Por Rubén Martínez
En esta ocasión hablaremos de la categoría “Security Misconfiguration” el cual dentro del TOP 10 de OWASP, subió un puesto del 6to (en el 2017) al 5to lugar en su última actualización en el 2021.
La configuración incorrecta de seguridad ocurre cuando una aplicación o infraestructura no se configura de manera segura, exponiendo así datos y funcionalidades al internet. Este tipo de vulnerabilidad puede surgir de configuraciones predeterminadas, permisos excesivos o configuraciones incompletas, incorrectas y expuestas.
Unos ejemplos de configuraciones incorrectas:
- Configuraciones predeterminadas no seguras: Muchos software y dispositivos vienen con configuraciones predeterminadas que son inseguras, como credenciales administrativas predeterminadas.
- Configuraciones expuestas: Servidores web, aplicaciones, bases de datos y sistemas operativos que revelan información sensible a través de mensajes de error detallados o archivos de configuración expuestos.
- Actualizaciones y parches faltantes: No aplicar actualizaciones y parches de seguridad de manera oportuna, lo que deja las aplicaciones vulnerables a exploits conocidos.
- Servicios innecesarios habilitados: Mantener servicios y características no necesarias activas, aumentando la superficie de ataque.
- Configuraciones incorrectas de almacenamiento y comunicaciones: No asegurar adecuadamente el almacenamiento de datos y las comunicaciones, como no habilitar HTTPS.
Un caso real fue, en 2019, Capital One sufrió una brecha que expuso datos personales de más de 100 millones de clientes debido a una configuración incorrecta de un servidor web, esto debido a un firewall de aplicación web mal configurado. Esto lo podemos consultar en esta nota:
https://widefense.com/blog/fallo-de-seguridad-en-capital-one#:~:text=Adem%C3%A1s%20de%20nombres%2C%20direcciones%2C%20tel%C3%A9fonos,millones%20por%20da%C3%B1os%20en%20reputaci%C3%B3n.
Algunas consecuencias de las configuraciones incorrectas son:
- Acceso no autorizado: Los atacantes pueden explotar configuraciones incorrectas para obtener acceso no autorizado a datos sensibles.
- Robo de datos: Información personal, financiera y confidencial puede ser robada.
- Interrupción del servicio: Los atacantes pueden causar interrupciones en el servicio mediante la explotación de configuraciones incorrectas.
- Daño a la reputación: Las brechas de seguridad pueden dañar la reputación de una organización, afectando la confianza del cliente.
Algunas formas de mitigar y evitar esto son:
- Revisiones regulares: Realizar auditorías y revisiones de configuración de forma regular para identificar y corregir configuraciones incorrectas.
- Parcheo y actualizaciones: Mantener todos los sistemas, aplicaciones y bibliotecas actualizados con los últimos parches de seguridad.
- Principio de menor privilegio: Asegurar que las cuentas y servicios solo tengan los permisos necesarios para minimizar el riesgo de explotación.
- Validación continua: Utilizar herramientas de escaneo y pruebas de seguridad automatizadas para validar que las configuraciones se mantienen seguras a lo largo del tiempo.
La configuración incorrecta de seguridad sigue siendo una gran amenaza en las de aplicaciones web. Implementar prácticas de configuración segura y automatizar estos procesos son las mejores formas para protegerlas contra ciber ataques. Se debe ser proactivo para asegurar que todas las configuraciones sean correctas, para así reducir así el riesgo de una exposición de información o de una brecha de seguridad.