Bueno, no deber\u00edas. Es posible que ya est\u00e9 ocultando vulnerabilidades.<\/span><\/h4>\nEs la naturaleza modular de las aplicaciones web modernas lo que las ha hecho tan efectivas. Pueden recurrir a docenas de componentes web de terceros, marcos JS y herramientas de c\u00f3digo abierto para ofrecer todas las diferentes funcionalidades que mantienen contentos a sus clientes, pero esta cadena de dependencias tambi\u00e9n es lo que los hace tan vulnerables.<\/strong><\/p>\nMuchos de esos componentes de la cadena de suministro de aplicaciones web est\u00e1n controlados por un tercero: la empresa que los cre\u00f3. Esto significa que no importa cu\u00e1n riguroso haya sido con su propio an\u00e1lisis de c\u00f3digo est\u00e1tico, revisiones de c\u00f3digo, pruebas de penetraci\u00f3n y otros procesos SSDLC, la mayor parte de la seguridad de su cadena de suministro est\u00e1 en manos de quien construy\u00f3 sus componentes de terceros.<\/p>\n
Con su enorme potencial para encontrar puntos d\u00e9biles y su uso generalizado en las lucrativas industrias del comercio electr\u00f3nico, las finanzas y la medicina, las cadenas de suministro de aplicaciones web presentan un objetivo jugoso para los ciberatacantes. Pueden apuntar a cualquiera de las docenas de componentes en los que conf\u00edan sus usuarios para infiltrarse en sus organizaciones y comprometer sus productos. El software, las bibliotecas de terceros e incluso los dispositivos IoT son atacados habitualmente porque ofrecen una forma de obtener acceso privilegiado a los sistemas sin ser detectados. Desde all\u00ed, los atacantes pueden emitir carro m\u00e1gico<\/a> y ataques de skimming web, ransomware, cometer espionaje comercial y pol\u00edtico, usar sus sistemas para miner\u00eda criptogr\u00e1fica o incluso simplemente destrozarlos.<\/p>\nEl ataque de los vientos solares<\/strong><\/h2>\nEn diciembre de 2020, un ataque a la cadena de suministro<\/a> Se descubri\u00f3 un proyecto que eclipsa a muchos otros en t\u00e9rminos de escala y sofisticaci\u00f3n. Su objetivo era una plataforma de monitoreo de redes y aplicaciones llamada Orion, fabricada por una empresa llamada SolarWinds. Los atacantes se hab\u00edan infiltrado de forma encubierta en su infraestructura y utilizaron sus privilegios de acceso para crear y distribuir actualizaciones explosivas a los 18.000 usuarios de Orion.<\/p>\nCuando esos clientes instalaron las actualizaciones comprometidas de SolarWinds, los atacantes obtuvieron acceso a sus sistemas y tuvieron libertad dentro de ellos durante semanas. Las agencias del gobierno estadounidense se vieron comprometidas, lo que provoc\u00f3 investigaciones que apuntaron hacia una operaci\u00f3n estatal rusa.<\/p>\n
Este devastador ataque a la cadena de suministro tambi\u00e9n puede ocurrir en entornos web y enfatiza la necesidad de una soluci\u00f3n de seguridad web integral y proactiva que supervise continuamente sus activos web. <\/p>\n
Las herramientas de seguridad est\u00e1ndar son superadas en maniobras<\/strong><\/h2>\nLos procesos de seguridad est\u00e1ndar no ayudaron con SolarWinds y no pueden monitorear toda su cadena de suministro. Hay muchas \u00e1reas de riesgo potenciales que simplemente pasar\u00e1n por alto, como por ejemplo:<\/p>\n
\n- Normas de privacidad y seguridad.<\/strong>: Si uno de sus proveedores externos lanza una nueva versi\u00f3n que no cumple con las normas de seguridad y privacidad, las herramientas de seguridad tradicionales no aceptar\u00e1n este cambio. <\/li>\n
- Rastreadores y p\u00edxeles<\/strong>: De manera similar, si su administrador de etiquetas de alguna manera se configura mal, puede recopilar inadvertidamente informaci\u00f3n de identificaci\u00f3n personal, exponi\u00e9ndolo a posibles (\u00a1enormes!) sanciones y demandas.<\/li>\n
- Servidores externos:<\/strong> Si el servidor externo que aloja su marco JS es pirateado, no recibir\u00e1 ninguna alerta. <\/li>\n
- Vulnerabilidades de preproducci\u00f3n: <\/strong>Si aparece una nueva vulnerabilidad una vez que haya entrado en producci\u00f3n, es posible que no pueda mitigarla.<\/li>\n<\/ul>\n
En estas y muchas otras situaciones, las herramientas de seguridad est\u00e1ndar se quedar\u00e1n cortas.<\/p>\n
La vulnerabilidad de Log4j<\/strong><\/h2>\nOtra de esas situaciones surgi\u00f3 cuando se descubri\u00f3 una vulnerabilidad de d\u00eda cero en el ampliamente utilizado Utilidad de registro basada en Java Log4j<\/a>. Millones de computadoras propiedad de empresas, organizaciones e individuos de todo el mundo utilizan Log4j en sus servicios en l\u00ednea. Se lanz\u00f3 un parche tres d\u00edas despu\u00e9s de que se descubriera la vulnerabilidad en 2021, pero en palabras de Sofos<\/a> Sean Gallagher, investigador senior de amenazas:<\/p>\n“Honestamente, la mayor amenaza aqu\u00ed es que la gente ya ha obtenido acceso y simplemente est\u00e1 sentada, e incluso si se soluciona el problema, alguien ya est\u00e1 en la red… Estar\u00e1 disponible mientras exista Internet”.<\/p><\/blockquote>\n
Muchos de esos componentes de la cadena de suministro de aplicaciones web est\u00e1n controlados por un tercero: la empresa que los cre\u00f3. Esto significa que no importa cu\u00e1n riguroso haya sido con su propio an\u00e1lisis de c\u00f3digo est\u00e1tico, revisiones de c\u00f3digo, pruebas de penetraci\u00f3n y otros procesos SSDLC, la mayor parte de la seguridad de su cadena de suministro est\u00e1 en manos de quien construy\u00f3 sus componentes de terceros.<\/p>\n
Con su enorme potencial para encontrar puntos d\u00e9biles y su uso generalizado en las lucrativas industrias del comercio electr\u00f3nico, las finanzas y la medicina, las cadenas de suministro de aplicaciones web presentan un objetivo jugoso para los ciberatacantes. Pueden apuntar a cualquiera de las docenas de componentes en los que conf\u00edan sus usuarios para infiltrarse en sus organizaciones y comprometer sus productos. El software, las bibliotecas de terceros e incluso los dispositivos IoT son atacados habitualmente porque ofrecen una forma de obtener acceso privilegiado a los sistemas sin ser detectados. Desde all\u00ed, los atacantes pueden emitir carro m\u00e1gico<\/a> y ataques de skimming web, ransomware, cometer espionaje comercial y pol\u00edtico, usar sus sistemas para miner\u00eda criptogr\u00e1fica o incluso simplemente destrozarlos.<\/p>\n En diciembre de 2020, un ataque a la cadena de suministro<\/a> Se descubri\u00f3 un proyecto que eclipsa a muchos otros en t\u00e9rminos de escala y sofisticaci\u00f3n. Su objetivo era una plataforma de monitoreo de redes y aplicaciones llamada Orion, fabricada por una empresa llamada SolarWinds. Los atacantes se hab\u00edan infiltrado de forma encubierta en su infraestructura y utilizaron sus privilegios de acceso para crear y distribuir actualizaciones explosivas a los 18.000 usuarios de Orion.<\/p>\n Cuando esos clientes instalaron las actualizaciones comprometidas de SolarWinds, los atacantes obtuvieron acceso a sus sistemas y tuvieron libertad dentro de ellos durante semanas. Las agencias del gobierno estadounidense se vieron comprometidas, lo que provoc\u00f3 investigaciones que apuntaron hacia una operaci\u00f3n estatal rusa.<\/p>\n Este devastador ataque a la cadena de suministro tambi\u00e9n puede ocurrir en entornos web y enfatiza la necesidad de una soluci\u00f3n de seguridad web integral y proactiva que supervise continuamente sus activos web. <\/p>\n Los procesos de seguridad est\u00e1ndar no ayudaron con SolarWinds y no pueden monitorear toda su cadena de suministro. Hay muchas \u00e1reas de riesgo potenciales que simplemente pasar\u00e1n por alto, como por ejemplo:<\/p>\n En estas y muchas otras situaciones, las herramientas de seguridad est\u00e1ndar se quedar\u00e1n cortas.<\/p>\n Otra de esas situaciones surgi\u00f3 cuando se descubri\u00f3 una vulnerabilidad de d\u00eda cero en el ampliamente utilizado Utilidad de registro basada en Java Log4j<\/a>. Millones de computadoras propiedad de empresas, organizaciones e individuos de todo el mundo utilizan Log4j en sus servicios en l\u00ednea. Se lanz\u00f3 un parche tres d\u00edas despu\u00e9s de que se descubriera la vulnerabilidad en 2021, pero en palabras de Sofos<\/a> Sean Gallagher, investigador senior de amenazas:<\/p>\n “Honestamente, la mayor amenaza aqu\u00ed es que la gente ya ha obtenido acceso y simplemente est\u00e1 sentada, e incluso si se soluciona el problema, alguien ya est\u00e1 en la red… Estar\u00e1 disponible mientras exista Internet”.<\/p><\/blockquote>\nEl ataque de los vientos solares<\/strong><\/h2>\n
Las herramientas de seguridad est\u00e1ndar son superadas en maniobras<\/strong><\/h2>\n
\n
La vulnerabilidad de Log4j<\/strong><\/h2>\n