Los formularios online que todos tenemos que rellenar, bien sea para iniciar sesión en un sitio web o a la hora de realizar una compra, se han convertido en una buena vía para que los hackers consigan acceder a nuestros datos personales y financieros, según se indica en el informe Application Report 2019, recientemente publicado por F5 Labs, la división de ciberseguridad de F5 Networks.
Después de analizar 760 casos de robo de datos, F5 Labs concluyó que la técnica de formjacking, mediante la que el hacker es capaz de mover los datos desde el navegador del usuario hasta otro sitio controlado por él, se está convirtiendo en uno de los métodos preferidos por los ciberdelincuentes, llegando a suponer el 71% de todos los casos analizados por F5 Labs durante 2018.
“Las aplicaciones web están incorporando a su código cada vez más componentes críticos de terceros, como pueden ser carros de compra o sistemas de pago con tarjeta. Los desarrolladores web utilizan librerías de código importadas o, en algunos casos, enlazan sus aplicaciones directamente a los comandos de terceros alojados en la web. Como consecuencia, la vulnerabilidad de las organizaciones se incrementa, ya que su código se compila a partir de múltiples fuentes de distinta procedencia, casi todas situadas fuera de los límites de los controles normales de seguridad empresarial. Dado que muchos sitios web hacen uso de los mismos recursos de esas terceras partes, los hackers saben que con lograr comprometer un solo componente pueden llegar a los datos de un gran número de usuarios, clientes de múltiples empresas“, afirma David Warburton, senior threat evangelist en F5 Networks.
En sus investigaciones, F5 Labs ya ha detectado durante 2019 un total de 83 incidentes de formjacking, que en su conjunto afectaron a un total de 1,4 millones de tarjetas de crédito. Se estima que actualmente el 60% de todos los robos relacionados con tarjetas de crédito utilizan esta técnica. Los sectores de Retail, Transporte e Industria son los más afectados.
Aunque las vulnerabilidades por inyección de código no son una técnica nueva, F5 labs cree que sigue siendo un problema creciente, ya que la evolución de los negocios va acompañada de la aparición de nuevos riesgos y de la ampliación de las áreas de ataque. Según la Exploit Database, el 11% de los exploits descubiertos durante 2018 formaba parte de una cadena de ataques de formjacking, ya fuera mediante la ejecución remota de código (5,4%), la inclusión de archivos (3,8%) o la ejecución remota de CMD (1,1%).
“El panorama de ataques mediante inyección de código se está transformando a medida que cambian nuestras prácticas”, dice Warburton. “Detectar y mitigar los defectos de inyección de manera adecuada depende ahora de las evaluaciones y los controles que pongamos en marcha, no solo de la corrección del código. Cuanto más código entreguemos a terceros, menos visibilidad y menos control tendremos sobre él. “
Para ello, F5 Labs recomienda:
- Crear de un inventario de aplicaciones web, que debe incluir una auditoría exhaustiva del contenido de terceros. Es un proceso complicado, ya que normalmente estos contenidos están vinculados a otros sitios web con controles de seguridad poco fiables.
- Parchear el entorno. Aunque el parcheo no necesariamente va a corregir los defectos de los contenidos de terceros, sí conseguirá dificultar el compromiso de los datos. La técnica de inyección web es muy versátil, por lo que resulta crítico parchear las aplicaciones propias a fin de prevenir daños que puedan provocar los activos de terceros que hayan sido comprometidos.
- Escanear vulnerabilidades. Durante años, los CISO han reconocido la importancia de llevar a cabo escaneos externos con el objetivo de obtener una visión de la actividad de los hackers.
- Monitorizar cambios de código. Con independencia de dónde se encuentre alojado el código, es importante conseguir una mayor visibilidad, independientemente de si surgen nuevas vulnerabilidades o no. Esto significa monitorizar los depósitos GitHub y AWS S3, así como los repositorios de código nativo.
- Autenticación multifactorial. Que debe ser implementada en cualquier sistema conectando activos de alto impacto, ya que la inyección se utiliza a menudo para evitar la autenticación a la hora de acceder al código del servidor web. Idealmente, el cifrado de la capa de aplicación también puede complementar TLS/SSL para mantener la confidencialidad a nivel del navegador. Muchos firewalls de aplicaciones web (WAF) tienen esta capacidad. Sin embargo, un WAF avanzado puede ofrecer un mayor nivel de visibilidad y control de la capa de aplicación para ayudar a mitigar los riesgos de inyección distribuidos y polimórficos.
- Explorar el potencial de las herramientas de software de servidor. Por ejemplo, es posible establecer una Política de Seguridad de Contenidos (CSP) para bloquear inyecciones de código no autorizado en un sitio web o en una aplicación. Además, los métodos web SubResource Integrity (SRI) pueden verificar que las aplicaciones de terceros no han sido alteradas. Ambas herramientas requieren trabajo para adaptarlas adecuadamente a una aplicación web. Aquí es donde entra en juego un WAF robusto y flexible.
- Monitorización de certificados y de dominios registrados recientemente. Se usan a menudo para alojar scripts maliciosos con apariencia de auténticos para los usuarios.
“Seguramente, las organizaciones van a comenzar a gestionar los riesgos de inyección web mediante acuerdos de nivel de servicio de seguridad”, añade Warburton. “Los métodos de mitigación recomendados en el informeApplication Protection Report 2019 son un buen comienzo, pero también es vital adaptarse y adquirir nuevas capacidades para poder hacer frente a la evolución de los hackers”.