Info

Las aplicaciones web bancarias son las “más vulnerables” para ser pirateadas

Esto sería una mala noticia si eres uno de los cientos de millones de usuarios de banca en línea de todo el mundo. Lo más probable es que el sitio web y las aplicaciones web de su banco sean terriblemente inseguros.

Según investigadores de la firma de seguridad Positive Technologies, que tiene una participación comercial en la seguridad de aplicaciones web, probaron 33 sitios web y servicios utilizando su inspector de aplicaciones propietario, y descubrieron que las instituciones bancarias y financieras eran “las más vulnerables” a ser pirateadas.

Todos los sitios financieros y aplicaciones web que los investigadores probaron contenían una vulnerabilidad de alta gravedad, dijeron. Los investigadores dijeron en su informe, publicado el lunes, que encontraron fallas en la entidad externa XML y lecturas arbitrarias de archivos y fallas de modificación en aproximadamente la mitad de todos los sitios bancarios y financieros que probaron.

En el peor de los casos, un atacante puede ejecutar código de forma remota para comprometer un servidor vulnerable, lo que posiblemente tenga graves consecuencias para los clientes que esperan que sus bancos mantengan su dinero a salvo. El informe también señaló que el 80 por ciento de los sitios probados son vulnerables a ataques de scripts de sitios cruzados (XSS), lo que permite que un atacante ejecute código malicioso en un sitio web o aplicación web.

Estos defectos a menudo no se consideran de alta gravedad y, aunque a menudo son fáciles de solucionar, a menudo se tratan con una prioridad menor. Pero se pueden usar para manipular cómo se ven los sitios, engañando a los usuarios para que entreguen información confidencial que se reenvía silenciosamente a un atacante. Los bancos y los financieros en riesgo no fueron nombrados, pero el hecho de que haya una tasa de vulnerabilidad del 100 por ciento para un sector que maneja el dinero y las finanzas de las personas no es un buen augurio para toda la industria financiera.

Y las cosas no se ven mucho mejor para otros sitios y aplicaciones web probadas, incluso en el sector gubernamental. Los investigadores dijeron que el 85 por ciento de las aplicaciones web que probaron tenían fallas que permitían ataques contra los usuarios. “Un hacker puede explotar estas vulnerabilidades para robar las cookies de los usuarios, implementar ataques de phishing o infectar las computadoras de los usuarios con malware”, escribieron los investigadores.

En el espacio gubernamental, las secuencias de comandos entre sitios siguieron siendo el principal punto de ataque, seguidas de la división de respuestas HTTP. Pero en más de dos tercios de los casos, los hackers podrían explotar las inyecciones de SQL que podrían revelar información confidencial de una base de datos y ejecutar remotamente comandos en un servidor de fondo.

Para algunos atacantes, una cosa es exfiltrar y robar datos o denegar el servicio a los usuarios. Pero los hackers más sofisticados usan puntos de entrada débiles para moverse lateralmente dentro de un dominio.

Si un atacante encuentra una conexión de red de área local en un servidor de destino, puede adentrarse más en una red y poner en peligro la infraestructura de toda una empresa o departamento gubernamental, dijeron los investigadores. Es como se cree que se ha llevado a cabo la violación masiva de datos en Equifax. Una conclusión es que las tecnologías preventivas, como los firewalls de aplicaciones web, pueden ser buenas y buenas, pero el análisis del código fuente también debe usarse en el desarrollo de una aplicación web.

Carlos Escobar / Experto en Seguridad Informática