Con la pandemia y la necesidad urgente de una transformación digital, las empresas lanzaron aplicaciones y servicios sin tener muy en cuenta la parte de ciberseguridad ¿A qué desafíos se enfrentan ahora al momento de solucionarlos? Sobre el tema consultamos desde ITware a Felipe Gómez, LATAM Manager de Fluid Attacks
“Desplegar aplicaciones y servicios sin haber implementado la seguridad durante su desarrollo puede significar altos costos para estas empresas”, señala desde el comienzo el directivo.
Como consecuencia deben enfrentar luego el desafío de resolver todas las vulnerabilidades reportadas y encontradas, sea por usuarios o analistas externos, y luego afrontar las altas probabilidades de perder grandes sumas de dinero como consecuencia de ciberataques.
Por otro lado, los equipos de desarrollo pueden verse desbordados por el trabajo y tiempo requeridos para remediar todas las fallas, los cuales hubieran sido significativamente menores si se hubiera probado la seguridad continuamente, desde el principio y durante todo el ciclo de vida de desarrollo de la tecnología.
“Por otra parte, si la empresa ya ha sido atacada, a los costos de remediación se puede sumar la pérdida de confianza por parte de los usuarios y el público, todo desembocando en pérdidas económicas”, agrega Gómez.
Cuáles son las vulnerabilidades más comunes
Según en último informe anual de Fluid Attacks, State of Attacks 2022, se ve que la vulnerabilidad más común encontrada fue el uso de software con vulnerabilidades ya conocidas de antemano.
Esto sucede porque es usual que en el desarrollo se use código de terceros, y así facilitar el trabajo. “Esto es un problema si el código de terceros tiene fallas de seguridad o se desconoce que está entre los componentes del producto; los desarrolladores deben saber ambas cosas y tomar medidas para solucionar este riesgo, como generar su software bill of materials (SBOM, inventarios detallados de componentes y dependencias usadas), actualizar el software a su versión segura o reemplazarlo por otro que sea seguro”, explica el directivo.
Otra vulnerabilidad común es la inclusión en el código fuente de archivos que a menudo no son verificados en pruebas de seguridad, como por ejemplo los archivos binarios, y que pueden estar exponiendo información sensible.
“Por otro lado, otros errores bastante comunes tienen que ver con prácticas inseguras al escribir código, como dejar comentarios que revelan abiertamente información sensible”, sostiene Gómez.
Un problema en crecimiento
Pese a que crece la conciencia sobre desarrollar sin vulnerabilidades, cada día se encuentran más, que son explotadas por ciberdelincuentes: ¿Qué es lo que está faltando en las empresas?
“Lo que está faltando en las empresas es integrar la seguridad en todo el ciclo de vida del desarrollo de su tecnología, por lo cual no consiguen entender, priorizar y minimizar factores de riesgo como lo son las vulnerabilidades en su software”, expresa el directivo.
Logrado eso se pueden minimizar los ataques exitosos y prevenir otros. El hecho pasa por aplican buenas prácticas de desarrollo desde un comienzo, y remedian rápidamente las vulnerabilidades y demás problemas que se encuentran en las pruebas de seguridad realizadas antes de hacer pública cada nueva versión del producto.
¿Hay pautas básicas para desarrollar software en forma asegura?
Desde Fluid Attacks presentan las siguientes recomendaciones de prevención en las empresas que constituyen buenas prácticas en ciberseguridad para este año:
- Introducir principios de seguridad desde que se comienza a escribir código, que se basen en estándares internacionales y necesidades específicas de la industria.
- Hacer pruebas de seguridad a la tecnología de manera ininterrumpida e imitando las técnicas de los ciberdelincuentes.
- Resolver los problemas de seguridad encontrados en estas pruebas tan pronto como sea posible, priorizando aquellos cuya explotación representa un mayor riesgo para la empresa.
- Conocer, inventariar y actualizar sus componentes de software y árboles de dependencia.
- Incluir expertos en ciberseguridad dentro de sus juntas directivas para abordarla a nivel organizacional, no solo desde el sector de la tecnología de la información.
Y hay sectores que deberían prestarle más atención a esto que otros, ya que se ha visto que “Las cifras mundiales mostraron a mitades del año pasado que las organizaciones educativas e investigativas, gubernamentales y militares, proveedoras de servicios gestionados y de Internet, de comunicaciones, salud, y financieras o bancarias están entre las más atacadas por los ciberdelincuentes”, añade Gómez.
Los tiempos de descubrimiento y solución de una vulnerabilidad
¿Están disminuyendo los tiempos entre que se descubre una vulnerabilidad y su solución?, ¿Qué hacer mientras se desarrolla un parche o actualización?
“Sí, están disminuyendo. En nuestro reporte, evidenciamos que en el período evaluado, en comparación con el inmediatamente anterior, el tiempo promedio que se tomaron nuestros clientes para solucionar sus vulnerabilidades se redujo a casi la mitad”, remarca el directivo.
La recomendación desde Fluid Attacks para las empresas es que, mientras solucionan la vulnerabilidad, se aseguren de que esta no vuelva a presentarse, incluyendo el caso de abuso identificado de la vulnerabilidad en el set de pruebas unitarias, que la vulnerabilidad quede cerrada, probando continuamente en el CI/CD pipeline con una herramienta como Fluid Attacks Machine, e identificar si la vulnerabilidad fue abusada por actores maliciosos y hacer un análisis forense si es el caso.
El rol de Fluid Attacks
En Fluid Attacks se especializan en hacer pruebas de seguridad a varios tipos de sistemas de manera continua, a lo largo de todo el ciclo de desarrollo del software. Cuentan con uno de los mayores equipos rojos del continente, el cual, compuesto por hackers éticos altamente certificados y experimentados, analiza los sistemas y ataca sus vulnerabilidades de seguridad tal como lo harían los cibercriminales.
“Nuestro servicio incluye acceso a nuestra plataforma para la Gestión de Resistencia a Ataques (Attack Resistance Management platform), donde cada empresa puede ver los hallazgos de las pruebas y sus detalles técnicos, asignar la remediación de vulnerabilidades a miembros de sus equipos de desarrollo, pedir soporte en cuanto a este proceso, y acceder a otras funcionalidades. Prestamos este servicio a empresas de varios sectores industriales, incluyendo el bancario, financiero, tecnológico, de la salud, de seguridad, manufacturero y aéreo”, concluye Gómez.
