honda La plataforma de comercio conten\u00eda una falla en la API.<\/b> que permit\u00eda a cualquiera solicitar un restablecimiento de contrase\u00f1a para cualquier cuenta. <\/p>\n La vulnerabilidad fue encontrada por el investigador Eaton Zveare, quien recientemente descubri\u00f3 una falla de seguridad importante en el portal de proveedores de Toyota. Al restablecer la contrase\u00f1a de las cuentas de nivel superior, un actor de amenazas obtuvo acceso a datos de nivel de administrador en la red de la empresa sin restricciones. Si lo hubiera descubierto un ciberdelincuente, esto habr\u00eda dado lugar a una filtraci\u00f3n de datos a gran escala con enormes ramificaciones. <\/p>\n Zverare dijo: “Los controles de acceso rotos o faltantes permitieron acceder a todos los datos de la plataforma, incluso cuando se inici\u00f3 sesi\u00f3n como una cuenta de prueba”. <\/p>\n Esto permiti\u00f3 al evaluador acceder a la siguiente informaci\u00f3n:<\/p>\n Con la informaci\u00f3n anterior, los ciberdelincuentes podr\u00edan realizar una variedad de actividades, desde campa\u00f1as de phishing hasta ataques de ingenier\u00eda social y venta de informaci\u00f3n ilegal en la web oscura. Con este nivel de acceso, tambi\u00e9n se podr\u00eda instalar malware en los sitios web de los distribuidores para intentar robar tarjetas de cr\u00e9dito. <\/p>\n En la plataforma de comercio electr\u00f3nico de Honda, los subdominios “powerdealer.honda.com” se asignan a concesionarios registrados. Zveare descubri\u00f3 que la API de restablecimiento de contrase\u00f1a en uno de los sitios de Honda, Power Equipment Tech Express (PETE), estaba procesando solicitudes de restablecimiento sin requerir la contrase\u00f1a anterior.<\/p>\n Se encontr\u00f3 una direcci\u00f3n de correo electr\u00f3nico v\u00e1lida a trav\u00e9s de un v\u00eddeo de YouTube que proporcionaba una demostraci\u00f3n del panel del distribuidor utilizando una cuenta de prueba. Una vez restablecidas, estas credenciales de inicio de sesi\u00f3n se pueden usar en cualquier portal de inicio de sesi\u00f3n de subdominio de comercio electr\u00f3nico de Honda, brindando acceso a los datos internos del concesionario. <\/p>\n A continuaci\u00f3n, el evaluador necesitaba acceder a las cuentas de distribuidores reales sin riesgo de ser detectado y sin necesidad de restablecer las contrase\u00f1as de cientos de cuentas. Para ello, Zveare localiz\u00f3 una falla de JavaScript en la plataforma, la asignaci\u00f3n secuencial de ID de usuario y una falta de seguridad de acceso. Como tal, las cuentas reales se pod\u00edan encontrar incrementando el ID de usuario en uno hasta que no hubiera otros resultados.<\/p>\n Finalmente, se pod\u00eda acceder completamente al panel de administraci\u00f3n de la plataforma modificando una respuesta HTTP para que pareciera como si la cuenta explotada fuera un administrador.<\/p>\n El 3 de abril de 2023, Honda inform\u00f3 que todos los errores se hab\u00edan solucionado despu\u00e9s de que se les informara inicialmente de los hallazgos el 16 de marzo de 2023. Eaton Zveare no recibi\u00f3 ninguna recompensa financiera por su trabajo ya que la empresa no tiene un programa de recompensas por errores. <\/p>\n Las pruebas de seguridad de las aplicaciones de comercio electr\u00f3nico son esenciales para proteger la informaci\u00f3n personal y financiera de todas las personas vinculadas a la aplicaci\u00f3n, incluidos clientes, distribuidores y vendedores. La frecuencia de los ciberataques a las aplicaciones de comercio electr\u00f3nico es alta, lo que significa que se necesita una protecci\u00f3n adecuada para evitar filtraciones de datos que pueden da\u00f1ar gravemente la reputaci\u00f3n de una empresa y causar p\u00e9rdidas financieras. <\/p>\n El cumplimiento normativo en el sector del comercio electr\u00f3nico tambi\u00e9n es estricto, y la protecci\u00f3n de datos se vuelve cr\u00edtica para las empresas para evitar sanciones financieras. Una aplicaci\u00f3n requiere algo m\u00e1s que las \u00faltimas funciones de seguridad: cada componente debe probarse y seguir las mejores pr\u00e1cticas para desarrollar una estrategia s\u00f3lida de ciberseguridad. <\/p>\n Normalmente hay 8 \u00e1reas cr\u00edticas de pruebas de vulnerabilidad y su metodolog\u00eda se puede dividir en 6 fases.<\/p>\n Las pruebas de penetraci\u00f3n como servicio (PTaaS) son una plataforma de entrega regular y rentable. pruebas de penetraci\u00f3n<\/b><\/a> al mismo tiempo que impulsa la colaboraci\u00f3n entre los proveedores de pruebas y sus clientes. Esto permite a las empresas y organizaciones detectar vulnerabilidades con mayor frecuencia.<\/p>\n Las pruebas de penetraci\u00f3n tradicionales se realizan de forma contractual y, a menudo, requieren una cantidad significativa de tiempo. Por este motivo, este tipo de pruebas s\u00f3lo se pueden realizar una o dos veces al a\u00f1o. PTaaS, por otro lado, permite pruebas continuas, incluso cada vez que se cambia el c\u00f3digo. PTaaS realiza evaluaciones continuas y en tiempo real utilizando una combinaci\u00f3n de herramientas de escaneo automatizadas y t\u00e9cnicas manuales. Esto proporciona un enfoque m\u00e1s continuo a las necesidades de seguridad y llena los vac\u00edos que ocurren con las pruebas anuales.<\/p>\nEl ataque a la plataforma de comercio electr\u00f3nico Honda de 2023<\/h2>\n
\n
\u00bfC\u00f3mo se encontr\u00f3 la vulnerabilidad?<\/h3>\n
La importancia de las pruebas de seguridad de las aplicaciones de comercio electr\u00f3nico<\/h2>\n
Amenazas cibern\u00e9ticas para aplicaciones de comercio electr\u00f3nico<\/h3>\n
\n
\n
\n
Las diferentes \u00e1reas de las pruebas de vulnerabilidad<\/h2>\n
8 \u00e1reas de pruebas de vulnerabilidad<\/h3>\n
\n
Las 6 fases de la metodolog\u00eda de evaluaci\u00f3n de vulnerabilidad<\/h3>\n
\n
Pentesting como servicio (PTaaS)<\/h2>\n
PTaaS versus pruebas de penetraci\u00f3n tradicionales<\/h3>\n