El mundo de la seguridad es un tema que lleva con nosotros desde casi el inicio de la informática y cada vez cobra más importancia en el mundo empresarial. Las empresas gastan millones de euros anuales en todo tipo de seguridad informática para proteger sus activos y evitar que entren en sus sistemas para apropiarse o alterar sus contenidos.
¿Qué es OWASP?
En el año 2001 se creó la fundación OWASP (Open Web Application Security Project), cuyo objetivo es descubrir y evitar las causas por las que un software es inseguro. Es una organización sin ánimo de lucro formada por empresas y organizaciones de todo el mundo. Su tarea es la de trabajar juntos para crear documentos, artículos y herramientas de uso público para combatir las vulnerabilidades en el mundo del software.
Entre sus trabajos más importantes podemos encontrar:
- Guía OWASP, un vasto documento en el que explican las vulnerabilidades con un alto nivel de detalle.
- OWASP Top 10, en este documento encontraremos las 10 vulnerabilidades web más importantes para la comunidad OWASP. Suelen sacar ediciones cada cierto periodo de tiempo, ya que el top es cambiante.
- Métricas, se basa en definir métricas que podemos aplicar a nuestros proyectos web.
Al ser una empresa sin ánimo de lucro, su financiación depende básicamente de aportaciones de la Comunidad y sus donaciones. Actualmente es el referente en el mundo de la seguridad web a hora de tomar decisiones para hacer las aplicaciones web más seguras.
Top 10 2016 de los riesgos móviles
El Top 10 2016 ha sido creado a partir de la versión anterior (2015). Fue presentado después de 90 días de feedback con la Comunidad. El top 10 está ordenado de mayor a menor (M1 a M10), siendo el M1 el más importante para la Comunidad. El top quedaría de la siguiente manera:
- M1 – Uso inapropiado de la plataforma. Aquí nos encontramos en la categoría de malos usos de las características de la plataforma o fallos en el uso del control de seguridad de la plataforma. Esta vulnerabilidad trata de explotar una vulnerabilidad XSS a través de nuestro dispositivo móvil.
- M2 – Almacenamiento de datos inapropiado. En este caso nos encontramos en una categoría de robo de la información almacenada en un teléfono, pudiendo ocurrir por robo, pérdida o extracción del terminal. El objetivo es acceder a los datos almacenados en el teléfono. Por esta razón las aplicaciones no deben nunca guardar información sensible en el terminal.
- M3 – Comunicación insegura. Cuando comunicamos nuestros terminales con un servidor, la información es serializada y viaja a través de la red. Esto puede suponer un problema, ya que puede ser capturada por algún agente externo. Por eso no se debe asumir nunca que la red por la que viajará nuestra información es segura.
- M4 – Autenticación insegura. En esta categoría nos encontramos con la problemática de que la persona que quiere atacarnos ha encontrado algún tipo de vulnerabilidad relacionada con la autenticación, como puede ser que los desarrolladores asuman que solo los usuarios autenticados puedan usar su servicio de back-end.
- M5 – Criptografía insuficiente. Muy relacionado con el punto 3(M3). En este caso, los datos que viajan por la red no están bien encriptados y son fácilmente descifrados.
- M6 – Autorización insegura. Muy parecida a la M4 pero relacionada con los roles y los permisos.
- M7 – Calidad del código pobre. Esta categoría engloba varias carencias, ya que una calidad de código pobre puede ocasionar que nuestra aplicación pueda ser vulnerable a ataques.
- M8 – Código alterado. Esta vulnerabilidad se puede dar cuando tu aplicación está puesta en una app store de terceros y no se nos garantiza que puedan alterar nuestro código.
- M9 – Ingeniería inversa. El usuario se baja nuestra aplicación desde Google Play y saca el código fuente mediante ingeniería inversa. Pueden extraer, por ejemplo, el servidor de aplicaciones al que accede.
- M10 – Funcionalidad superflua. Parecida al anterior, pero esta vez busca encontrar funcionalidad oculta en la aplicación para utilizarla en su beneficio.
Conclusión
Los móviles han ocupado una parte muy importante en nuestra sociedad. Ya hace mucho tiempo que se superó el tráfico de red por móvil que por ordenador. Como desarrolladores, tenemos la obligación de intentar hacer el acceso desde estos dispositivos lo más seguro posible.
Si quieres formarte en ciberseguridad, contacta con nuestro equipo.