Seguridad

El ‘código oculto’ genera riesgo para el 99 % de los sitios web

El código oculto (scripts y bibliotecas de terceros que a menudo se agregan a las aplicaciones web sin validación de seguridad) presenta riesgos para los sitios web y pone en peligro el cumplimiento de las normas de privacidad, según una nueva investigación publicada el martes.

El código de terceros deja a las organizaciones vulnerables a los ataques de robo digital y Magecart, también señalaron los investigadores.

El estudio, realizado por Osterman Research para PerimeterX, encontró que más del 50 por ciento de los profesionales de la seguridad y los desarrolladores encuestados creían que existía cierto o mucho riesgo al usar código de terceros en sus aplicaciones.

Los encuestadores también encontraron una mayor preocupación entre los encuestados por los ataques cibernéticos en sus sitios web. El año pasado, el 45 por ciento de los encuestados tenían una gran preocupación acerca de que sus puestos avanzados de Internet fueran atacados por piratas informáticos; este año ese número saltó al 61 por ciento.

La preocupación por los ataques a la cadena de suministro también aumentó, del 28 por ciento en 2020 al 50 por ciento en 2021. La ansiedad por los ataques de Magecart también aumentó significativamente desde el año pasado, en un 47 por ciento. Magecart, o descremado electrónico, es una forma de fraude en la que se interceptan datos de transacciones durante el pago de una tienda en línea.

Equilibrar el riesgo y la eficiencia

Los desarrolladores usan código de terceros por varias razones.

“Está fácilmente disponible”, dijo Brian Uffelman, vicepresidente de marketing de productos de PerimeterX, un proveedor de servicios de seguridad web en San Mateo, California.

“Hay una suposición incorrecta de que si está disponible y es de código abierto, es seguro”, dijo a TechNewsWorld.

“Están confiando en que el código fuente abierto que están usando, o las bibliotecas que están usando, son seguras”, continuó. “Lo que encontramos es que ese no es el caso”.

“A menudo, están tratando de equilibrar la eficiencia con el riesgo”, agregó.

Jonathan Tanner, investigador sénior de seguridad en Barracuda Networks, un proveedor de soluciones de seguridad y almacenamiento con sede en Campbell, California, explicó que las bibliotecas juegan un papel importante en el desarrollo de aplicaciones, ya que proporcionan una funcionalidad que llevaría mucho tiempo desarrollar y en muchos casos, sería más propenso a posibles errores y vulnerabilidades si se desarrollara internamente.

“Hay un adagio común de no reinventar la rueda cuando se trata de desarrollo, lo que no solo ahorra tiempo de desarrollo sino que también permite un mayor nivel de complejidad en las aplicaciones como resultado”, dijo a TechNewsWorld.

Problemas de cortejo

Tanner agregó que, en algunos casos, las bibliotecas de terceros pueden ser incluso más seguras que el código escrito por equipos de desarrollo internos, incluso si se descubren vulnerabilidades en las más reputadas.

“Si incluso la biblioteca de mayor reputación mantenida potencialmente por cientos de expertos en los detalles específicos de lo que hace la biblioteca puede tener vulnerabilidades, tratar de construir y mantener la misma funcionalidad internamente con un pequeño equipo de desarrolladores que probablemente no sean expertos en la funcionalidad podría potencialmente ser desastroso”, observó.

“Ciertamente hay mucho valor en la utilización de bibliotecas preexistentes como resultado, no solo desde una perspectiva de ahorro de tiempo sino también desde una perspectiva de seguridad”, dijo.

Los equipos de desarrollo quieren sacar los productos lo más rápido posible, observó Sandy Carielli, analista principal de Forrester Research.

“Muchos componentes de código abierto y de terceros les permitirán agregar funcionalidades básicas y enfocarse en algunos de los aspectos diferenciadores más sofisticados del producto”, dijo a TechNewsWorld.

“El desafío es que si no sabe cuáles son esos componentes de terceros que se llaman, puede encontrarse en un montón de problemas”, dijo.

“Si las empresas modernas quieren que las características y la funcionalidad se entreguen de manera rápida y económica, inevitablemente tendrá el costo de no poder hacer algo, o muchas cosas, de la manera correcta”, agregó Caitlin Johanson, directora del Centro de seguridad de aplicaciones. of Excellence at Coalfire, un proveedor de servicios de asesoramiento en seguridad cibernética en Westminster, Colorado.

“Seríamos ingenuos si pensáramos que la velocidad a la que se entregan nuevas aplicaciones y funciones a nuestro mundo dependiente de la tecnología se logra sin que se tomen atajos”, dijo a TechNewsWorld.

Negocio riesgoso

Hay innumerables riesgos que el código sombra puede representar para las organizaciones, sostuvo Taylor Gulley, consultor sénior de seguridad de aplicaciones de nVisium, un proveedor de seguridad de aplicaciones con sede en Falls Church, Virginia.

“Uno es ser el potencial de un compromiso total de la aplicación y los datos dentro de esa aplicación”, dijo a TechNewsWorld.

“Además de los riesgos técnicos”, continuó, “los riesgos para la reputación podrían ser catastróficos si se introduce una vulnerabilidad en su aplicación como resultado de una biblioteca de terceros no examinada”.

Cuando una organización no tiene visibilidad del código fuente abierto que está utilizando, también pueden surgir riesgos de licencia.

“Un componente de código abierto podría tener una licencia restrictiva”, explicó Carielli de Forrester.

“De repente, agregó un componente a su código que requiere que abra el código fuente de toda la aplicación”, continuó. “Ahora su organización está en riesgo porque todo su código propietario debe ser de código abierto”.

ampliamente utilizado

Los investigadores de Osterman también descubrieron que el uso de código de terceros está muy extendido en Internet. Casi todos los que respondieron a su encuesta (99 por ciento) informaron que sus sitios web usaban al menos un script de terceros.

Aún más revelador fue el hallazgo de que el 80 por ciento de los encuestados dijeron que los scripts de terceros constituían entre el 50 y el 70 por ciento de sus sitios web.

“Si bien no ha habido muchos estudios formales sobre la prevalencia del código sombra, podemos suponer que es muy frecuente debido al uso generalizado de JavaScript en la mayoría de los sitios web y la gran cantidad de bibliotecas de JavaScript disponibles”, observó Kevin Dunne, presidente de Pathlock, un proveedor de orquestación de acceso unificado en Flemington, NJ

“Hay más de un millón de proyectos de código abierto de JavaScript conocidos en GitHub, lo que presenta un desafío insuperable para que los equipos de seguridad los revisen y evalúen manualmente”, dijo a TechNewsWorld.

Agregó que si el código sombra permite que un tercero sin saberlo vea datos en el sitio de una organización, probablemente ponga a la organización en riesgo de mantener el cumplimiento de GDPR o CCPA, porque un procesador de datos desconocido está viendo datos sin una divulgación pública.

“Esto puede resultar en millones de dólares en posibles multas para una organización que debe mantener este tipo de cumplimiento de privacidad de datos”, explicó.

El código oculto es definitivamente un problema creciente y un problema del que mucha gente no se da cuenta, añadió Christian Simko, director de marketing de productos de GrammaTech, un proveedor de soluciones de pruebas de seguridad de aplicaciones con sede en Bethesda, Maryland.

“El código personalizado se está reduciendo y el uso de código de terceros está creciendo”, dijo a TechNewsWorld. “Si no está administrando correctamente la base de código que está utilizando, podría estar insertando vulnerabilidades en su software sin saberlo”.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba