Preventable But Often Ignored, Web App Attacks Expand Their Reach

Prevenibles y a menudo ignorados, los ataques a aplicaciones web están expandiendo su alcance

Por Teresa Meek

Los ataques web que roban datos o degradan un sitio web han existido durante más de dos décadas. Aunque son bastante fáciles de prevenir, siguen causando problemas, y los problemas ocurren cada vez con mayor frecuencia.

Los ataques, en los que los hackers obtienen acceso a un sitio al escribir código en los campos de formularios, aumentaron un 25 % en todo el mundo el año pasado, según los datos publicados por Akamai Technologies en su informe sobre el estado de Internet en materia de seguridad del segundo trimestre. Los EE. UU. es con diferencia el mayor objetivo con 218 millones de incidentes solo en el segundo trimestre.

A menos que las empresas tomen medidas preventivas, corren el riesgo de perder datos, clientes e ingresos.

Preventable But Often Ignored, Web App Attacks Expand
Según un informe reciente de Akamai, un retraso de 100 milisegundos en el tiempo de carga afecta a las ventas hasta en un 7 %.

Tipos de ataques de aplicaciones web

Los ataques de aplicaciones web insertan código en las partes interactivas de un sitio web, lo que hace que el servidor libere datos o ejecute archivos perjudiciales. Se presentan de diferentes formas, cada una de las cuales puede perjudicar una empresa de distinta manera.

Un ataque de filtros de scripts de sitios (XSS) inserta código que puede degradar un sitio web o redirigir a los usuarios a un sitio falso para que los hackers puedan robar sus credenciales. Esto le sucedió a eBay hace unos años. Según el informe de Akamai, los ataques XSS representaron el 9 % de los ataques de aplicaciones web en el último trimestre.

También son frecuentes los ataques de inclusión de archivos locales, o ataques LFI, que representaron el 33 % de los ataques de aplicaciones web en el segundo trimestre. En estos, los hackers, agregan comandos codificados a los campos interactivos que solicitan acceso a archivos confidenciales en el servidor web. En algunos casos, un ataque LFI puede ejecutar código malicioso.

El tipo más común de ataque de aplicaciones web, y entre los más graves, es la inyección SQL, o SQLi, que representó el 51 % de los ataques de aplicaciones web en el segundo trimestre. En este tipo de ataque, un hacker introduce comandos que pueden forzar a un servidor a revelar información almacenada en bases de datos.

Cómo pueden perjudicar los ataques SQLi

Mientras busca datos para robar, un ataque de SQLi inmoviliza los recursos de un servidor. Esto hace que la información que buscan otros usuarios, incluidos los clientes, se cargue más lentamente. Este retraso puede durar solo milisegundos, pero puede ser demasiado tiempo para algunos.

"Si una página se carga en 30 a 100 milisegundos en lugar de 10 a 20, ese ligero retraso es lo suficiente para que le cueste dinero a una empresa", afirma John Summers, vicepresidente y director general empresarial de Akamai Technologies. "Si estás vendiendo algo, los clientes lo encontrarán en otro lugar. Lo que se traducirá en millones de dólares perdidos".

Según un reciente informe de Akamai, un retraso de 100 milisegundos en el tiempo de carga afecta a las ventas hasta en un 7 %. Un retraso de dos segundos duplica el promedio de número de personas que navegan fuera de un sitio.

Y existen muchos más aspectos de los preocuparse. Mientras ahuyenta a los clientes, el ataque también extrae información de una base de datos. Es posible que un único ataque devuelva solo una pequeña cantidad de información. Pero los hackers a menudo atacan muchas veces hasta que extraen todo el contenido de la base de datos.

Un ataque puede robar los nombres de usuario y las contraseñas de las cuentas de los clientes y acceder a su historial de compras y navegación. Si una empresa no cifra la información de la tarjeta de crédito, también puede capturar los datos de la tarjeta.

Generalmente, los ataques no pueden robar datos cifrados. Pero si un desarrollador de sitios web almacena la clave de cifrado de manera incorrecta, un hacker podría encontrarla y utilizarla para descargar números de tarjetas de crédito y otra información privada, afirma Summers.

Prevención de ataques

Las empresas pueden detener de forma sencilla ataques de aplicaciones web. Una manera es programar sus sitios para evitar que el lenguaje de comandos informático se inserte en los campos de respuesta del cliente. Otra es instalar Web Application Firewall.

Estos firewalls pueden analizar el tráfico del sitio web y avisar a una empresa si los visitantes provienen de una parte del mundo con la que normalmente no hacen negocios.

"Si su base de clientes es el 99 % europea y, de repente, recibe tráfico de Australia, debe tomar precauciones", explica Summers.

El sistema de firewall de Akamai analiza el tráfico inusual y también califica las direcciones IP individuales, proporcionando una puntuación de alto riesgo a aquellas que han estado involucradas en otros ataques. Tras recibir la notificación sobre la detección del tráfico sospechoso, una empresa puede aplicar controles contra el fraude adicionales antes de aprobar las interacciones.

Tomar medidas preventivas contra los ataques de las aplicaciones web no es difícil, pero muchas empresas no invierten en los suficientes recursos para que sean efectivas. Otras empresas no vuelven a evaluar sus sitios para adaptarse al panorama de amenazas en constante cambio.

"Se requiere tiempo, energía, dinero y voluntad, y eso no ha sido una prioridad", afirma Summers.

Mientras tanto, los hackers rastrean la web en busca de sitios web vulnerables a ataques de aplicaciones. Incluso tienen una herramienta que automatiza el proceso de encontrar páginas listas para un ataque SQLi. En vídeos de YouTube se explica cómo usar la herramienta.

En este entorno, las empresas necesitan ajustar sus prioridades para prepararse para los ataques de aplicaciones web, y no solo los ataques publicitados masivamente, como los que involucran la denegación de servicio distribuida, explica Summers.

"Los ataques de aplicaciones web pueden inmovilizar recursos, causar retrasos, costar dinero, robar datos de clientes y publicarlos en las noticias", advirtió Summers. "No apagan el sistema como un ataque DDoS, pero a largo plazo, tienen el mismo efecto sobre la empresa".

Teresa Meek vive y trabaja en Seattle. Con más de 15 años de experiencia en comunicaciones, también ha publicado para The Miami Herald y Newsday.

Related CIO Content