En este mundo cada vez más caótico, siempre ha habido algunas constantes con las que se puede contar de forma fiable: El sol saldrá por la mañana y se pondrá de nuevo por la noche, Mario siempre será más guay que Sonic the Hedgehog, y los ataques de inyección siempre ocuparán el primer puesto en la lista del Open Web Application Security Project (OWASP) de las diez vulnerabilidades más comunes y peligrosas que los atacantes están explotando activamente.

Bueno, el sol saldrá mañana, y Mario todavía tiene "una ventaja" sobre Sonic, pero los ataques de inyección han caído del puesto número uno en la infame lista OWASP, actualizada en 2021. Las vulnerabilidades de inyección, una de las formas más antiguas de ataque, existen desde hace casi tanto tiempo como las redes informáticas. La vulnerabilidad general es responsable de una amplia gama de ataques, que incluyen desde las tradicionales inyecciones SQL hasta los exploits lanzados contra las bibliotecas de navegación de gráficos de objetos (OGNL). Incluso incluye ataques directos contra servidores que utilizan técnicas de inyección de comandos del sistema operativo. La versatilidad de las vulnerabilidades de inyección para los atacantes -sin mencionar el número de lugares que podrían ser potencialmente atacados- ha mantenido esta categoría en el primer lugar durante muchos años.

Pero el rey de la inyección ha caído. Larga vida al rey. 

¿Significa eso que por fin hemos resuelto el problema de la vulnerabilidad a las inyecciones? Ni mucho menos. No cayó muy lejos de su posición como enemigo de seguridad número uno, sólo bajó al número tres en la lista de OWASP. Sería un error subestimar los continuos peligros de los ataques de inyección, pero el hecho de que otra categoría de vulnerabilidad haya sido capaz de superarla es significativo, porque muestra lo extendido que está el nuevo enemigo número uno de OWASP, y por qué los desarrolladores deben prestarle mucha atención en el futuro.

Sin embargo, lo más interesante es que el Top 10 2021 de OWASP refleja una revisión significativa, con nuevas categorías que hacen su debut: Diseño inseguro, Fallos de integridad de software y datos, y una entrada basada en los resultados de la encuesta de la comunidad: Falsificación de solicitudes del lado del servidor. Todo ello apunta a una mayor atención a las vulnerabilidades arquitectónicas y a ir más allá de los fallos superficiales para el punto de referencia en la seguridad del software.

El control de acceso roto se lleva la corona (y revela una tendencia)

El control de acceso roto se ha disparado desde el quinto puesto de la lista de las diez principales vulnerabilidades de OWASP hasta la actual posición número uno. Al igual que con la inyección y las nuevas entradas como el diseño inseguro, la vulnerabilidad de acceso roto abarca una amplia gama de defectos de codificación, lo que se suma a su dudosa popularidad, ya que en conjunto permiten daños en múltiples frentes. La categoría incluye cualquier instancia en la que las políticas de control de acceso pueden ser violadas para que los usuarios puedan actuar fuera de sus permisos previstos. 

Algunos ejemplos de control de acceso roto citados por OWASP al elevar la familia de vulnerabilidades al primer puesto incluyen las que permiten a los atacantes modificar una URL, el estado interno de la aplicación o parte de una página HTML. También pueden permitir a los usuarios cambiar su clave de acceso principal para que una aplicación, sitio o API crea que son otra persona, como un administrador con mayores privilegios. Incluso incluye vulnerabilidades en las que los atacantes no están restringidos para modificar los metadatos, permitiéndoles cambiar cosas como tokens web JSON, cookies o tokens de control de acceso.

Una vez explotada, esta familia de vulnerabilidades puede ser utilizada por los atacantes para saltarse las autorizaciones de archivos u objetos, lo que les permite robar datos o incluso realizar funciones destructivas a nivel de administrador, como borrar bases de datos. Esto hace que el control de acceso roto sea críticamente peligroso, además de ser cada vez más común.

Es bastante convincente -aunque no sorprendente- que las vulnerabilidades de autenticación y control de acceso se estén convirtiendo en el terreno más fértil para que los atacantes las exploten. El último informe de Verizon sobre investigaciones de fugas de datos revela que los problemas de control de acceso son frecuentes en casi todos los sectores, especialmente en el de las tecnologías de la información y la sanidad, y que la friolera del 85% de las fugas tienen un componente humano. Ahora bien, el "elemento humano" abarca incidentes como los ataques de phishing, que no son un problema de ingeniería, pero el 3% de las violaciones implicaron vulnerabilidades explotables y, según el informe, fueron predominantemente vulnerabilidades más antiguas y provocadas por errores humanos, como la desconfiguración de la seguridad.

Mientras que esos decrépitos errores de seguridad como el XSS y la inyección SQL siguen poniendo en aprietos a los desarrolladores, cada vez es más evidente que el diseño de seguridad básico está fallando, dando paso a vulnerabilidades arquitectónicas que pueden ser muy ventajosas para un actor de la amenaza, especialmente si quedan sin parchear después de que se haga público el fallo de seguridad de una versión concreta de una aplicación. 

El problema es que pocos ingenieros reciben formación y desarrollo de habilidades que vayan más allá de lo básico, y aún son menos los que realmente amplían sus conocimientos y aplicación práctica más allá de los fallos localizados a nivel de código que suelen ser introducidos por los desarrolladores en primer lugar.

Prevenir los errores que los robots rara vez encuentran

La nueva familia agrupada de vulnerabilidades de control de acceso rotas es bastante diversa. Puedes encontrar algunos ejemplos específicos de controles de acceso rotos y cómo detenerlos en nuestro canal de YouTube y en nuestro blog.

Sin embargo, creo que es importante celebrar este nuevo Top 10 de OWASP; de hecho, es más variado, abarcando una gama más amplia de vectores de ataque que incluyen aquellos que los escáneres no necesariamente recogerán. Por cada debilidad a nivel de código que se encuentre, otros defectos arquitectónicos más complejos pasarán desapercibidos para la mayor parte de la pila tecnológica de seguridad, sin importar cuántos escudos y armas automatizadas haya en el arsenal. Aunque la mayor parte de la lista OWASP Top 10 se sigue elaborando a partir de datos de escaneado, las nuevas entradas que cubren el diseño inseguro y los fallos en la integridad de los datos -entre otros- muestran que los horizontes de formación de los desarrolladores deben ampliarse rápidamente para lograr lo que los robots no pueden.

En pocas palabras, los escáneres de seguridad no son grandes modeladores de amenazas, pero un equipo de desarrolladores con conocimientos de seguridad puede ayudar al equipo de AppSec de forma inconmensurable haciendo crecer su coeficiente de seguridad en línea con las mejores prácticas, así como las necesidades de la empresa. Esto debe tenerse en cuenta en un buen programa de seguridad, teniendo en cuenta que, si bien el OWASP Top 10 es un excelente punto de referencia, el panorama de las amenazas es tan rápido (por no hablar de las exigencias de los objetivos de desarrollo internos) que debe haber un plan para profundizar y ser más específico con la capacitación de los desarrolladores en materia de seguridad. Si no se hace así, inevitablemente se perderán oportunidades para remediarlas de forma temprana y se obstaculizará el éxito de un enfoque holístico de la ciberseguridad preventiva dirigida por el ser humano.

‍

Estamos preparados para el OWASP Top 10 2021, ¡y eso es sólo el principio! Inicie a sus desarrolladores en un elevadas habilidades de seguridad hoy mismo.