Actualmente las aplicaciones controlan nuestras vidas, se pagan facturas, compras, comunicación, alimentación, inclusive transporte, y se encuentran a la palma de nuestra mano en nuestros celulares. Sin embargo todas esas aplicaciones generan nuevas dificultades de seguridad en la red de una organización, la complejidad y velocidad a los avances tecnológicos que exponen vulnerabilidades de las aplicaciones, los riesgos y deficiencias de habilidades que pueden comprometer los datos confidenciales, devaluar y afectar la marca de el rendimiento financiero.

Radware, junto con Ponemon, investigó el impacto de las aplicaciones en la red y la seguridad de las aplicaciones . Encuestamos a más de 600 profesionales de seguridad de la información en seis continentes. La intención era descubrir los desafíos que presentan estas nuevas tecnologías y las implementaciones rápidas de aplicaciones, determinar cómo las organizaciones en diferentes industrias identificaron las vulnerabilidades de la capa de aplicación y de la API, medir el impacto que los bots tienen en las organizaciones e identificar cómo las empresas combaten los ataques a la capa de aplicación.

Los resultados fueron alarmantes:

Piensa en ello un segundo. ¿Con cuántas organizaciones ha compartido alguna vez su dirección, datos bancarios o tarjeta de crédito? ¿Qué pasa con la información médica? Ahora respire y comprenda que el 45% de ellos fueron pirateados. Para ser más específicos, solo el 27% de los encuestados de atención médica confían en que podrían proteger los registros médicos de los pacientes. Esto no es sorprendente cuando el 52 % no inspecciona el flujo de tráfico hacia y desde las API y el 56 % no realiza un seguimiento de los datos una vez que salen de la empresa, por muy sensibles que sean.

¿Está utilizando sus aplicaciones en su teléfono o en un navegador web? Considere esto, descubrimos que si bien las aplicaciones consumen más, las empresas que las implementan invierten menos en su seguridad en comparación con los servicios web. Además, casi el 25% de las aplicaciones móviles sufren cambios a diario; si no por hora, que es más del doble de la proporción de sus contrapartes de aplicaciones web.

Ahora veamos qué sucede cuando una empresa es atacada: las organizaciones testifican que les lleva bastante tiempo reaccionar a las campañas cibernéticas globales. Si bien los piratas informáticos crean nuevo malware y herramientas de ataque todos los días, y los CVE se divulgan todo el tiempo, casi dos tercios de los encuestados tienen poca o ninguna confianza en que podrían adoptar rápidamente parches y actualizaciones de seguridad sin tener un impacto operativo.

Para superar la complejidad, las organizaciones recurren cada vez más a la automatización. Más del 70 % indicó que ya está usando (28 %) o planea agregar (43 %) soluciones de seguridad basadas en aprendizaje automático en aproximadamente 24 meses.

La necesidad de automatización está impulsada por las asombrosas cantidades de tráfico generado por bots. Casi el 30% del tráfico total de Internet es esencialmente bots malos: spammers, scrapers, escáneres, botnets utilizados para DDoS y demás. Desafortunadamente, un tercio de las organizaciones, para ser exactos, aún no pueden distinguir entre los bots malos y los buenos (como los rastreadores de motores de búsqueda o los chatbots). No solo se trata de un problema de seguridad, sino que también significa que las empresas invierten en recursos para adaptarse a estos bots maliciosos.

Estos bots pueden evadir captcha, detección de tasa de IP y superar la terminación en sesión. En la industria minorista, los bots son un problema aún mayor: los ataques de web scraping plagan a los minoristas al robar propiedad intelectual, copiar sitios web, rebajar los precios, mantener un inventario masivo en el limbo o comprar inventario para revender productos a través de canales no autorizados en el marcado.

Este gráfico nos da una idea de la prevalencia de los ataques a aplicaciones que sufrieron las organizaciones:

Sin embargo, cuando se les pregunta cuáles son los tres principales desafíos contra los que se defienden, indican que, si bien a la mayoría les va bien cuando se trata de las 10 principales vulnerabilidades de OWASP, las principales preocupaciones son DDoS en la capa de aplicación, ataques web cifrados y manipulación de API:

De hecho, las API son una preocupación emergente, ya que las aplicaciones modernas dependen cada vez más de la integración con servicios de terceros. Sin embargo, las mismas vulnerabilidades de las aplicaciones también se aplican a las API, pero son más difíciles de monitorear. La rápida evolución de FaaS (Funciones como servicio) está impulsando la adopción de API.

FaaS (también conocida como arquitectura sin servidor) ofrece un modelo en el que la unidad operativa es un conjunto de contenedores de funciones en lugar de un servidor web. Estas funciones son API expuestas para la aplicación del lado del cliente, que pueden invocar estas API ante un evento relevante del lado del cliente. Un ejemplo sencillo sería una aplicación en tu dispositivo móvil que utilice la función GPS o lea tu perfil de Facebook. Las infracciones de acceso, los ataques de protocolo, los redireccionamientos invalidados, la manipulación de parámetros y las expresiones irregulares de JSON/XML son solo algunos ejemplos de abuso de API.

También estamos viendo más atacantes que intentan aprovechar las inundaciones de HTTPS a medida que las herramientas se vuelven más populares y ampliamente disponibles. Los ataques de denegación de servicio de la capa de aplicación baja y lenta utilizan tráfico lento que parece ser solicitudes HTTP legítimas para pasar desapercibidos los sistemas tradicionales de detección y mitigación. Además, estas herramientas también mantienen un punto de apoyo persistente en el sistema mediante el envío de un comando HTTP estándar para obligar al servidor a mantener las conexiones abiertas.

Esta amenaza pesa mucho cuando se trata de la disponibilidad de la aplicación. Una interrupción de la disponibilidad o incluso una degradación para un minorista en la temporada navideña puede resultar en enormes pérdidas financieras. Aunque esto se sabe, más de la mitad (53 %) de los minoristas no confían en su capacidad para proporcionar el 100 % de tiempo de actividad de sus servicios de aplicaciones, y el 30 % sugiere que carecen de la capacidad para proteger los datos confidenciales durante estos períodos.

Todas estas amenazas de aplicaciones ponen en peligro los esfuerzos que las organizaciones invierten en la automatización integral del ciclo de desarrollo, implementación y actualización de aplicaciones. Este enfoque de entrega continua está ganando una mayor adopción entre las organizaciones que buscan agilidad en la creación y lanzamiento de nuevos servicios.

Se basan en herramientas y métodos automatizados que aceleran la eficiencia operativa, pero la seguridad, en muchos casos, se queda atrás. Mientras que el 62 % considera que aumenta la superficie de ataque, menos de la mitad dice que no integran la seguridad en su proceso de entrega continua.

Aprendimos que las aplicaciones son vulnerables y los datos están expuestos en mayor medida de lo que imaginamos. Esto se debe principalmente a la sincera preocupación de las organizaciones de que simplemente no pueden protegerlos. Los humanos están destinados a cometer errores y están alcanzando su capacidad de controlar y analizar todos los eventos en sus entornos de aplicación, pero la IA aún está emergiendo y no es confiable, lo que deja una gran brecha y un alto riesgo para todos nosotros.