3 maneras en las que tus aplicaciones te hacen vulnerable

Estás satisfecho con las aplicaciones de tu empresa. Fidelizan al cliente y aumentan la productividad de tu equipo.

Pero, ¿puedes fiarte de ellas? La respuesta es no. 

Mientras te centras en sacar rápidamente tus apps al mercado y trabajas en potenciar su rendimiento y su uso, hay algo que se te escapa. La seguridad. Las propias apps de las que dependes contienen puntos vulnerables que ponen en riesgo tu empresa.

No estamos hablando de deficiencias sutiles o técnicas supersofisticadas que los cibercriminales utilizan para vulnerar tu sistema y causar daño. Aunque casos así son noticia, no son los casos más frecuentes.

Las propias apps de las que dependes contienen puntos vulnerables que ponen en riesgo tu empresa.

Hablamos en realidad de vulnerabilidades bastante corrientes corrientes que los hackers explotan casi sin esfuerzo y de forma automática. Mientras estás leyendo este artículo, un hacker está activando un análisis automático de páginas web antes de salir a tomar un café, el tiempo que se tarda en generar una larga lista de objetivos. Los 10 puntos vulnerables más comunes, bien conocidos por los hackers, cuentan con un 85 % de ataques perpetrados con éxito. Tu empresa podría ser fácilmente su próxima víctima.

<40%

Menos del 40 % de las aplicaciones desarrolladas internamente cumplen con los requisitos de seguridad.

Lo mismo que proteges tu cartera, debes proteger todas tus apps. Los hackers pueden pillarte de tres maneras:

1. Tus aplicaciones son inseguras a nivel de código.

Es mucho más sencillo formar a los desarrolladores y prevenir problemas, que corregir defectos una vez que las apps están en manos de los usuarios. Sin embargo, son pocas las empresas que ponen en práctica la codificación segura.

Se realizó una encuesta para probar los conocimientos de creadores de apps en materia de seguridad básica. La mayoría suspendió. No sorprende, dado que la mitad recibió una formación en este tema de menos de un día durante sus estudios. ¿Por qué tan poca formación? Los directivos suelen financiar otras prioridades.

2. No detectas a tiempo las vulnerabilidades de tu app.

Según Symantec, cada semana se detectan nuevas vulnerabilidades de día ceroA new zero-day vulnerability is identified every week, Aunque la codificación segura es la base, no es la panacea. Incluso con ella se cuelan fallos en las apps. ¿Qué se puede hacer? Encontrar los puntos flacos antes que los hackers. Lo que supone hacer pruebas y más pruebas.

Según Veracode, menos del 40 % de las aplicaciones desarrolladas internamente superaron los requisitos de seguridad en la primera prueba. Las aplicaciones creadas por terceros salieron incluso peor paradas (solo aprobó el 28 %). Así que, a probar y a corregir. Una y otra vez. Existen múltiples herramientas. Además de la codificación segura, las pruebas de vulnerabilidad reducirán tu riesgo considerablemente.

3. No corriges las vulnerabilidades patentes con suficiente rapidez.

Según WhiteHat Security, más de la mitad de las empresas tardan 200 o más días en corregir fallos de seguridad, y dos tercios de ellas solo remedian el 40 % de las vulnerabilidades detectadas. Este período (más de seis meses) proporciona a los hackers mucho tiempo para sustraer, revelar o dañar datos sensibles, falsificar tu aplicación o causar otros daños.

La mejor estrategia

Instala un cortafuegos para aplicaciones web (WAF) para ganar tiempo mientras corriges tus aplicaciones. Los WAF son cortafuegos de hardware o software diseñados específicamente para impedir que se exploten las vulnerabilidades del tráfico de la red (HTTP/S) y de las aplicaciones web. Muchos WAF integran servicios de análisis de vulnerabilidad de aplicaciones web para repararlas automáticamente. Puedes contratar también servicios WAF que te permitirán externalizar a terceros expertos la considerable carga de tal gestión.

Y una última cosa...

¿Realizas las inversiones adecuadas en TI? Las aplicaciones web orientadas al público son una causa importante de violaciones de seguridad, según el Informe sobre seguridad en aplicaciones de 2016 del Instituto SANS. Sin embargo, más de la mitad de las empresas (51 %) invierten un 1 % o menos de su presupuesto de TI en la seguridad de sus apps. O eso, o no tienen ni idea de cuánto gastan.

Deberías pensarlo.

Tus aplicaciones están en el punto de mira de los hackers. Pero destinar suficiente presupuesto para asegurarlas y seguir los tres pasos arriba mencionados podría ser el primer paso para reducir el riesgo general de tu empresa.