5 vulnerabilidades que podría tener el sitio web de tu organización (Parte 2)
2 marzo, 2022

Hace dos semanas, publicamos un artículo en nuestro blog en el que te explicábamos 5 vulnerabilidades que son bastante habituales en las páginas web de las empresas. Sin embargo, la lista es mucho más extensa, y por eso en el artículo de hoy te contamos 5 vulnerabilidades más, muy habituales en páginas web corporativas que sin duda deberías conocer.

Como ya explicamos en el artículo previo, las garantías totales no existen en el ámbito de la ciberseguridad. Cada vez son más los métodos y artimañas que los ciberdelincuentes emplean para acceder a los sistemas y equipos de las organizaciones, y cometer fraudes.

Pero, sin más preámbulos, vamos a entrar en las 5 vulnerabilidades web restantes que los ciberdelincuentes pueden explotar:

Inyección:

Esta se produce cuando un ciberdelincuente tiene la capacidad de enviar datos dañinos a un intérprete. La única medida que se puede tomar para prevenir esto, es establecer API con un nivel de seguridad óptimo, y fijar controles de verificación a la hora de introducir los datos.

A partir de este año, el Cross-site Scripting se incluye dentro de esta categoría de ciberdelitos. Entre los muchos riesgos que puede tener esto, destacan:

  • Exposición y potencial modificación de datos sensibles por parte de un ciberdelincuente.
  • Toma del control del servidor por parte del ciberdelincuente.
Configuración de seguridad defectuosa:

Algunas de las puertas de entrada más utilizadas por ciberdelincuentes son cuentas guardadas por defecto, versiones obsoletas con vulnerabilidades que no se han actualizado, directorios desprotegidos, etc. Debido a esto, una buena opción es la de evitar usar credenciales por defecto en los distintos accesos, ya sea en nuestro servidor, en aplicaciones, o en dispositivos.

Si no lo hacemos, estaremos favoreciendo que el ciberdelincuente obtenga un acceso no autorizado a nuestros sistemas y equipos.

Fallos de identificación y autenticación:

Esta vulnerabilidad se da cuando en las interfaces de acceso no existe un control de número de intentos de autenticación, las contraseñas son demasiado simples, o no se implanta un sistema multifactor 2FA. Se trata de la oportunidad perfecta para un ciberdelincuente, dado que este puede intentar llevar a cabo ataques de fuerza bruta o de diccionario para ingresar en él, especialmente cuando tu aplicación acepta contraseñas débiles.

Fallos en el registro y la supervisión de la seguridad:

La ausencia de registros sobre los eventos, los llamados logs (ya sea en la aplicación o en el sistema), etc. pueden ser también un foco de vulnerabilidades. Estas vienen provocadas por:

  • Desconocimiento sobre inicios de sesión no autorizados.
  • Desconocimiento sobre las acciones de un ciberdelincuente en nuestro sistema.
Falsificación de Solicitud del Lado del Servidor:

Si nuestra aplicación web obtiene un recurso externo, y este no valida la URL, un ciberdelincuente podría realizar modificaciones sobre ella con fines malintencionados, y llevar a cabo peticiones que no han sido autorizadas por el departamento.

En otras palabras, el ciberdelincuente podría:

  • Robar datos sensibles de la empresa
  • Acceder a sistemas internos de la empresa

Ahora ya conoces otras 5 vulnerabilidades muy habituales en páginas web corporativas. Si necesitas ayuda para afrontar alguno de estos problemas, o simplemente buscas asesoramiento, te recomendamos que contactes con nuestro equipo de especialistas.

Comparte este artículo

Publicaciones Relacionadas

En qué consiste un modelo Zero Trust

En qué consiste un modelo Zero Trust

Hace años, las necesidades de las empresas en materia de ciberseguridad eran muy básicas. Por aquel entonces, cualquier empleado encendía su equipo (que permanecía estático en su puesto de trabajo de forma permanente), introducía su usuario y contraseña, y podía acceder a prácticamente toda la información de la compañía.

Protección para el usuario en fechas de compra masiva

Protección para el usuario en fechas de compra masiva

Durante las últimas semanas, hemos sido testigos de dos de las fechas más importantes en todo lo referente a ventas online. Concretamente, Black Friday y Cyber Monday, dos celebraciones de origen estadounidense que traen consigo un innumerable número de ofertas y descuentos en prácticamente todas las tiendas online.

Browser in the browser, la nueva técnica de phishing que amenaza tu equipo

Browser in the browser, la nueva técnica de phishing que amenaza tu equipo

A estas alturas, prácticamente todos los lectores de nuestro blog estáis familiarizados con el término phishing. Aunque esta técnica de hacking ya es relativamente fácil de detectar para la mayoría de usuarios (ya sea porque estos han sido víctimas de ella previamente, o porque algún conocido suyo lo ha sido), a menudo aparecen nuevas versiones de esta que pueden sorprender al usuario.

3 de los vectores de ataque más utilizados por ciberdelincuentes

3 de los vectores de ataque más utilizados por ciberdelincuentes

Los errores y las brechas de información llevan existiendo desde la fase más prematura de internet. No obstante, conforme avanzan las nuevas tecnologías, lo mismo sucede con los ciberataques y las distintas vías y artimañas que los ciberdelincuentes emplean para atacar a sus víctimas, además de los vectores de ataque.

¿Quieres estar al día de nuestras publicaciones?

    Buscar

    Categorías

    Ir al contenido