Se dispara el robo de datos personales y financieros a través de formularios online

30/09/2019

diarioabierto.es. Las aplicaciones web están incorporando cada vez más componentes de terceros a su código, como pueden ser carros de compra o sistemas de pago con tarjeta, lo que incrementa su vulnerabilidad, advierte F5 Labs. //  Application Report 2019

Los formularios online que un usuario tiene que rellenar, bien sea para iniciar sesión en un sitio web o a la hora de realizar una compra, se han convertido en una buena vía para que los hackers consigan acceder a sus datos personales y financieros, advierte el informe Application Report 2019, elaborado por F5 Labs, la división de ciberseguridad de F5 Networks.

Después de analizar 760 casos de robo de datos, F5 Labs concluyó que la técnica de ‘formjacking’, mediante la que el hacker es capaz de mover los datos desde el navegador del usuario hasta otro sitio controlado por él, se está convirtiendo en uno de los métodos preferidos por los ciberdelincuentes, llegando a suponer el 71% de todos los casos analizados por F5 Labs durante 2018.

“Las aplicaciones web están incorporando a su código cada vez más componentes críticos de terceros, como pueden ser carros de compra o sistemas de pago con tarjeta. Los desarrolladores web utilizan librerías de código importadas o, en algunos casos, enlazan sus aplicaciones directamente a los comandos de terceros alojados en la web. Como consecuencia, la vulnerabilidad de las organizaciones se incrementa, ya que su código se compila a partir de múltiples fuentes de distinta procedencia, casi todas situadas fuera de los límites de los controles normales de seguridad empresarial. Dado que muchos sitios web hacen uso de los mismos recursos de esas terceras partes, los hackers saben que con lograr comprometer un solo componente pueden llegar a los datos de un gran número de usuarios, clientes de múltiples empresas“,explica David Warburton, experto de F5 Networks.

F5 Labs ya ha detectado durante 2019 un total de 83 incidentes de formjacking, que en su conjunto afectaron a un total de 1,4 millones de tarjetas de crédito. Se estima que actualmente el 60% de todos los robos relacionados con tarjetas de crédito utilizan esta técnica. Los sectores de Retail, Transporte e Industria son los más afectados.

«Cuanto más código entreguemos a terceros, menos visibilidad y menos control tendremos sobre él», advierte Warbuton.

Consejos

Para evitar el robo de datos, F5 Labs recomienda:

1.-Crear un inventario de aplicaciones web, que debe incluir una auditoría exhaustiva del contenido de terceros. Es un proceso complicado, ya que normalmente estos contenidos están vinculados a otros sitios web con controles de seguridad poco fiables.

2.-Parchear el entorno. Aunque el parcheo no necesariamente va a corregir los defectos de los contenidos de terceros, sí conseguirá dificultar el compromiso de los datos. La técnica de inyección web es muy versátil, por lo que resulta crítico parchear las aplicaciones propias a fin de prevenir daños que puedan provocar los activos de terceros que hayan sido comprometidos.

3.-Escanear vulnerabilidades: llevar a cabo escaneos externos con el objetivo de obtener una visión de la actividad de los hackers.

4.-Monitorizar cambios de código. Con independencia de dónde se encuentre alojado el código, es importante conseguir una mayor visibilidad, independientemente de si surgen nuevas vulnerabilidades o no

5.-Autenticación multifactorial. Que debe ser implementada en cualquier sistema conectando activos de alto impacto, ya que la inyección se utiliza a menudo para evitar la autenticación a la hora de acceder al código del servidor web.

6.-Explorar el potencial de las herramientas de software de servidor. Por ejemplo, es posible establecer una Política de Seguridad de Contenidos para bloquear inyecciones de código no autorizado en un sitio web o en una aplicación. Además, los métodos web SubResource Integrity (SRI) pueden verificar que las aplicaciones de terceros no han sido alteradas. Ambas herramientas requieren trabajo para adaptarlas adecuadamente a una aplicación web.

7.-Monitorización de certificados y de dominios registrados recientemente. Se usan a menudo para alojar scripts maliciosos con apariencia de auténticos para los usuarios[1]

“Seguramente, las organizaciones van a comenzar a gestionar los riesgos de inyección web mediante acuerdos de nivel de servicio de seguridad”, añade Warburton. “Los métodos de mitigación recomendados en el informe Application Protection Report 2019 son un buen comienzo, pero también es vital adaptarse y adquirir nuevas capacidades para poder hacer frente a la evolución de los hackers”, añade.

¿Te ha parecido interesante?

(Sin votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.