Glosario: Términos y definiciones de ciberseguridad

OWASP Automated Threats to Web Applications

Este proyecto de OWASP se centra en identificar amenazas automatizadas dirigidas a aplicaciones web y en proponer controles de seguridad y prácticas recomendadas para mitigar sus riesgos.

El objetivo del Proyecto de Amenazas Automatizadas para Aplicações Web de OWASP (Open Worldwide Aplicação Security Project) es proporcionar una comprensión integral y estandarizada de las diversas amenazas automatizadas que comúnmente enfrentan las aplicações web. Estos ataques automatizados se dirigen cada vez más a las aplicaciones móviles y las API. El proyecto reúne la investigación y el análisis de ataques automatizados del mundo real contra aplicações web para producir documentación que ayude a los operadores a defenderse de estas amenazas. 

¿Qué son las amenazas automatizadas?

Las amenazas automatizadas se refieren a ataques maliciosos realizados por bots, scripts o kits de herramientas de piratas informáticos en lugar de por humanos que interactúan manualmente con la aplicação web. Estas amenazas pueden explotar vulnerabilidades inherentes en aplicações web y API, lo que provoca violaciones de seguridad, robo de datos, apropiación de cuentas, fraude y otras consecuencias dañinas.

Si bien no es una vulnerabilidad tener un carrito de compras en su aplicação, la lógica comercial para facilitar la adición de artículos a un carrito de compras también puede ser atacada y manipulada por automatizaciones, lo que resulta en el acaparamiento de inventario

El proyecto ha creado un catálogo o taxonomía de diferentes amenazas automatizadas dirigidas a aplicações web. Al identificar y categorizar estas amenazas, los desarrolladores, los profesionales de seguridad y las organizaciones pueden obtener una comprensión más profunda de los riesgos que enfrentan y el impacto potencial en sus sistemas. Para cada amenaza automatizada, el proyecto también recomienda contramedidas efectivas y mejores prácticas para mitigar los riesgos. Al generar conciencia sobre estas amenazas, OWASP pretende fomentar medidas de seguridad proactivas y mejorar la postura de seguridad general de las aplicações web.

Dado que muchas amenazas automatizadas dependen de bots, es útil distinguir entre la gestión de bots y la mitigación de bots. La gestión de bots se refiere a las estrategias y prácticas utilizadas para manejar bots que interactúan con aplicações web. El objetivo de la gestión de bots no es únicamente bloquearlos o mitigarlos, sino también diferenciar entre el tráfico de bots legítimo (por ejemplo, rastreadores de motores de búsqueda) y los bots maliciosos. La mitigación de bots se centra específicamente en el proceso de reducir o eliminar el impacto de bots maliciosos en las aplicações web. Implica implementar medidas defensivas para evitar que los bots realicen con éxito acciones dañinas o ataques que puedan conducir a la apropiación de cuentas (ATO) y al fraude.

Lista OWASP de amenazas automatizadas a las aplicaciones web

A continuación, se incluye la lista de amenazas automatizadas identificada y compilada por el Proyecto Automated Threats to Web Applications de OWASP.

  1. Agregación de cuentas. El objetivo de estos ataques es recopilar credenciales de cuentas de usuario de múltiples sitios o plataformas, a menudo con fines maliciosos como robo de identidad, fraude financiero o acceso no autorizado a información confidencial. Los ataques de agregación de cuentas se realizan mediante bots o scripts automatizados que imitan las interacciones humanas con varios servicios web o aplicações. 
  2. Creación de cuenta. Estos ataques involucran actores maliciosos que utilizan scripts automatizados o bots para crear un gran número de cuentas de usuario falsas en una plataforma o sitio web. Los atacantes pueden usar estas cuentas falsas para inundar la plataforma con contenido spam, anuncios o enlaces maliciosos, causando interrupciones y molestias a los usuarios legítimos. Las cuentas falsas también se pueden usar para manipular el sentimiento público y las reseñas/calificaciones en un sitio web o aplicação o hacerse pasar por usuarios reales o figuras públicas para difundir información errónea o causar daño a la reputación.  Esta amenaza también puede resultar en un fraude de apertura de nuevas cuentas, también conocido como fraude de primera parte, y tiene ramificaciones en todo el mundo digital .
  3. Fraude publicitario. También conocida como fraude de clics, esta amenaza implica actividades engañosas para falsificar el número de interacciones con anuncios en línea, como clics o impresiones. Estas acciones fraudulentas generalmente se realizan a través de bots o scripts automatizados y tienen como objetivo generar ingresos para los estafadores o manipular las métricas de rendimiento publicitario. 
  4. Derrota del CAPTCHA. Esta amenaza utiliza técnicas automatizadas para eludir los desafíos CAPTCHA y es una preocupación importante para la seguridad de las aplicação web, ya que permite a los actores maliciosos eludir una defensa común contra los bots. CAPTCHA (prueba de Turing pública completamente automatizada para distinguir computadoras de humanos) es un control de seguridad utilizado para distinguir entre usuarios humanos y bots o scripts automatizados. Los atacantes pueden usar software de reconocimiento de imágenes para resolver CAPTCHA visuales e implementar algoritmos de aprendizaje automático para resolver CAPTCHA auditivos y de rompecabezas. En algunos casos, los atacantes emplean solucionadores de CAPTCHA humanos que resuelven CAPTCHA manualmente en tiempo real. Si bien es un control de seguridad de uso común, el CAPTCHA se puede eludir e introduce fricción en la experiencia del cliente para los usuarios legítimos, lo que puede llevar al abandono de transacciones e ingresos.   
  5. Rotura de tarjeta. Se trata de un tipo de delito cibernético automatizado que implica adivinar o descifrar las características de seguridad de una tarjeta de pago, como el número de tarjeta, la fecha de vencimiento y el código de seguridad (CVV/CVC). El descifrado de tarjetas generalmente emplea ataques de fuerza bruta, donde bots o scripts automatizados prueban sistemáticamente numerosas combinaciones de detalles de tarjetas hasta que encuentran una combinación que coincida con una tarjeta válida. Una vez que se identifican los datos de una tarjeta válida, se pueden utilizar para diversas actividades ilegales, como realizar compras no autorizadas o cometer fraude financiero. El atacante puede tomar algunas tarjetas de regalo físicas descargadas de una tienda física para ver si el emisor de la tarjeta de regalo se basó en patrones de numeración secuencial. 
  6. Cardadura. Esta forma de delito cibernético automatizado implica el uso no autorizado de información de tarjetas de pago robadas para realizar transacciones o compras fraudulentas. Los delincuentes utilizan bots o scripts automatizados para probar los datos de tarjetas de crédito o débito robadas en varios sitios web o aplicações para identificar aquellos que aceptan la información robada. Una vez que los bots automatizados identifican objetivos vulnerables, utilizan la información de la tarjeta robada para realizar compras fraudulentas, a menudo de bienes o servicios digitales de alto valor, o transfieren el valor disponible a otras cuentas.  
  7. Retiro de efectivo. Se refiere a la conversión de activos ilíquidos o moneda virtual en fondos del mundo real o bienes tangibles. Esta amenaza suele aparecer tras ataques exitosos que resultan en el robo de activos valiosos de plataformas o cuentas en línea. Cuando los atacantes toman el control de las cuentas de usuario en aplicações web o plataformas en línea, pueden usar estas cuentas para retirar los activos del propietario de la cuenta, como tarjetas de regalo, puntos de fidelidad o moneda virtual. Los bots se utilizan a menudo para facilitar el cobro de dinero, ya que permiten a los ciberdelincuentes realizar estas actividades fraudulentas a gran escala y con eficiencia. 
  8. Craqueo de credenciales. Esta amenaza es un tipo de ataque de fuerza bruta que ataca los mecanismos de inicio de sesión de las aplicações web, como páginas de inicio de sesión, portales de cuentas de usuario o API de autenticación. El atacante utiliza la automatización para probar sistemáticamente combinaciones comunes de nombres de usuario y contraseñas hasta encontrar una que funcione para otorgar acceso no autorizado a las cuentas de usuario. Esto permite al atacante realizar actividades maliciosas, como robo de identidad, fraude financiero u otras acciones no autorizadas.  
  9. Credential stuffing. Una de las formas más comunes de amenazas a las aplicação web, el credential stuffing, se produce cuando los cibercriminales obtienen listas de pares de nombre de usuario y contraseña, a menudo comprados en la red oscura, e intentan usar el par de credenciales para obtener acceso a otras cuentas protegidas por inicio de sesión. Debido a que muchas personas reutilizan nombres de usuario y contraseñas, estos ataques (también llamados toma de cuentas) pueden ser notablemente efectivos y permitir a los delincuentes tomar el control de las cuentas de los usuarios para robar activos o cometer fraudes a terceros.  
  10. Negación de inventario. Este ataque se produce cuando los atacantes retiran de circulación mercancías de comercio electrónico mediante el uso de bots para agregar grandes cantidades de artículos a un carrito de compras, sin proceder al pago para comprarlos. Esta situación impide que otros compradores adquieran la mercancía porque el sistema registra una condición de falta de stock y también niega al proveedor la venta porque la compra nunca se concreta. Una variación de esta amenaza automatizada ocurre cuando se utilizan bots para hacer reservas o reservar habitaciones de hotel, mesas en restaurantes o asientos de avión sin completar el pago. 
  11. Denegación de servicio (DoS) y denegación de servicio distribuida (DDoS). Estos ataques son intentos maliciosos de interrumpir el funcionamiento normal de un sistema o red de destino, haciéndolo no disponible para usuarios legítimos. En un ataque DDoS, el atacante sobrecarga al objetivo con un volumen masivo de tráfico o solicitudes de recursos, lo que provoca sobrecargas en el servidor y deja el servicio inaccesible. Estos ataques pueden llevarse a cabo mediante diversos métodos, como inundar el objetivo con paquetes o enviar solicitudes especialmente diseñadas. Los ataques DoS y DDoS son similares, pero con DDoS el ataque involucra múltiples fuentes, generalmente coordinadas a través de botnets, que son una red de computadoras o dispositivos comprometidos bajo el control del atacante. El atacante coordina estas múltiples fuentes para lanzar simultáneamente el ataque contra el objetivo. Al aprovechar los recursos combinados de la botnet, el atacante puede generar una cantidad masiva de tráfico o solicitudes, abrumando la capacidad del sistema objetivo y provocando una denegación de servicio. Estos ataques pueden saturar las tablas de estado del firewall, los recursos de la CPU y el ancho de banda de la infraestructura. Un ataque DoS se puede ejecutar con una única solicitud bien diseñada a una aplicação web, por ejemplo, una consulta SQL compleja que da como resultado una alta degradación del rendimiento y del uso de la CPU.
  12. Acelerando. Esta amenaza implica el uso de bots o scripts automatizados para completar rápidamente una serie de procesos de aplicação , eludiendo las restricciones o controles normales existentes. Al automatizar procesos, los atacantes o usuarios maliciosos pueden obtener una ventaja injusta sobre otros usuarios legítimos. Esta actividad a menudo está asociada con el engaño y puede resultar en pérdidas para otras partes.  
  13. Toma de huellas dactilares. Los actores de amenazas utilizan la toma de huellas dactilares como técnica de recopilación de información para recopilar y analizar características o atributos únicos del navegador web o dispositivo de un usuario para crear una “huella dactilar” distintiva. Esto permite a los actores de amenazas identificar y rastrear a usuarios individuales en diferentes sitios web y plataformas en línea, o crear perfiles y posteriormente atacar una aplicação. 
  14. Huella. No se trata de una amenaza automatizada en sí misma, sino más bien de una fase preliminar de un proceso de piratería o de reconocimiento. La toma de huellas implica el uso de bots o scripts para recopilar información sobre la composición, configuración y mecanismos de seguridad de una aplicação web de destino, lo que permite a los atacantes planificar mejor los ataques posteriores, como el lanzamiento de exploits específicos para obtener acceso no autorizado o explotar vulnerabilidades específicas. 
  15. Scalping o acaparamiento de inventario. Se trata de una forma de automatización de compras en la que los atacantes utilizan bots para comprar grandes cantidades de bienes o servicios de inventario limitado en el momento en que salen a la venta en línea (pensemos en entradas para conciertos y zapatillas de edición limitada). Al completar el proceso de pago instantáneamente, los delincuentes obtienen el control masivo de un inventario valioso, que generalmente se revende en mercados secundarios con un margen de beneficio significativo, lo que genera escasez artificial, negación de inventario y frustración del consumidor.  
  16. Raspado. Aunque no es inherentemente malicioso, el scraping es el proceso automatizado de extracción de datos de sitios web o aplicações web. El scraping se convierte en una amenaza automatizada cuando se utiliza con fines no autorizados o maliciosos, como cuando se utilizan bots para recopilar contenido de un sitio web objetivo para analizarlo, reutilizarlo o manipular precios, especialmente en mercados competitivos. El raspado también puede afectar el rendimiento del sitio y evitar que usuarios legítimos accedan a él. 
  17. Sesgo. Esto ocurre cuando actores maliciosos hacen clic, solicitan o envían contenido repetidamente en una aplicação web, lo que afecta intencionalmente las métricas basadas en la aplicación, como recuentos, me gusta, impresiones, resultados de encuestas, frecuencia o tasas. La distorsión se puede realizar mediante bots automatizados que imitan el comportamiento humano para generar interacciones artificiales con la aplicação web. El objetivo de la distorsión es manipular y distorsionar los datos generados por las métricas basadas en aplicaciones, lo que genera resultados inexactos o engañosos. 
  18. Francotiradores. Se trata de un tipo de actividad maliciosa que implica el uso de bots o scripts automatizados para obtener una ventaja competitiva en subastas, ventas o sistemas de reserva en línea. El término “sniping” se usa comúnmente en el contexto de eventos cronometrados o artículos de disponibilidad limitada donde la velocidad y la sincronización precisa juegan un papel crucial, dejando tiempo insuficiente para que otro usuario haga una oferta. Los francotiradores permiten a los atacantes obtener una ventaja competitiva sobre los usuarios humanos que participan manualmente en el evento, ya que los bots pueden ejecutar acciones más rápido y con mayor precisión. 
  19. Envío de spam. Esto se refiere a contenido malicioso o información cuestionable distribuida por bots que aparece en contenido público o privado, bases de datos o mensajes de usuario en aplicações web. El contenido malicioso puede incluir malware, ventanas emergentes IFRAME, fotografías, videos, anuncios y códigos de seguimiento/vigilancia. Los atacantes también utilizan el spam para agregar comentarios falsos en foros y otras aplicaciones de mensajería para falsificar información o distribuir malware. 
  20. Craqueo de tokens. Este ataque automatizado es el resultado de que los delincuentes realicen una enumeración masiva de números de cupones, códigos de cupones y tokens de descuento. El beneficio recibido puede ser un descuento, una alternativa en efectivo, un crédito o acceso a una oferta especial.
  21. Escaneo de vulnerabilidades. Esta amenaza se refiere al uso de herramientas o scripts automatizados para identificar y explotar vulnerabilidades en aplicações web. A diferencia del escaneo de vulnerabilidades legítimo, cuyo objetivo es identificar debilidades con el fin de mejorar la seguridad, el escaneo de vulnerabilidades como amenaza automatizada se lleva a cabo con la intención maliciosa de comprometer la seguridad de la aplicación. Los delincuentes utilizan herramientas o scripts de escaneo automatizado para escanear sistemáticamente las aplicações expuestas en Internet, generalmente inmediatamente después de que se revela una vulnerabilidad. Una vez que se identifican las vulnerabilidades, los delincuentes intentan explotarlas para obtener acceso no autorizado a la aplicação, a los datos confidenciales o a la infraestructura del servidor subyacente. 

El caso de los controles de seguridad integrados

F5 aborda los riesgos de seguridad de OWASP

F5 apoya a la Fundación OWASP y su dedicación a mejorar la seguridad del software y generar conciencia sobre los riesgos y vulnerabilidades de seguridad de las aplicação web en múltiples niveles. De hecho, existen riesgos de seguridad comunes tanto a las aplicaciones web como a las API que deben tenerse en cuenta al implementar soluciones de seguridad. Por ejemplo: 

  • Controles de autorización o autenticación débiles
  • Configuración errónea
  • Abuso de la lógica de negocio (credential stuffing, apropiación de cuentas)
  • Server-Side Request Forgery (SSRF).

F5 ofrece soluciones para abordar los riesgos descritos en el Proyecto de Amenazas Automatizadas a Aplicações Web de OWASP. F5 Distributed Cloud Bot Defense previene el fraude y el abuso que pueden eludir las soluciones de gestión de bots existentes y brinda monitoreo e inteligencia en tiempo real, así como análisis retrospectivo basado en ML para proteger a las organizaciones de ataques automatizados, sin insertar fricción en el usuario ni interrumpir la experiencia del cliente. Distributed Cloud Bot Defense mantiene su eficacia independientemente de cómo los atacantes se reorienten, ya sea que los ataques pasen de aplicaciones web a API o intenten eludir las defensas antiautomatización falsificando la telemetría o utilizando solucionadores de CAPTCHA humanos. Las soluciones de gestión de bots de F5 proporcionan puntos de inserción flexibles desde servidores proxy de aplicação , plataformas y redes de distribución de contenido (CDN).

Las soluciones de firewall de aplicação web de F5 también bloquean y mitigan un amplio espectro de riesgos identificados por OWASP Top 10, una lista ampliamente reconocida de los riesgos de seguridad de aplicação web más críticos. Las soluciones F5 WAF combinan protecciones de firma y comportamiento, incluida inteligencia de amenazas de F5 Labs y seguridad basada en ML, para mantenerse al día con las amenazas emergentes. Alivia la carga y la complejidad de proteger de forma consistente las aplicações en entornos de nube, locales y perimetrales, al tiempo que simplifica la gestión a través de una infraestructura SaaS centralizada. Los WAF de F5 también optimizan la seguridad de las aplicaciones al integrar protecciones en los marcos de desarrollo y los canales de CI/CD con funcionalidad de seguridad centralizada, orquestación centralizada y supervisión a través de un único panel con una vista de 360 ​​grados del rendimiento de la aplicación y los eventos de seguridad en las aplicações distribuidas. Un WAF integrado con defensa contra bots especializada proporciona una solución sólida para mitigar los principales riesgos de seguridad, incluidas las vulnerabilidades y las amenazas automatizadas.  

F5 aborda los riesgos identificados en el Top 10 de seguridad de API de OWASP con soluciones que protegen la creciente superficie de ataque y las amenazas emergentes a medida que las aplicaciones evolucionan y aumentan las implementaciones de API. Las soluciones F5 Web Aplicação and API Protection (WAAP) defienden la totalidad de la superficie de ataque de las aplicaciones modernas con protecciones integrales que incluyen WAF, seguridad de API , mitigación de DDoS L3-L7 y defensa contra bots contra amenazas automatizadas y el fraude resultante. La plataforma distribuida simplifica la implementación de políticas consistentes y escala la seguridad en todo su patrimonio de aplicaciones y API, independientemente de dónde estén alojadas, e integra protecciones en el ciclo de vida de las API y en ecosistemas de seguridad más amplios.

F5 también ofrece protección DDoS de múltiples niveles para seguridad en línea avanzada como un servicio de mitigación administrado y distribuido en la nube que detecta y mitiga ataques a gran escala dirigidos a redes, protocolos y aplicaciones en tiempo real; las mismas protecciones también están disponibles como soluciones locales de hardware, software e híbridas. F5 Distributed Cloud DDoS Mitigation defiende contra ataques volumétricos y específicos de la aplicación de capa 3-4 y de capa 7 avanzados antes de que lleguen a su infraestructura de red y aplicações.