APLICACIONES WEB, VULNERABILIDADES Y SOLUCIONES PRÁCTICAS PARA EL ENTORNO COSTARRICENSE

Actualmente se vive en una era tecnológica en donde el adquirir, vender bienes o servicios está al alcance de un click. Es normal que se realicen compras, pagos o transferencias de dinero utilizando herramientas tecnológicas que facilitan este tipo de acciones. Y es, sin lugar a duda, Internet el instrumento más popular, pues permite tener acceso a un gran número de opciones que el mercado pone a disposición, tal es el caso de tiendas en línea, servicios de E-Banking, entre otros.

Se debe tener en cuenta que desde el momento en que las transacciones electrónicas involucran dinero o información crítica, se debe disponer de medidas de seguridad para que en cierta forma se garantice la seguridad en el trasiego y custodia de esta información.

Cabe destacar que a partir del análisis realizado, se desprende que la seguridad es un concepto relativo y que no se puede aseverar que, por ejemplo, un sitio Web es totalmente seguro, no existe ni existirá un sistema de información infalible a ataques malintencionados. Este punto se agrava en sistemas Web, pues tienen como característica que están conectados al mundo entero por medio de la Internet, por lo que están expuestos totalmente para que personas que desarrollan ataques puedan realizar “ investigaciones” para detectar cualquier vulnerabilidad que no se haya tomando en cuenta por parte de los creadores del sitio Web, además, se debe recordar que aunque se realice una investigación sobre las actuales técnicas de ataque y tomando el estudio en cuenta a la hora de desarrollar e implementar los sitios Web, siempre está latente la posibilidad que se descubran nuevas técnicas para el aprovechamiento de vulnerabilidades de nuestros sitios Web.

Sin embargo, teniendo en cuenta esta premisa, se puede establecer sitios Web, que si bien no van a estar exentos de riesgo por ataques que pudieran poner en peligro la información que se está procesando o almacenando, es de suma importancia el implementar acciones acordes a los mejores prácticas que existen en el medio costarricense y estar en constante investigación y actualización de conocimientos para detectar y modificar los sitios Web para brindar un grado de seguridad aceptable.

La invulnerabilidad es un concepto no aplicable a seguridad, ya que esta siempre se verá amenazada y en ciertos casos vulnerada, aunque se podría definir o establecer el término de seguridad aceptable como un concepto en el nivel de sitios Web, como una práctica constante e interminable que implanta, evalúa y renueva medidas y procedimientos para impedir el abuso de algún portillo, error o deficiencia “vulnerabilidad” en un momento dado, ya sea en una plataforma operativa o de desarrollo.

Otro punto importante es que no sólo se debe tener seguridad en el sitio en donde se realizan las transacciones, el eslabón más débil en el proceso de transacciones electrónicas, es el usuario final, pues es quien almacena las claves de acceso y/u otros medios necesarios para identificarse en los sitios Web en forma inadecuada y descuidada.

Es de suma importancia establecer una cultura de seguridad, en donde se eduque a los usuarios de servicios Web, pues la mayoría de los fraudes informáticos en el país, es debido a la falta de conocimiento en cuanto a las medidas de seguridad necesarias para el manejo de información crítica, esta cultura debe estar basado en el hecho que el dinero que se está transando vía medios electrónicos no es virtual.

Si partimos desde el punto lógico general sobre el hecho de que un delito es aquel acto que se realiza en detrimento de terceras personas, se debe decir que las regulaciones establecidas en el país lamentablemente no son lo excelente que deberían ser, no obstante, en vez de establecer regulaciones de carácter general, se ha optado por realizar enmiendas a leyes especiales que a la postre, han conducido a situaciones de notoria inconsistencia normativa.

Estas inconsistencias no han tenido el impacto que se esperaría, gracias a escaso desarrollo nacional en materia de cibercriminalidad y comparativamente reciente, como probablemente sea la tónica en la mayoría del área latinoamericana

Por el hecho de que el software se considera como una “obra literaria o artística” sobre el cual aplica la legislación sobre propiedad intelectual, es difícil determinar el impacto que el TLC vaya a tener sobre esta legislación y por ende sobre el software, partiendo de las enmiendas planteadas para esta ley, se podrían decirse que el peso de la ley será más riguroso, acarreando sanciones que se suponen más rigurosas, que hasta las ahora establecidas por el código penal costarricense.

RECOMENDACIONES

Debido a que el tema de seguridad requiere de continua actualización, pues día con día existen nuevas amenazas que ponen en riesgo la seguridad de sitios en Internet se recomienda que el personal encargado de soporte, responsable de desarrollar y actualizar los sitios Web, reciban una constante retroalimentación sobre las nuevas técnicas de fraude, sobre vulnerabilidades y ataques registrados, así como el método u procedimiento que establecen los entes internacionales para combatir estas vulnerabilidades.

Existen instituciones y organizaciones a nivel mundial (por ejemplo OWASP) cuya labor primordial es informar y documentar los ataques y vulnerabilidades que se generan a nivel Web en cualquier parte del orbe, sería recomendable estar incorporado como miembro activo adscrito a estas organizaciones de manera que todo los boletines y avisos sobre estos ataques nos sean informados de forma inmediata de manera que el personal pueda tomar las previsiones correctivas o preventivas del caso.

Se ha determinado que el usuario podría ser el eslabón más débil de esta cadena pues es el encargado de la custodia de los medios de acceso a sitios de Internet (Passwords, certificados, tokens o cualquier otro medio de identificación), por lo que se recomienda, que aquellas entidades que posean sitios que manipulan información validosa, realicen procesos de capacitación en donde expongan las medidas más importantes en la custodia y almacenamiento de información personal, en donde se le informe al cliente cuáles son los mecanismos oficiales que utiliza el banco para solicitar información, como detectar que los sitios que se estén visitando sean los “Sitios Oficiales” de estos entes, y en general las medidas mínimas de seguridad que permitan en cierta medida minimizar el riesgo de una intrusión de una persona no autorizada a sitios Web. El ambiente deseable sería que existiese una cultura de seguridad en donde todos los individuos posean conocimientos necesarios para poder garantizar la seguridad en sus transacciones electrónicas, y esto se logra mediante la capacitación citada, en donde gradualmente se logra dar a conocer los aspectos más importantes en el manejo de información crítica.

En el uso de aplicaciones Web en el nivel corporativo es recomendable que existan procedimientos respaldados por personal clave de seguridad, en donde se citen las acciones necesarias para garantizar controles de acceso seguros a Internet que permiten establecer lineamientos idóneos a sitios considerados de alto riesgo, estos procedimiento deben ser establecidos por cada institución, y deber ser establecidos por personal interno pues cada entidad tiene sus propias reglas del negocio. Además es importante el tener en claro procedimientos y mecanismos  internos de cada institución  que garanticen un ambiente libre de virus informáticos pues en gran medida son los causantes de robos de información que se está procesando, eso se logra estandarizando un antivirus para toda la organización y que este cuente con actualizaciones automáticas que permiten brindar seguridad ante los virus o intrusos más recientes.

Otra política a establecer deberá ser sobre las plataformas operativas que se vayan a utilizar, estableciendo repositorios para la distribución de las actualizaciones de seguridad necesarias para asegurar que la plataforma sea segura, e implantar mecanismos que permitan la aplicación de estos actualizaciones de forma inherente para el usuario.

Dentro de organizaciones en donde la información que es vista o procesada mediante aplicaciones Web es necesario establecer responsabilidades sobre los usuarios que hagan un mal uso de los mecanismos de autenticación y seguridad establecidos internamente, el fin primordial es hacer que el usuario acate las políticas de seguridad establecidas y entienda el grado de responsabilidad que conlleva el acceso a esta información.

Es de vital importancia que los principales entes del país que cuentan con Sitios de Internet en donde se realicen transacciones electrónicas (Bancos y tiendas en línea) formen convenios de cooperación común, en donde se produzca retroalimentación entre cada uno de los miembros, con respecto a las tendencias de seguridad Web mundiales actuales, y que el flujo de información sea transparente para cada uno de los miembros, siendo el fin común y primordial la cooperación mutua entre diferentes entidades.

PROPUESTA

El desafío

El desafío de identificar las “principales” vulnerabilidades de aplicaciones Web es una tarea virtualmente imposible. No hay ni siquiera un acuerdo generalizado de qué exactamente está incluido dentro del término “seguridad de aplicaciones Web.”

Algunos han argumentado que sólo se debería enfocar en los puntos de seguridad que afectan a los desarrolladores que escriben código de aplicaciones Web a la medida. Otros abogan por una definición más amplia, que abarque la capa de aplicación entera, incluyendo bibliotecas, configuración de servidores y protocolos de la capa de aplicación.

Sería poco práctico detallar vulnerabilidades específicas en las aplicaciones Web de organizaciones particulares, puesto que éstas probablemente serían arregladas con prontitud después del conocimiento general de su existencia. De este modo, se ha elegidos un enfoque a las principales clases, tipos y categorías de vulnerabilidades de aplicaciones Web y los pasos o técnicas recomendadas para evitar o al menos mitigar su impacto en la vida cotidiana.

Como se ha establecido de forma amplia para el tema “ataques a la Web”, se han vislumbrado tres posibles ámbitos de dichos ataques:

  • A la computadora del usuario.
  • Al servidor.
  • A la información en tránsito.

Dentro de estas tres están contenidas todas las vulnerabilidades que se han desarrollado con anterioridad, ahora se recalcan las mejores técnicas utilizadas para luchar contra ellas y evitar o mitigar su impacto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *