Dime cuántos hoyos tiene tu aplicación y te diré quién eres. Este parece que será el nuevo refrán para el mundo de las aplicaciones, pues un análisis a más de 2,900 programas, de toda índole, comprobó que casi el 60% de estos contaban con errores graves o severos de seguridad.
El análisis titulado State of Software Security Report The Intractable Problem of Insecure Software contempló el análisis a casi 3,000 aplicaciones, durante un periodo de 18 meses, por parte de los expertos de seguridad de Veracode.
De acuerdo con los datos del reporte, 57% de las aplicaciones analizadas contaban con problemas de seguridad o eran inaceptables para los estándares internacionales de seguridad.
“Más de la mitad de las aplicaciones no cumplieron con los niveles adecuados de seguridad. Pero más grave aún ocho de cada diez aplicaciones web fallaron al tratar de cumplir alguno de los diez puntos claves de la OWASP”, cita el reporte de Veracode.
Las OWASP, mejor conocido como Proyecto Abierto de Seguridad de Aplicaciones Web en español, son una serie de reglas necesarias para cumplir con la regulación PCI (Payment Card Industry) ligada a todos los programas o aplicaciones que necesiten correr en sitios o plataformas de comercio electrónico o banca en línea.
Gráfico 1: Errores por tipo de aplicación y nivel de seguridad
“El nivel de riesgo en términos de reparación de costos, continuidad de negocios o impacto a la marca es mucho más elevado que cualquier proceso de verificación de los niveles de seguridad aceptables para las aplicaciones de los negocios. El daño a una marca, la pérdida económica o falta de operación por estos errores generan un impacto significativo en los negocios”, subraya el reporte.
No es de extrañar que si las aplicaciones web son las más afectadas o más inseguras, los ataques o vulnerabilidades de Cross-Site Scripting sean las más prevalentes.
Según el reporte, este tipo de vulnerabilidades acaparó 51% de todos los errores registrados en las aplicaciones, seguidas de temas como fuga de información 12%, Inyección de CRLF con 11% o errores en la criptografía de la aplicación.
Gráfico: Vulnerabilidades más comunes en las aplicaciones
Junto con las vulnerabilidades Veracode detectó que las aplicaciones más inseguras fueron aquellas desarrolladas por terceros. De hecho 81% de las aplicaciones creadas por terceros fallaron en cubrir uno o más niveles de seguridad.
Este fenómeno representa un riesgo, pues en los últimos años diversas empresas han comenzado a tercerizar el desarrollo de sus programas a fin de obtener ahorros en los costos de programación, diseño y mantenimiento.
Sin embargo, los expertos señalan, que no porque sea creada por un tercero las empresas deben confiar “ciegamente” en este.
“Todas las aplicaciones, sean internas o de terceros deben ser sometidas a los mismos controles y exámenes de seguridad. Las empresas deben demandar del proveedor del software análisis de protección realizados por firmas independientes, no por ellos”, cita el documento.
Los expertos de Veracode señalan que aún falta mucho trabajo por hacer en el desarrollo de aplicaciones. Sin embargo, reconocieron que los tiempos de respuesta para corregir los errores, una vez detectados, han mejorado de forma “impresionante” en los últimos años.
Gráfico 3: Tipo de aplición y lenguajes más comunes de programación
SÍGUENOS
© 2010 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260