A los equipos de Seguridad les cuesta seguir el ritmo al que evolucionan las amenazas toda vez que los sitios a los que protegen están basados en aplicaciones que no están debidamente protegidas.
Esto lo señala el informe Estado de la seguridad de las aplicaciones de 2024, publicado la empresa de soluciones para ambientes de nube, Cloudflare, en el cual se destaca que la cantidad de amenazas derivadas de problemas en la cadena de suministros de software, el aumento de los ataques de denegación de servicio distribuido (DDoS) y los bots maliciosos, a menudo exceden los recursos disponibles para los equipos de ciberseguridad dedicados a dichas aplicaciones.
En el documento se afirma que mundo digital de hoy funciona gracias a aplicaciones web y API. Estas permiten que los sitios de comercio electrónico procesen pagos, los sistemas de salud compartan datos de pacientes de manera segura y podamos realizar distintas operaciones en nuestros teléfonos. Sin embargo, señala, “a medida que nos hacemos más dependientes de esas aplicaciones, más se expande la superficie de ataques”.
Lo anterior, según este informe, se potencia con la necesidad de los desarrolladores de aplicar nuevas funcionalidades como las herramientas de Inteligencia Artificial generativa. “Si no se protege adecuadamente, una aplicación vulnerable puede convertirse en el origen de una falla operativa, pérdidas financieras o hasta el colapso de la infraestructura de una compañía”.
De las conclusiones clave del informe Estado de la seguridad de las aplicaciones de 2024, de Cloudflare, se mencionan las siguientes:
- Los ataques DDoS siguen aumentando en cantidad y magnitud: el vector DDoS sigue siendo el más aprovechado por los atacantes que buscan vulnerar aplicaciones web y API, hablamos del 37.1 % de todo el tráfico de aplicaciones mitigado por Cloudflare. Las industrias más apuntadas fueron las de juegos y apuestas, TI e Internet, criptomonedas, software informático y marketing y publicidad.
- Crear parches y anticiparse: la carrera entre defensores y atacantes se acelera: Cloudflare observó las explotaciones más rápidas hasta el momento de vulnerabilidades zero-day, de las cuales una ocurrió solo 22 minutos después de que se publicara su prueba de concepto (PoC).
- Los bots maliciosos están fuera de control: un tercio (31.2%) de todo el tráfico proviene de bots, y la mayoría de ellos (93%) no están verificados y pueden ser maliciosos. Las industrias más afectadas fueron las de productos manufacturados y de consumo, criptomonedas, seguridad de redes y computadoras y el gobierno federal de los Estados Unidos.
- Las empresas tienen estrategias de seguridad desactualizadas para proteger sus API: las reglas del firewall de aplicaciones web (WAF) tradicional que siguen un modelo de seguridad negativo (basado en la suposición de que la mayoría del tráfico web es benigno) son la opción más recurrente a la hora de proteger el tráfico de las API. Muy pocas empresas aplican las prácticas recomendadas más aceptadas de seguridad para API, que están basadas en un modelo de seguridad positivo (definiciones estrictas a la hora de permitir o rechazar tráfico).
- La dependencia de software de terceros supone cada vez más riesgos: las empresas usan un promedio de 47.1 piezas de código provistas por terceros y establecen un promedio de 49,6 conexiones salientes a recursos de estos para mejorar el rendimiento y la eficiencia de sus sitios web, por ejemplo, al usar los servicios Analytics o Ads de Google. Pero, como el desarrollo web permite cada vez más el uso de códigos de terceros y que se ejecuten funciones de estos en los navegadores de los usuarios, las cadenas de suministros de las empresas están cada vez más expuestas a riesgos y problemas, a la vez que se descuida el cumplimiento normativo.
Cabe señalar que este informe se basa en patrones de tráfico agregados que Cloudflare detectó desde el 1 de abril de 2023 y el 31 de marzo de 2024 en su red global. Los datos y la información sobre amenazas recopilados de la red de Cloudflare se complementan con fuentes de terceros, los cuales están citados en el informe.
