OWASP Top 10 para la seguridad de aplicaciones web

El OWASP Top 10, desarrollado por la comunidad abierta Open Worldwide Application Security Project, es sobre todo un documento de concientización acerca de los 10 principales riesgos de seguridad de aplicaciones web, pero muchos desarrolladores y empresas lo utilizan como un estándar de facto de AppSec. 

Se ha convertido en una especie de biblia para los programadores, directores ejecutivos y miembros del equipo de ciberseguridad, entre otros actores clave en el ciclo de vida de las aplicaciones web. Para 2024, presentó el siguiente listado de riesgos:  

1. Uso inadecuado de credenciales

En este escenario, los atacantes pueden aprovechar vulnerabilidades en las credenciales codificadas dentro del código fuente de la aplicación y utilizarlas para acceder de forma indebida a funciones confidenciales o los sistemas backend.

Pero el riesgo no se limita a ese escenario. También pueden interceptar credenciales transmitidas entre la aplicación y sus sistemas backend, u obtenerlas de forma ilegítima luego de acceder físicamente al dispositivo del usuario.

2. Seguridad inadecuada de la cadena de suministro

Este riesgo engloba los ciberataques que aprovechan las vulnerabilidades en la cadena de suministro de la aplicación. Por ejemplo, el ciberdelincuente detecta las brechas de seguridad e inserta malware en la base de código, bien sea para robar datos, espiar a los usuarios o tomar el control de los dispositivos. 

3. Autenticación o autorización insegura

En los esquemas de autenticación o autorización de las aplicaciones, pueden quedar ciertas brechas de seguridad. Si un hacker logra descubrirlas, tiene la oportunidad de utilizar malware o botnets para burlar la validación de identidad y permisos, con el fin de enviar solicitudes directas al servidor backend o iniciar sesión y forzar la navegación a un punto final vulnerable, donde sea posible ejecutar la funcionalidad administrativa. 

4. Validación de entrada o salida insuficiente

Las aplicaciones que no validan y sanean de forma correcta los datos provenientes de fuentes externas, corren el riesgo de sufrir ciberataques de secuencias de comandos entre sitios (XSS), así como inyecciones de inyección SQL y de comandos maliciosos. Algo muy grave si consideras que puede terminar con el acceso a datos críticos y la manipulación remota del software. 

5. Comunicación insegura

Gran parte de las aplicaciones móviles modernas intercambian frecuentemente datos con servidores remotos. Y si esa data viaja en texto simple o usando cifrados obsoletos, existe un alto riesgo de ser robada, espiada o modificada con fines maliciosos.  

6. Controles de privacidad inadecuados

Los controles de privacidad tienen el fin de proteger la información de identificación personal de los usuarios. Aunque los protocolos de protección de estos datos son difíciles de vulnerar, los atacantes pueden explotar brechas de seguridad en otro nivel, para finalmente llegar a ellos. 

Si esto sucede, esa información de identificación personal de los usuarios de la aplicación puede ser filtrada, manipulada, destruida o bloqueada.

7. Protección binaria insuficiente

Los archivos binarios de las aplicaciones también son muy apetecidos por los ciberdelincuentes. Como tal, estos contienen claves API y secretos criptográficos codificados, lógica empresarial, modelos IA, entre otra información muy valiosa.

Estos archivos binarios buscan ser manipulados con el objetivo de acceder a funciones de pago, burlar los controles de seguridad y hasta instalar malware para distribuirlo en copias ilegítimas de la aplicación. 

8. Mala configuración de seguridad

Este riesgo se refiere a la configuración incorrecta de los permisos, controles y demás protocolos de ciberseguridad. 

Los atacantes cibernéticos aprovechan esta falla para acceder a datos delicados o ejecutar acciones no autorizadas. 

9. Almacenamiento de datos inseguros

Los datos son el petróleo de la era digital y, por lo tanto, son bastantes los actores maliciosos que quieren sustraerlos: 

• Hackers expertos. 
• Colaboradores malintencionados dentro tu empresa. 
• Agentes patrocinados por el Estado que realizan actividades de ciberespionaje. 
• Script kiddies (personas sin conocimiento profundo de hacking utilizando herramientas que compran en el mercado negro). 
• Corredores de datos (vendedores de información personal y empresarial). 
• La competencia de tu organización. 
• Activistas o hacktivistas con motivos ideológicos.

Por esta razón, el cifrado débil, la protección insuficiente de datos y, en general, los métodos de almacenamiento inseguros terminan siendo uno de los riesgos más grandes y peligrosos que actualmente enfrentan las aplicaciones. 

10. Criptografía insuficiente

En este caso, encuentras atacantes que usan algoritmos o implementaciones criptográficas para descifrar datos confidenciales que gestionas en tu aplicación. 

También están las personas malintencionadas que filtran las claves de cifrado, entre otros actores que aprovechan las vulnerabilidades en los métodos de encriptación para robar información confidencial, cometer fraudes financieros o acceder de modo no autorizado a la aplicación.

Ciberseguridad de Entel Digital: Aplicaciones web más seguras

Cada uno de estos riesgos de seguridad de aplicaciones web tiene su propio nivel de explotación, detectabilidad, vectores de ataque, impactos y formas de hacerles frente. Seguirlos de cerca, haciendo del OWASP Top 10 un estándar, permite gestionarlos de la mejor manera, reduciendo al mínimo la posibilidad de sufrirlos. 

Esto es lo que hace el servicio de ciberseguridad de Entel Digital, que de hecho ya está pendiente del lanzamiento del OWASP Top 10: 2025, que se realizará en la primera mitad de ese año. 

Este es solo uno de los componentes del servicio integral de ciberseguridad de Entel Digital, pues se conforma por profesionales especialistas en la protección, gestión de riesgos, cumplimiento normativo, defensa y respuesta ante las amenazas propias del momento.