Hace dos semanas, publicamos un artículo en nuestro blog en el que te explicábamos 5 vulnerabilidades que son bastante habituales en las páginas web de las empresas. Sin embargo, la lista es mucho más extensa, y por eso en el artículo de hoy te contamos 5 vulnerabilidades más, muy habituales en páginas web corporativas que sin duda deberías conocer.
Como ya explicamos en el artículo previo, las garantías totales no existen en el ámbito de la ciberseguridad. Cada vez son más los métodos y artimañas que los ciberdelincuentes emplean para acceder a los sistemas y equipos de las organizaciones, y cometer fraudes.
Pero, sin más preámbulos, vamos a entrar en las 5 vulnerabilidades web restantes que los ciberdelincuentes pueden explotar:
Inyección:
Esta se produce cuando un ciberdelincuente tiene la capacidad de enviar datos dañinos a un intérprete. La única medida que se puede tomar para prevenir esto, es establecer API con un nivel de seguridad óptimo, y fijar controles de verificación a la hora de introducir los datos.
A partir de este año, el Cross-site Scripting se incluye dentro de esta categoría de ciberdelitos. Entre los muchos riesgos que puede tener esto, destacan:
- Exposición y potencial modificación de datos sensibles por parte de un ciberdelincuente.
- Toma del control del servidor por parte del ciberdelincuente.
Configuración de seguridad defectuosa:
Algunas de las puertas de entrada más utilizadas por ciberdelincuentes son cuentas guardadas por defecto, versiones obsoletas con vulnerabilidades que no se han actualizado, directorios desprotegidos, etc. Debido a esto, una buena opción es la de evitar usar credenciales por defecto en los distintos accesos, ya sea en nuestro servidor, en aplicaciones, o en dispositivos.
Si no lo hacemos, estaremos favoreciendo que el ciberdelincuente obtenga un acceso no autorizado a nuestros sistemas y equipos.
Fallos de identificación y autenticación:
Esta vulnerabilidad se da cuando en las interfaces de acceso no existe un control de número de intentos de autenticación, las contraseñas son demasiado simples, o no se implanta un sistema multifactor 2FA. Se trata de la oportunidad perfecta para un ciberdelincuente, dado que este puede intentar llevar a cabo ataques de fuerza bruta o de diccionario para ingresar en él, especialmente cuando tu aplicación acepta contraseñas débiles.
Fallos en el registro y la supervisión de la seguridad:
La ausencia de registros sobre los eventos, los llamados logs (ya sea en la aplicación o en el sistema), etc. pueden ser también un foco de vulnerabilidades. Estas vienen provocadas por:
- Desconocimiento sobre inicios de sesión no autorizados.
- Desconocimiento sobre las acciones de un ciberdelincuente en nuestro sistema.
Falsificación de Solicitud del Lado del Servidor:
Si nuestra aplicación web obtiene un recurso externo, y este no valida la URL, un ciberdelincuente podría realizar modificaciones sobre ella con fines malintencionados, y llevar a cabo peticiones que no han sido autorizadas por el departamento.
En otras palabras, el ciberdelincuente podría:
- Robar datos sensibles de la empresa
- Acceder a sistemas internos de la empresa
Ahora ya conoces otras 5 vulnerabilidades muy habituales en páginas web corporativas. Si necesitas ayuda para afrontar alguno de estos problemas, o simplemente buscas asesoramiento, te recomendamos que contactes con nuestro equipo de especialistas.