Una de las mayores preocupaciones de los administradores de sitios web, consiste en la falla de seguridad que pueda tener el sitio. Esto debido al temor que genera el acceso de personas inescrupulosas que pueden manejar la información confidencial almacenada en él, para fines ilícitos. Así como también, la desconfianza que puede generar el exponer esta información, afectando la reputación del comercio y hasta la posibilidad del daño parcial o total del sitio web.

Ahora bien, tomando en consideración la importancia sobre este tema, en este artículo trataremos de informar de manera general, cuáles son los riesgos más comunes de seguridad en sitios web 2023 (conceptos y posibles causas), para que estés informado de todas las vulnerabilidades que pueden ocurrir.

Es importante señalar, que ya estamos trabajando en un nuevo artículo de cómo evitar o prevenir todos estos puntos aquí señalados. Así que suscríbete en nuestro boletín para que estés informado de este y otros temas sobre seguridad y comercio electrónico 📧.

10 riesgos de seguridad en sitios web 2023

Según el reporte obtenido del sitio web de statista, el costo que genera el cibercrimen de forma global aumentará de una increíble cifra de 8.44 billones en 2022, pasando por 11.50 billones este 2023 y llegando a la alarmante cifra de 23.82 billones en 2027. ¿Aterrador, no lo crees 😱? Por lo que no perdamos más tiempo y comencemos a explicar cuáles son estos riesgos de seguridad en sitios web 2023 que podría afectar (o está afectando en este momento) tu sitio web.

01 – Pérdida del Control de Acceso en Sitios Web

Comencemos con uno de los riesgos de seguridad en sitios web 2023 más comunes: control de acceso. El control de acceso consiste en políticas con las cuales los usuarios no pueden actuar fuera de sus permisos previamente establecidos. Las fallas relacionadas con la pérdida del control de acceso generalmente conducen a la divulgación, modificación o destrucción no autorizada de todos los datos (información confidencial) o la realización no autorizada de una función comercial fuera de los límites de los usuarios (usuarios no autorizados).

Riesgos de seguridad en sitios web 2023. Pérdida del Control de Acceso en Sitios Web

Las vulnerabilidades relacionadas con control de acceso incluyen:

  • Elevación de privilegio. Al actuar como usuario sin haber iniciado sesión en el sitio web o actuar como un administrador de un sitio web cuando se ha iniciado sesión como usuario sin permisos o con permisos limitados.
  • Violación del principio de privilegio mínimo (PoLP) o control limitado predeterminado. Donde el acceso por defecto de un usuario en un sistema web siempre debería estar limitado. Y posteriormente, otorgar permisos a los roles o usuarios particulares que así lo amerite. El crear nuevos usuarios con todos los privilegios del sitio web y luego limitarlo representa una muy mala práctica. Y más si cualquier usuario dispone de todos los privilegios en un sitio web.
  • Eludir las comprobaciones de control de acceso mediante la modificación de la URL (alteración de parámetros o navegación forzada), eludir el estado interno en los sitios webs o usando una herramienta de ataque que modifique las solicitudes realizadas. Por ejemplo:

https://misitioweb/ (no puedo entrar ✅)

https://misitioweb/soyadministrador/ (puede entrar al sitio web 🚫)

  • Al igual que el punto anterior, acceder (ver o editar) o incluso eliminar la cuenta de otro usuario, al proporcionar su identificador único (ID) desde la URL. Por ejemplo:

https://facebook.com/soyyo1 (mi usuario ✅)

https://facebook.com/soytuahora1 (acceder a otro usuario desde sitio web 🚫)

  • Si el sitio web cuenta con una API Oficial: Acceso a la API sin controles de acceso para aplicar comandos POST, PUT y DELETE.
  • Manipulación de metadatos, como la reproducción o manipulación de un token de control de acceso (JWT), o una cookie o un campo oculto manipulado para elevar los privilegios o abusar de la invalidación del token de control de acceso.
  • Forzar la navegación a páginas autenticadas del sitio web como un usuario no autenticado o a páginas privilegiadas como un usuario limitado.

02 – Fallas en la Criptografía en Sitios Web (o falta de esta)

La falla en la criptografía, que anteriormente era conocida como Exposición de Datos Confidenciales, es un enfoque que se centra en las fallas relacionadas con el proceso de convertir texto sin formato ordinario en texto codificado / cifrado y viceversa. Lo que a menudo conduce a la exposición de datos confidenciales.

Riesgos de seguridad en sitios web 2023. Fallas en la Criptografía en Sitios Web

Lo primero es determinar las necesidades de protección de los datos en tránsito (en uso) y en reposo (almacenados). Por ejemplo, las contraseñas, los números de tarjetas de crédito o débito, las historias clínicas o registros de salud, la información personal y los secretos comerciales que requieren una protección adicional. Principalmente, si esos datos están sujetos a las leyes de privacidad, por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, o regulaciones, por ejemplo, la protección de datos financieros como el estándar de seguridad de datos PCI (PCI DSS).

Entendemos que uno de los riesgos de seguridad en sitios web 2023 que resultar más confuso, por lo que vamos a señalar algunas vulnerabilidades que pueden ocasionar fallas en la criptografía en los sitios web:

  • ¿Se transmite algún dato en texto legible en sitio web? Esto se refiere a falla (o falta) de protocolos como HTTP(S), SMTP, FTP, etc. Todo el tráfico externo en Internet es muy peligroso y cualquiera podría robar esa información.
  • ¿Se utilizan protocolos o algoritmos criptográficos antiguos o débiles de forma predeterminada o en código antiguo? Aplica tanto a los sitios web como a los sistemas que se usan en los sitios web (servidor, hosting, etc.).
  • ¿Están en uso las claves criptográficas predeterminadas, se generan o reutilizan claves criptográficas débiles, o falta una gestión o rotación de claves adecuada?, ¿Se registran las claves criptográficas en los repositorios de código fuente? Por ejemplo en GitHub, GitLab, etc.
  • ¿No se aplica el cifrado de seguridad? Por ejemplo, la falta de encabezados o directivas de seguridad de encabezados HTTP(S) en el navegador.
  • ¿El certificado del servidor recibido y la cadena de confianza están debidamente validados?
  • ¿Se utilizan contraseñas como claves criptográficas en ausencia de una función de derivación de clave base de contraseña?

03 – Inyección en Sitios Web

Una inyección representa un riesgo de seguridad en donde es insertado un código externo en un sitio web. Esto con el fin de quebrantar la seguridad del mismo y acceder a datos protegidos. Una vez conseguido esto, usuarios externos pueden controlar todo el sitio web. Te recomendamos nuestro artículo Descarga gratuitamente un plugin nulled y jamás lo olvidarás, el cual explica una de las principales causas de inyección en sitios web.

Riesgos de seguridad en sitios web 2023. Inyección en Sitios Web

La inyección de datos es uno de los riesgos de seguridad en sitios web 2023 que ocurre con más regularidad cuando se instalan módulos o plantillas infectados. Sin embargo, compartimos algunas vulnerabilidades que ocasionan ataques de inyección:

  • Los sitios web no validan, filtran ni corrobora, los datos proporcionados por el usuario. Por ejemplo: Al llenar formularios de información, al registrarse en el sistema, al editar información, etc.
  • A nivel del código de los sistemas, las consultas dinámicas o las llamadas no parametrizadas internas son utilizadas directamente por la aplicación sin una limpieza previa. Infectándose con datos maliciosos enviados por los usuarios y/o sistemas que se conectan a los sitios web. Siendo una gran falla de seguridad por parte del desarrollo del mismo.
  • Algunas de las inyecciones más comunes se suelen dar en la base de datos: SQL, NoSQL, comando OS, Asignación Objeto-Relacional (ORM), LDAP, Lenguaje de Expresión (EL) u Object-Graph Navigation Language (OGNL). El concepto es idéntico entre todos los intérpretes.

04 – Diseños de Sitios Web Inseguros

El concepto de diseño inseguro se centra en los riesgos relacionados con los defectos de diseño y fallos en la arquitectura de los sitios web. Haciendo así, un llamado a un mayor uso del modelado de amenazas (threat modeling), patrones de diseño seguro y arquitecturas de referencia (reference architectures).

El diseño inseguro es una categoría amplia que representa diferentes debilidades, expresadas como «diseño de control faltante o ineficaz». Es importante señalar, que el diseño inseguro no es la causa de todos los riesgos existentes en un sitio web. Debido a que existe una diferencia entre un diseño inseguro y una implementación insegura dada sus causas y soluciones.

Riesgos de seguridad en sitios web 2023. Diseños de Sitios Web Inseguro

Supongamos que se cuenta con un «diseño perfecto», aun así, este puede tener defectos de implementación que den lugar a vulnerabilidades que pueden ser explotadas por un experto. Ya que, por definición, los controles de seguridad necesarios para ese «diseño perfecto» no se crearon para defenderse de ataques específicos (que es lo que suelen utilizar los hackers).

Uno de los factores que contribuyen al diseño inseguro es la falta de mejora continua del sistema, lo cual genera la incapacidad para determinar qué nivel de diseño inseguro se tiene y cómo podría mejorarse.

Algunos riesgos que pueden considerarse como diseños inseguros pueden ser:

  • Mostrar mensajes de errores o advertencias que contengan información confidencial.
  • Almacenamiento de credenciales (contraseñas, registros, etc.) sin ningún tipo de protección.
  • Violación de los limites de confianzas establecidos por el usuario. Es decir, que el sistema web cuente con ciertas configuraciones y que las mismas no se cumplan correctamente.
  • Credenciales con protección insuficientes. Por ejemplo: preguntas para validar la identidad de un usuario o validaciones especiales en los formularios.

05 – Configuración Incorrecta de Seguridad en Sitios Web

Uno de los riesgos de seguridad en sitios web 2023 es la configuración incorrecta de seguridad. Esto involucra a fallas de seguridad no solo en los sitios web, sino también en el servidor (hosting) donde está alojado este sitio web, base de datos, plugins o módulos adicionales, entre muchas otras opciones que conecta de alguna forma con el sitio web.

Riesgos de seguridad en sitios web 2023. Configuración Incorrecta de Seguridad en Sitios Web

Se puede indicar que un sitio web presenta errores de configuración de seguridad si:

  • Ocurre una falla en el refuerzo de la seguridad en cualquiera de las capas de la arquitectura del sitio o si presenta inconveniente en la configuración de los permisos de seguridad del sitio.
  • Las funciones o permisos que no suelen ser usados siguen habilitados o están instalados con todos los permisos. Por ejemplo: módulos que ya no se usan y siguen activos. Páginas web con formularios que no son usados. Privilegios innecesarios o que ya fueron reemplazados por otros permisos.
  • Las cuentas de usuarios predeterminadas y sus contraseñas aún están habilitadas y sin cambios. Uno de los errores más comunes es no cambiar las contraseñas preestablecidas por los sistemas la cual suele ser admin - 12345.
  • El gestor de errores del sitio web u otros mensajes de error muestra demasiada información a los usuarios.
  • Contar con sistemas actualizados cuyas nuevas funciones de seguridad están deshabilitadas o no son configuradas de forma segura.
  • El sistema web o cualquiera de los módulos o arquitectura involucrado en el proyecto está desactualizado o es vulnerable.

06 – Componentes Vulnerables y/o Obsoletos en Sitios Web

Uno de los riesgos de seguridad en sitios web 2023 más conocidos por los administradores de la tienda web son los componentes vulnerables y/o obsoletos involucrados en el proyecto. Se puede indicar que existe riesgos de vulnerabilidad en estos casos:

Riesgos de seguridad en sitios web 2023. Componentes Vulnerables yo Obsoletos en Sitios Web

  • No se conoce las versiones de todos los componentes que se utilizan en el sitio web. Esto incluyen los componentes que se usan directamente (módulos, plantillas, sistema de terceros), así como sus dependencias (servidores, base de datos, etc).
  • Si definitivamente el sitio web está desactualizado. Esto incluye todos los componentes que se relacionan de algún modo con el sitio web.
  • Si no se buscan vulnerabilidades regularmente y tampoco se hace seguimiento relacionados a las actualizaciones de los componentes que se utilizan.
  • Si se detectan riesgos y no se solucionan de manera oportuna tomando en cuenta la vulnerabilidad.
  • Si al actualizar no se prueba la compatibilidad con el sitio web. Lo que puede convertirse en otro problema en vez de ser una solución.

07 – Fallos de Identificación y Autenticación en Sitios Web

Este riesgo se relaciona con el punto 01 de este listado. Cuando se indica que existen fallos de identificación y autenticación es porque usuarios externos, logran vulnerar y acceder al sitio web. Usando credenciales obtenidas de manera forzada o utilizando herramientas especializadas en ello.

Riesgos de seguridad en sitios web 2023. Fallos de Identificación y Autenticación en Sitios Web

Puede haber debilidades de autenticación si el sitio web:

  • Permite ataques automatizados como el llenado de los campos en las credenciales, donde el atacante tiene una lista de nombres de usuario y contraseñas válidos.
  • Permite mantener contraseñas predeterminadas, débiles o conocidas, como «Password1», «12345» o «admin/admin».
  • Utiliza recuperación de credenciales débiles o ineficaces y el procesos de contraseña olvidada suelen ser «respuestas basadas en el conocimiento del usuario», que no se pueden hacer seguras ni validar que realmente sea el usuario correcto.
  • El sitio web almacena datos críticos (por ejemplo: contraseñas) sin ser encriptados o con un sistema débil de encriptación.
  • No se cuenta con ningún proceso eficaz de autenticación de datos.

08 – Fallas de Integridad de la Información en Sitio Web

Cuando se indica fallas de integridad de la información, hacemos referencias a aquellas modificaciones en los datos que no son autorizadas y que pueden comprometer la seguridad de los sitios web. Dado que la integridad de los datos hace referencia a la garantía de exactitud y fiabilidad de la información.

Riesgos de seguridad en sitios web 2023. Fallas de Integridad de la Información en Sitio Web

Se puede indicar que existen fallas de integridad de la información y que estamos antes uno de los riesgos de seguridad en sitios web 2023 si:

  • Cambios en la información sin contar con ningún tipo de validación. Un ejemplo bastante sencillo son las actualización automática de los plugins en los sitios de WordPress. Donde al no aplicarse con anticipación una verificación de integridad suficiente, podría traer errores que afecta la integridad de los datos o incluso el buen funcionamiento del sitio web.
  • Ataques directos a la integridad de los datos. Puede ocurrir que modifique de forma intencional los datos de un sitio web, afectando de manera directa la integridad de la información. Aunque una causa puede ser incluso un error humano, en este punto se hace referencia a códigos que modifican los datos, en cualquier momento sin ningún tipo de autorización.
💡 TE RECOMENDAMOS:  Descarga gratuitamente un plugin nulled y jamás lo olvidarás

09 – Registro de seguridad y fallas de monitoreo en Sitios Web

Todos los sitios web deben de contar con un buen registro de seguridad y fallas que esté monitoreando en todo momento. Esto con el objetivo de detectar cualquier eventualidad y que el equipo encargado pueda responder a la brevedad, cualquier breva de seguridad o falla detectada.

Riesgos de seguridad en sitios web 2023. Registro de seguridad y fallas de monitoreo en Sitios Web

Entonces, algunas de las causas que convierte este punto en uno de los riesgos de seguridad en sitios web 2023 son:

  • Los «eventos auditables», como inicios de sesión, inicios de sesión fallidos y fallas críticas de los sitios web no se registran en ningún momento.
  • Las advertencias y los errores generan mensajes de registro inexistentes, inadecuados o poco claros los cuales no brindan ninguna información a los especialistas.
  • Los registros no se supervisan en busca de actividad sospechosa.
  • Los registros solo se almacenan localmente y no se realiza un respaldo de los mismos.
  • Los sitios web no pueden registrar, detectar, escalar ni alertar sobre ataques activos en tiempo real o casi en tiempo real.
  • Los registros y alertas son visibles o accesible para cualquier usuario.

10 – Falsificación de solicitud del lado del servidor (SSRF) en Sitios Web

El SSRF (Server Side Request Forgery) o falsificación del lado del servidor es el último de los riesgos de seguridad en sitios web 2023 y consiste en que el sitio web recibe una consulta sin validar correctamente la URL. Permitiendo peticiones externas manipuladas a destinos inesperados que comprometan la seguridad de los datos. Por ejemplo:

https://misitioweb/consultar_item/1: Con esta consulta, deseo saber todo el detalle del ítem número #01 .

Sin embargo, esa URL es alterada por un atacante, el cual desea acceder a todos los usuarios del sitio:

https://misitioweb/consultar_usuarios: Con esta consulta, obtiene los datos de los usuarios y con ella un posible acceso al sitio web 🚫.

Este tipo de vulnerabilidades ha ido en aumento, sobre todo en sitios web que usan aplicaciones de terceros que se conectan por medio de API. Las cuales brindan a los usuarios finales funciones convenientes, pero al estar expuestas las URLs, se convierte en un escenario bastante común. Y como resultado, la incidencia de SSRF sigue aumentando.

Falsificación de solicitud del lado del servidor (SSRF) en Sitios Web

Para finalizar

Si se cuenta con un sitio web, lo primero es entender cada uno los riesgos de seguridad, los cuales pueden ser utilizados por algunos profesionales con el objetivo de acceder y manipular los datos confidenciales existentes o incluso daño parcial o total del sitio Web. Generando consecuencias muy negativas para todos los involucrados.

Debido a esto, es importante y necesario crear una rutina de mantenimiento permanente que proteja el sitio web de manera eficiente. Esto ha generado que se hayan desarrollado diversos programas que ayudan a la reducción de los riesgos de seguridad (por ejemplo: el proyecto OWASP). Sin embargo, lo primero es identificar y entender cada uno de estos riesgos y cómo afecta al sitio web.

10 riesgos de seguridad en sitios web 2023. Conclusion

¿Consideras que existen otros riesgos de seguridad en sitios web 2023 que deberíamos desarrollar? Te invitamos a dejarnos un comentario. 👇

Te invitamos a:
  • ¡Ayúdenos a mejorar nuestro contenido y a mantener la conversación enriquecedora y constructiva para todos! Dejanos tu comentario. 😉
  • Síguenos en Facebook e Instagram para recibir contenido exclusivo y estar al tanto de todas las últimas tendencias y actualizaciones. ¡Te esperamos allí!
  • ¿Te ha gustado lo que has leído aquí? ¡Ayúdanos a expandir nuestra comunidad y comparte nuestro contenido con tus amigos y conocidos! Juntos podemos hacer crecer esta comunidad y seguir aprendiendo y creciendo juntos. ❤️
  • Cualquier duda escríbenos ✉️.
  • "Si crees que puedes, ya estás a medio camino" - THEODORE ROOSEVELT.

¡Hasta la próxima 👋!


5/5 - (1 voto)