¿Qué es la seguridad de las aplicaciones web?

La seguridad de las aplicaciones web se refiere a una variedad de procesos, tecnologías y métodos para proteger los servidores web, las aplicaciones web y los servicios web, como las API, de las amenazas que suponen los ataques basados en Internet. La seguridad de las aplicaciones web es fundamental para proteger los datos, los clientes y las organizaciones del robo de datos, las interrupciones en la continuidad de los negocios u otras consecuencias perjudiciales del delito cibernético.

Según la mayoría de las estimaciones, más de las tres cuartas partes de todos los delitos cibernéticos tienen como objetivo las aplicaciones y sus vulnerabilidades. Los productos y políticas de seguridad de las aplicaciones web se esfuerzan por protegerlas con medidas como los cortafuegos de aplicaciones web (WAF), la autenticación multifactorial (MFA) para los usuarios, el uso, la protección y la validación de las cookies para mantener el estado del usuario y su privacidad, y diversos métodos para validar las entradas del usuario con el fin de garantizar que no sean maliciosas antes de que se procesen por parte de una aplicación.

El mundo actual funciona con aplicaciones, desde la banca en línea y aplicaciones de trabajo remoto hasta el entretenimiento personal y el comercio electrónico. Por tanto, no es de extrañar que las aplicaciones sean el objetivo principal de los atacantes, que se aprovechan de las vulnerabilidades como los fallos de diseño, así como de las debilidades de las API, el código abierto, los widgets de terceros y el control de acceso.

Los ataques comunes contra las aplicaciones web incluyen:

• Fuerza bruta
• Credential Stuffing
• Inyección de SQL e inyecciones de formjacking
• Cross-site scripting
• Envenenamiento de cookies
• Ataques del tipo «Man in the middle» (MITM) y del tipo «Man in the browser»
• Divulgación de datos confidenciales
• Deserialización desprotegida
• Secuestro de sesión

Un estudio reciente¹ estimaba que el cibercrimen costará 5,2 billones de dólares en valor perdido en todos los sectores hasta el año 2024. Otro estudio estimaba que las pérdidas alcanzarán los 6 billones de dólares anuales antes de entonces². Los dispositivos y tecnologías de seguridad son cruciales para limitar, si no eliminar, esos costes. Además del robo directo financiero y de datos, las amenazas de las aplicaciones web pueden destruir los activos, la buena voluntad de los clientes y la reputación de las empresas. Esto hace que la seguridad de las aplicaciones web sea imperativa para las organizaciones de todos los tamaños.

Los diferentes enfoques de la seguridad de las aplicaciones web abordan diferentes vulnerabilidades. Los cortafuegos de aplicaciones web (WAF), entre los más completos, se defienden contra muchos tipos de ataques mediante la vigilancia y el filtrado del tráfico entre la aplicación web y cualquier usuario. Configurados con políticas que ayudan a determinar qué tráfico es seguro y cuál no, un WAF puede bloquear el tráfico malicioso, evitando que llegue a la aplicación web e impidiendo que la aplicación divulgue cualquier dato no autorizado.

Otros métodos de seguridad de las aplicaciones web se centran en la autenticación de los usuarios y la gestión del acceso, los escáneres de vulnerabilidad de las aplicaciones, la gestión de las cookies, la visibilidad del tráfico y las listas de denegación de IP, por ejemplo.

La solución Advanced WAF de F5 puede ayudar a las organizaciones a proteger sus aplicaciones y los datos sensibles de los clientes, mitigando las vulnerabilidades en las aplicaciones con el cifrado de la capa de aplicaciones y el análisis del comportamiento respaldado por el aprendizaje automático y la inteligencia de amenazas.

Silverline Web Application Firewall ofrece protección de aplicaciones como un servicio gestionado basado en la nube para empresas interesadas en la eficiencia operativa, la flexibilidad y la asistencia de expertos.

WebSafe y MobileSafe de F5 protegen contra la actividad fraudulenta mediante la protección de las transacciones que puedan implicar dispositivos móviles o navegadores no seguros, al mismo tiempo que se mantienen transparentes para los usuarios.

¹ Chris Thompson, What Will Cybercrime Cost Your Financial Firm?, Accenture (15 de julio de 2019)

² 2019 Official Annual Cybercrime Report, Cybersecurity Ventures (diciembre de 2018)