En esta ocasión hablaremos del riesgo que se ubica en la segunda posición del Top 10 de los riesgos más frecuentes de las aplicaciones, en su versión 2021, publicado recientemente por OWASP (Open Web Application Security Project), un riesgo el cual se ubica en una posición muy alta ya que la frecuencia con la que se presenta sigue siendo alta.
Esta es una vulnerabilidad la cual sube una posición con especto al top 10 del 2017, este top se clasifica de acuerdo con la frecuencia con a que se presenta este defecto, lo interesante aquí es que este riesgo ya se ubicaba en una posición bastante alta con respecto a hace algunos años, por lo que ya era un problema bastante frecuente, y en esta ocasión, podemos decir que se presenta con más frecuencia.
Esta vulnerabilidad va relacionada con las aplicaciones que están publicadas en servicios en texto claro (HTTP), sin embargo, una aplicación que ya implementa una comunicación cifrada (HTTPS) puede ser vulnerable si los algoritmos de cifrado no son implementados correctamente o son débiles, por lo tanto, pueden romperse. Algunos de los ejemplos más comunes que podemos ver de esta vulnerabilidad pueden ser:
- Transmisión datos en texto claro por protocolos no cifrados (HTTP, SMTP, FTP).
- Uso algoritmos de cifrado viejos o débiles que pueden romperse con facilidad.
- Uso de llaves criptográficas predeterminadas, o bien, estas no se cambian con cierta frecuencia.
- No se aplican correctamente las directivas de seguridad en encabezados HTTP.
- Almacenamiento de información en texto claro a largo plazo.
- No se fuerza la comunicación por HTTTPS, el servidor tiene la aplicación publicada también por HTTP, por lo que la aplicación sigue publicada en texto claro.
Ahora que sabemos bajo que escenarios se pude presentar este riesgo, hablemos del por que es tan frecuente, para ejemplificar un poco, se realizó la siguiente consulta en Google:
En esta consulta se buscan las aplicaciones que se encuentren publicadas en servicios sin cifrar HTTP, y como vemos, se obtuvo un número considerable de resultados, viendo esto, podemos decir que una de las razones por la que se presenta esta vulnerabilidad con tanta frecuencia es debido a que se siguen publicando una gran cantidad de aplicaciones en servicios sin cifrar HTTP, lo cual hace que la comunicación este completamente expuesta a internet. Cabe destacar que este riesgo también aplica a aplicaciones de intranet.
El impacto que tendría el transmitir información en texto claro, es que si algún tercero intercepta esta esta comunicación podrá ver los datos enviados, por lo que se recomienda implementar una conexión segura por HTTPS, SFTP y SMTPS implementando los debidos certificados.
Algo que es importante mencionar es que la protección no acaba cuando habilitamos una comunicación cifrada, debido a que, si los algoritmos que empleamos son débiles, el atacante podría acceder a la información desencriptando los datos, para lo cual hoy en día podemos encontrar una gran cantidad de herramientas en internet, por lo que, es importante darle mantenimiento a los servidores y certificados que implementemos.
Lo mismo sucede con la información que almacenamos, si son datos sensibles se debe aplicar cifrado, y así mismo, darle el debido mantenimiento para evitar que esta información sea comprometida por un atacante.
Es importante mencionar también, que para validar que los algoritmos de cifrado sean seguros podemos apoyarnos con herramientas de escaneo de vulnerabilidades, las cuales nos ayudaran a determinar versiones y a establecer planes de remediación para la corrección de estos.
En concusión, es importante mantener una comunicación segura ya sea en entornos internos o expuestos a internet, cuando se habla de desarrollar una aplicación, el tema de cifrado en muchas ocasiones es ignorado por los desarrolladores, lo cual lleva a que este se implemente de manera incorrecta, o en algunos casos, que no se implemente, por lo que es importante que el cifrado sea tomado como un componente crucial para la aplicación, para así poder evitar que la información que se transmite caiga en las manos equivocadas.
Por José Eduardo Torres Torres – Consultor de Seguridad de Información