Hoy en día, Internet no para de crecer y cada vez son más los datos que se suben y son publicados en las distintas plataformas web. Todas esas plataformas tienen un elevado nivel de exposición pues son accesibles a todo Internet haciéndolas muy susceptibles de sufrir web hacking, ser atacadas y vulneradas. También, la mayoría de empresas, gobiernos y consumidores de a pie dependen directamente de estos servicios para desempeñar sus funciones, y cualquier caída del servicio, modificación de la información o acceso a la misma puede ser perjudicial para cualquiera de ellos.
Entonces, cualquiera que tenga acceso a Internet podría intentar atacar la página web y por ello, el nivel de exposición es altísimo. Debemos eliminar el mito de que Internet es tan grande que no puedo ser víctima de ningún ataque porque soy una pequeña empresa y no tengo nada sustancial para un atacante. Porque la realidad es que le puede pasar a cualquiera; y más en la actualidad con la existencia de programas automatizados que están constantemente escaneando la red en busca de páginas con vulnerabilidades.
Por tanto, es de vital importancia minimizar los riesgos auditando estos sistemas de forma periódica, en vez de realizarlo de manera aislada por obligaciones de cumplimiento. Los riesgos pueden ser muchos, desde pérdidas de imagen y reputación, hasta sanciones económicas por incumplimiento, e incluso el robo y cifrado de toda la información pidiendo un rescate por la misma.
Además, muchos de los sitios web almacenan, aparte del típico usuario y contraseña, mucha información adicional pudiendo llegar a ser sensible como por ejemplo números de tarjeta de crédito, cuentas bancarias, documentos de identidad… Esta debe estar lo suficientemente protegida como para que no se produzca ningún ataque que pueda ocasionar una fuga de información de los datos personales o de la información personal identificable.
Progresivamente se incorporan tecnologías más novedosas y llamativas en las páginas web para atraer y facilitar el uso a los usuarios. Esto lo que al final provoca es un mayor vector de ataque para los ciberdelincuentes que aplican técnicas de web hacking. Muchos de los gestores de contenidos incorporan multitud de complementos que cada uno de ellos se parchean por separado; y con que uno no esté al día, ya supone un agujero de seguridad.
Esto hace que el web hacking, o las auditorías web, sean imprescindibles para reducir estos riesgos y minimizar el impacto en la medida de lo posible. Entre los profesionales dentro del sector de la ciberseguridad y de la informática en general, el web hacking ya es muy común y aceptado por todos, pero ¿todas las empresas prestadoras de servicios a través de Internet conocen este riesgo?
¿Pero… que es el web hacking?
Centrándonos en la definición, el web hacking trata de buscar las vulnerabilidades o fallos de seguridad de una web. Dependiendo de quién sea el atacante, los fines pueden ser muy distintos, desde un cibercriminal que quiera robarte toda la información posible para obtener algún beneficio hasta un auditor de seguridad que compruebe todos los controles que la plataforma web posea. Estos se conocen como hacker de sombrero negro y hacker de sombrero blanco respectivamente.
Desde el punto vista del auditor, se siguen diferentes técnicas y metodologías, siendo la más utilizada OWASP (Open Web Application Security Project); que publica cada dos años un documento con los diez riesgos más habituales a tener en cuenta en las aplicaciones web, llamado OWASP Top 10; y que analiza aspectos relacionados con la correcta configuración de seguridad, la monitorización, la exposición de datos sensibles, la seguridad de las credenciales de usuario, y las vulnerabilidades de seguridad más importantes.
Estos son los aspectos más importantes y habituales actualmente, pero que varían y cambian con el paso de los años. Sin embargo, existen muchos más, y los ciberdelincuentes están al día de todos; por lo que todas las partes de la aplicación web deben ser auditadas y comprobadas utilizando las diferentes técnicas de web hacking existentes, por expertos en seguridad, antes de que los atacantes puedan llegar a comprometer la web y el servidor en el que esté alojado.
