Want to make creations as awesome as this one?

Transcript

Profesor: Ing. Johel Solano Quiros

Seguridad de Aplicaciones Web

By: Minor Mena Viquez Melany Cespedes Carvajal & Jean Carlo Lobo Aguilar

Los desafíos son constantes, ya que los cibercriminales no cesan de desarrollar nuevas técnicas para explotar vulnerabilidades. Ataques como inyecciones SQL, scripts entre sitios, denegación de servicio y fuerza bruta son algunas de las amenazas a las que se enfrentan las aplicaciones web. Mantener la seguridad es una tarea cada vez más compleja debido a la rápida evolución tecnológica y la sofisticación creciente de los ataques cibernéticos.

¿Qué es la seguridad en aplicaciones web y cuales son sus desafios?

La seguridad en aplicaciones web es una prioridad crucial en el entorno digital actual. Estas aplicaciones gestionan grandes volúmenes de datos delicados, por lo que su protección es ese ncial para evitar brechas de seguridad, robos de información y daños a la reputación empresarial

Los errores siempre aparecen en el peor momento. Cuando se descubre una falla de seguridad en una aplicación web, suele ser cuando más usuarios la están utilizando.Las vulnerabilidades de seguridad son difíciles de encontrar, pero fáciles de aprovechar. Los desarrolladores de aplicaciones web invierten mucho tiempo y esfuerzo en crear aplicaciones seguras. Sin embargo, es muy fácil pasar por alto pequeñas vulnerabilidades que los atacantes pueden aprovechar fácilmente.Los atacantes siempre buscan nuevas formas de explotar las vulnerabilidades. Los atacantes son muy creativos y constantemente buscan nuevas maneras de aprovechar las fallas de seguridad en las aplicaciones web.

Ley de Murphy aplicada a la SeguridadConcepto de la ley de Murphy

También conocida como Leyes de Murphy, es un principio que dice que "si algo puede salir mal, saldrá mal".

Relación entre la Ley de Murphy y la seguridad de aplicaciones web

Ingeniería Social: Atacantes engañan a usuarios para que revelen contraseñas o hagan clic en enlaces maliciosos, aprovechando la psicología humana.

Ataques Avanzados y Difíciles de Prevenir Vulnerabilidades "Zero-Day": Atacantes encuentran fallas desconocidas en software popular, que no tienen parche, para atacar a muchos usuarios.

Configuraciones Erróneas: Fallos poco comunes en la configuración del servidor web dan acceso a información confidencial

Fallos Sutiles, Grandes Consecuencias Validación de Entrada Débil: Desarrolladores que olvidan revisar bien los formularios web, permitiendo inyección de código malicioso.

Sistemas Desactualizados: Organizaciones que no actualizan software a tiempo dejan expuestas vulnerabilidades que los atacantes aprovechan.

Ejemplos de cómo se aplica la Ley de Murphy en incidentes de seguridad web

Problemas CríticosVulnerabilidades al Lanzamiento: Cuando se lanzan aplicaciones web con fallos de seguridad, justo cuando tienen mayor uso, se amplifica el impacto.

  • Advertir a los desarrolladores:
  • Peligros en Internet.
  • Errores comunes al diseñar y crear software y hardware.
  • Ofrecer herramientas gratuitas:
  • Analizar la seguridad de software y dispositivos.
Origen y objetivos de OWASP

Definición de OWASP

OWASP, que significa Open Web Application Security Project, un proyecto de código abierto que se convirtió en una fundación sin fines de lucro, fundado en 2001 y convertido en fundación en 2004.

OWASP Juice Shop

Aplicación web insegura para entrenamiento de pruebas de seguridad.

OWASP AppSensor

Marco para detectar y responder a ataques en aplicaciones web.

OWASP WebGoat

Aplicación web insegura para practicar la detección de vulnerabilidades.

OWASP ZAP

Herramienta gratuita para encontrar vulnerabilidades en aplicaciones web.

OWASP Top 10

Lista de las 10 vulnerabilidades web más importantes.

Principales proyectos y recursos ofrecidos por OWASP

Comunidad global

De profesionales y entusiastas de la seguridad que comparten conocimientos, experiencias y soluciones

Herramientas y recursos

Ofrece recursos de código abierto para ayudar a los desarrolladores a detectar y mitigar vulnerabilidades en sus aplicaciones

Mejores prácticas y pautas de seguridad

Promueve una serie de mejores prácticas y pautas para el desarrollo seguro de aplicaciones.

Impacto de OWASP en la seguridad de las aplicaciones web

Concientización sobre las amenazas

Educa a desarrolladores, profesionales de la seguridad y otros interesados sobre la importancia de la seguridad de las aplicaciones.

Iniciativas destacadas de OWASP incluyen el informe OWASP Top 10, que enumera los principales riesgos para las aplicaciones web, y el desarrollo de herramientas y proyectos de código abierto utilizados a nivel global.

OWASP proporciona recursos educativos, informes de investigación, proyectos de código abierto y eventos, fomentando el intercambio de conocimientos en ciberseguridad.

Elabora recomendaciones para el desarrollo seguro de aplicaciones web, abordando problemas comunes como inyecciones SQL o ataques de cross-site scripting

OWASP ofrece escáneres de vulnerabilidades, proxies web y otras herramientas de análisis ampliamente utilizadas en la industria de ciberseguridad

OWASP es una organización clave en la mejora de la seguridad de las aplicaciones web. Proporciona una amplia gama de recursos y herramientas para ayudar a empresas, desarrolladores y expertos en seguridad a identificar y mitigar vulnerabilidades. Entre sus principales funciones se encuentran:

Usos de OWASP

Herramientas de prueba y evaluación:

Directrices y mejores prácticas:

Contribución a la comunidad:

Hackers de Sombrero Blanco Descubren vulnerabilidades para reportarlas a desarrolladores y mejorar la seguridad. Se consideran aliados de la seguridad informática.Hackers de Sombrero GrisOperan en una zona gris, pueden usar sus habilidades para fines buenos o malos.A veces reportanvulnerabilidades, otras veces las explotan para beneficio personal.Hackers de Sombrero Negro Se asocian con actividades maliciosas como robo de datos, malware y ataques DDoS.Ingresan a sistemas con intenciones dañinas. HacktivistasUsan habilidades informáticas para promover causas sociales o políticas.Pueden hackear sitios web gubernamentales o corporativos. Hackers Script KiddiesPrincipiantes que usan herramientas preexistentes para ataques.Carecen de conocimientos técnicos y pueden causar daños involuntarios.

Perfil

Formas de Pensar de un Hacker

Motivaciones

Formas de Pensar de un Hacker

Búsqueda de EmocionesAlgunos hackers les atrae el desafío y la adrenalina de irrumpir en sistemas.Disfrutan de superar obstáculos y poner a prueba sus habilidades.Ganancia FinancieraOtros buscan beneficios económicos robando información confidencial.Pueden vender datos en el mercado negro o extorsionar a víctimas.Fama y ReconocimientoAlgunos quieren reconocimiento dentro de la comunidad hacker.Pueden publicar sus hazañas en foros o participar en concursos.Ideología o ActivismoLos hacktivistas están motivados por creencias políticas o sociales.Quieren usar habilidades informáticas para crear conciencia o causar cambio.Curiosidad y AprendizajeAlgunos sienten curiosidad por cómo funcionan los sistemas.La piratería puede ser una forma de explorar y experimentar con tecnología.

Escaneo y EnumeraciónIdentificar puertos abiertos, determinar servicios y buscar vulnerabilidades.Análisis de RedesCapturar tráfico, examinar protocolos y mapear interconexiones.Ingeniería SocialEnviar mensajes engañosos, dirigidos o crear historias falsas.Ataques de Fuerza BrutaProbar contraseñas comunes, todas las combinaciones o credenciales robadas.Explotación de Vulnerabilidades En software, hardware y configuraciones incorrectas.

Técnicas comunes utilizadas por los hackers en la identi-ficación de vulnerabilidades

Inyección SQL en Heartland (2008)Robo de datos de 130 millones de tarjetas de crédito.Uno de los mayores y más costosos ataques de violación de datos.XSS en Twitter (2013)Permitió a atacantes controlar cuentas de usuarios.Demostró la gravedad de vulnerabilidades XSS.Ataque DDoS a GitHub (2018)Interrumpió el sitio web durante horas.Evidenció la necesidad de seguridad contra ataques DDoS.Cadena de Suministro en SolarWinds (2020)Malware insertado en software de la empresa.Uno de los ataques más sofisticados y de gran alcance.Ransomware a Colonial Pipeline (2021)Cifró sistemas, interrumpiendo infraestructura crítica.Mostró el impacto de ataques de ransomware.

Casos de estudio de ataques exitosos a aplicaciones web

  • Explotación de vulnerabilidades conocidas: Los atacantes aprovechan fallos conocidos para robar datos o tomar el control de la aplicación.
  • Ganancias financieras: Robo de información de tarjetas de crédito, secuestro de cuentas o fraude en línea.
Objetivos de los ataques a aplicaciones web

Por qué se Atacan las Aplicaciones Web

  • Obtención de información confidencial: Información como contraseñas y tarjetas de crédito.
  • Toma de control: Ataques para modificar o eliminar datos, realizar transacciones no autorizadas o tomar el control del servidor.
  • Interrupción del servicio: Ataques para hacer que la aplicación no esté disponible para los usuarios.

Reputacional:

  • Pérdida de confianza de clientes, socios y el público.
  • Daño a la imagen y reputación de la marca.
  • Afectación a las relaciones comerciales y retención de clientes.

Económico:

  • Pérdidas financieras directas (robo, restauración, costos legales).
  • Pérdida de ingresos por interrupciones del servicio.
  • Daño a la productividad.

Impacto económico y reputacional de los ataques

  • Explotación de vulnerabilidades emergentes: Los atacantes buscan explotar vulnerabilidades en aplicaciones de contenedores, tecnologías de servidor sin servidor, inteligencia artificial y aprendizaje automático
  • Enfoque en la cadena de suministro de software: Los atacantes buscan comprometer componentes y dependencias de terceros utilizados en aplicaciones web.
  • Aumento de ataques automatizados: Por parte de los atacantes para escanear y explotar vulnerabilidades en aplicaciones web a gran escala.
  • Enfoque en APIs y servicios web: Los atacantes han dirigido su atención a las API y servicios web, buscando vulnerabilidades.
  • Ataques de inyección avanzados: Los ataques de inyección (SQL, comandos) siguen siendo un peligro importante. Los atacantes utilizan técnicas avanzadas para evadir las defensas tradicionales.

Tendencias y evolución de las amenazas a las aplicaciones web

Seguridad en aplicaciones web emergentes: Desarrollar enfoques de seguridad adaptados a tecnologías como aplicaciones web progresivas y de internet de las cosas.

Seguridad centrada en el desarrollador: Buscar formas de integrar la seguridad en el ciclo de desarrollo de software.

Impacto de regulaciones y marcos de seguridad: Estudiar cómo las organizaciones pueden cumplir con requisitos legales y de seguridad.

Áreas para investigaciones futuras.

Técnicas de ataques emergentes: Analizar vulnerabilidades en tecnologías emergentes como la nube, contenedores e inteligencia artificial, y cómo los atacantes están adaptando sus métodos.

Seguridad en APIs y servicios web: Investigar vulnerabilidades específicas de estas arquitecturas y su impacto en la seguridad de las aplicaciones.

Seguridad en la cadena de suministro de software: Estudiar los desafíos y mejores prácticas para asegurar el uso de componentes de terceros, incluyendo enfoques innovadores de verificación.

Automatización de ataques y defensa: Explorar el papel de la IA y el aprendizaje automático para detectar y mitigar amenazas de manera automatizada.

¡Gracias por su atención!