Es una realidad: No existe la aplicación invulnerable. Algunas tienen vulnerabilidades más críticas que otras tal y como descubrimos esta semana con el bug Heartbleed, pero cualquier aplicación puede ser explotada si eso es lo que quiere un atacante dedicado. De acuerdo al Cyber Risk Report 2013 de HP, sin embargo, las aplicaciones en sí no tienen la culpa de la mayoría de las vulnerabilidades, pero usted sí. HP compiló datos de 2,200 aplicaciones escaneadas por HP Fortify on Demand, y reporta que el 80% de las vulnerabilidades descubiertas no eran culpa del código de la aplicación.
“Muchas vulnerabilidades se encontraban relacionadas con la mala configuración del servidor, la mala configuración de los archivos, contenidos de muestra, versiones de software desactualizadas, y otros temas relacionados con un despliegue inseguro”, señala el reporte.
HP también investigó 180 aplicaciones iOS y Android con Fortify on Demand, y encontró que casi la mitad de ellas ponían en riesgo los datos y la información personal. Las plataformas iOS y Android tienen capacidades de cifrado, pero si los desarrolladores de las aplicaciones no las integran adecuadamente en las aplicaciones, el cifrado no podrá proteger los datos del dispositivo.
Este reporte es también una forma diferente de ilustrar que el usuario es el eslabón más débil de la cadena de seguridad, incluso cuando ese usuario es el administrador TI responsable de la configuración de los servidores. No importa cuán segura sea un sistema operativo o aplicación, puede ser socavado por un usuario que lo configure incorrectamente y lo deje así expuesto al riesgo.
Hay más información en el Cyber Risk Report 2013 de HP. La firma tiene algunas buenas noticias que parecen sugerir que las prácticas seguras de desarrollo están teniendo impacto. A pesar de la creciente atención en la búsqueda de vulnerabilidades, el número total de vulnerabilidades presentadas públicamente en el 2013 no varió en comparación al 2012, y hubo una caída en el número de vulnerabilidades de gran severidad por cuanto año consecutivo.
HP señala que la superficie de ataque disponible es mayor. Entre el BYOD, la revolución móvil y la Internet de las Cosas, los atacantes tienen muchas más opciones disponibles, ya no solo pueden dirigirse a un servidor o PC de escritorio. De acuerdo al reporte, enfrentar el tema de las aplicaciones maliciosas en los dispositivos móviles es un desafío, porque no hay una definición sobre qué califica como un malware móvil.
-Tony Bradley, PC World