Los errores en las aplicaciones web suponen un peligro para las empresas

Una mayoría de los sitios web tienen al menos un problema de seguridad importante que podrían ser utilizados por los piratas informáticos para fines relacionados con el fraude, según una nueva encuesta.

Alrededor del 64 por ciento de los 1.300 Los sitios web administrados por 250 empresas tienen al menos una vulnerabilidad grave, dijo WhiteHat Security, que se especializa en encontrar vulnerabilidades en aplicaciones web. Las estadísticas provienen de la base de clientes de WhiteHat, que permite que la compañía revise periódicamente sus sitios para detectar problemas.

El problema más frecuente es la creación de scripts entre sitios. Hay un 66 por ciento de que un sitio web tendrá tal problema, dijo WhiteHat. Una falla de script entre sitios puede permitir que los datos o código malicioso sean extraídos de otro sitio web, lo que puede potencialmente causar una filtración de datos.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Otros los problemas incluyen problemas de fuga de información, suplantación de contenido, autorización insuficiente e inyección de SQL.

El peligro de las vulnerabilidades de las aplicaciones del sitio web se ve agravado por la lentitud con que las empresas intentan solucionarlos. Si WhiteHat encuentra una vulnerabilidad en un sitio web, informa al cliente, dijo Jeremiah Grossman, CTO de WhiteHat.

En el caso de un problema de scripting entre sitios, la corrección suele ser solo una línea de código, dijo Grossman. El problema para arreglarlo, sin embargo, tiende a ser del lado humano.

WhiteHat generalmente informa al departamento de seguridad de una empresa, que luego debe transmitir la información a los desarrolladores de la aplicación web. El departamento de seguridad no puede modificar el código personalizado de la aplicación web.

La administración debe dar la autorización a los desarrolladores para que trabajen en arreglar el código en lugar de crear características generadoras de ingresos, que generalmente tienen prioridad, dijo Grossman.. A veces, es difícil cuantificar el riesgo de vulnerabilidades de las aplicaciones web, lo que también enturbia las aguas de cómo se prioriza la reparación.

"El trabajo de un desarrollador es escribir código", dijo Grossman. "La seguridad no es una prioridad cuando se extrae el código".

Sorprendentemente, muchas vulnerabilidades tardan mucho tiempo en solucionarse, y algunas nunca se solucionan. WhiteHat echó un vistazo a las vulnerabilidades que se encontraron durante un período de un año con sus clientes.

La compañía descubrió que tomó un promedio de 67 días para que se solucionara un problema de scripting entre sitios. Eso se compara con 78 días por un problema de fuga de información, 87 días por problemas de suplantación de contenido y 62 días por una vulnerabilidad de inyección SQL.

"Lo que podemos decir con confianza es que las organizaciones de seguridad y desarrollo TI deben coordinar cuando se trata con vulnerabilidades del sitio web para cerrar la brecha de tiempo hasta la corrección ", dijo el informe.

En promedio, solo el 30% al 60% de las vulnerabilidades se arreglan, dijo Grossman. El conocimiento de los problemas de las aplicaciones web "nunca ha sido más alto, pero tiene que ser mucho mayor", dijo.