7 riesgos de seguridad en aplicaciones que se pueden evitar

1. Introducción#

Grandes corporaciones, incluyendo a Uber, MGM Resorts, CircleCI, Ticketmaster y muchas otras empresas, se enfrentaron a brechas de seguridad desde septiembre de 2022 hasta mayo de 2024 después de que los atacantes obtuvieran acceso no autorizado a los sistemas de cuentas de sus usuarios. Los ataques causaron más de cientos de millones de dólares estadounidenses en daños y expusieron los datos personales de más de 600 millones de usuarios; los sistemas de autenticación obsoletos de esa época podrían haber evitado estas brechas de seguridad.

La historia no muestra evidencia de sofisticados ataques de día cero o de ciberatacantes utilizando vulnerabilidades desconocidas para llevar a cabo sus ataques. Estos casos revelan cómo las organizaciones fracasaron en prevenir las brechas de seguridad. La mayoría era consciente de los ataques de fatiga de MFA pero no logró protegerse contra ellos, y reconocían las vulnerabilidades de los sistemas basados en contraseñas pero siguieron utilizándolos.

2. Fallos en la autenticación heredada#

La autenticación débil o heredada es un punto de entrada común para los atacantes. La mayoría de las brechas de seguridad comienzan cuando los atacantes obtienen contraseñas robadas o utilizadas anteriormente, aunque las organizaciones tienen acceso a sistemas de autenticación establecidos con claves de acceso, que proporcionan protección contra el phishing. La brecha de MGM Resorts de 2023 comenzó cuando los atacantes utilizaron el vishing para acceder al soporte de TI de la mesa de ayuda, lo que les permitió restablecer las credenciales, desplegar un ransomware y causar siete días de interrupción del sistema.

Los sistemas de seguridad de MGM y de otras organizaciones utilizaban contraseñas junto con autenticación de dos factores basada en SMS, lo que no logró proteger contra ataques de ingeniería social y el robo de credenciales. La organización no logró establecer mejores sistemas de autenticación porque comprendían las amenazas de seguridad, pero sus sistemas actuales y procesos de trabajo les impidieron realizar cambios.

Las claves de acceso, que utilizan criptografía de clave pública e identificación biométrica, habrían reducido significativamente el riesgo de que estos ataques tuvieran éxito. Las claves de acceso son más seguras que las contraseñas porque los usuarios no pueden restablecerlas mediante acceso remoto o el soporte de la mesa de ayuda compartiendo códigos de restablecimiento, lo que protege contra los ataques de ingeniería social. La seguridad de las claves de acceso sigue siendo vulnerable a métodos de ataque específicos, que ocurren cuando los procesos de recuperación de cuentas no están debidamente asegurados y cuando los dispositivos se infectan con malware.

3. Ataques basados en sesiones y cookies#

Los atacantes se centran en obtener cookies, ya que les ayudarán a acceder al sistema y eludir todos los procedimientos de autenticación. La brecha de CircleCI de 2022 subraya esto al mostrar cómo un malware de tipo infostealer en el portátil de un empleado puede robar fácilmente cookies de sesión activas. Utilizando estas, los atacantes luego eludieron la autenticación de dos factores y obtuvieron acceso a los sistemas de producción.

Las cookies de sesión sirven como un medio para eludir los controles de acceso con sus tokens al portador, facilitando la exposición de datos sensibles. Para prevenir estos percances, las organizaciones pueden implementar las credenciales de sesión vinculadas al dispositivo (DBSC), que protegen a los usuarios del robo de sesiones utilizando métodos criptográficos para vincular las sesiones a dispositivos específicos. Esto hace que las cookies robadas de otras computadoras sean imposibles de usar. El sistema DBSC ofrece protección efectiva contra el malware infostealer que se ejecuta en varios dispositivos, pero no puede detener los ataques cuando el malware infecta el dispositivo registrado inicialmente.

4. Autorización rota#

Cuando los atacantes vulneran el control de acceso en la aplicación, pueden moverse lateralmente sin importar sus permisos. El riesgo de seguridad por las vulnerabilidades de autorización sigue siendo alto porque los atacantes han utilizado con éxito controles de acceso insuficientes para navegar entre los componentes del sistema durante múltiples brechas de red.

Para identificar las vulnerabilidades de IDOR (Referencia Directa e Insegura a Objetos), los desarrolladores de aplicaciones deben utilizar el modelado de amenazas basado en conceptos para detectar las estructuras básicas de gestión de acceso e implementar procesos de revisión de código para validar los permisos de las cuentas de servicio.

Optar por asignaciones de roles complejas y gestión de permisos en lugar de un modelo de privilegio mínimo puede dejar a las organizaciones vulnerables a problemas de autorización. Las asignaciones de roles complejas pueden llevar a accesos no autorizados a información sensible y funciones en aplicaciones dirigidas al cliente. Las organizaciones sin un marco de autorización seguro no pueden proteger sus datos contra operaciones y accesos no autorizados.

Con el aumento de los problemas de seguridad en entornos B2C, una sola cuenta comprometida puede causar daños significativos en múltiples cuentas de usuarios. Al implementar la gestión de accesos privilegiados, las organizaciones pueden proporcionar a sus empleados y clientes solo el acceso mínimo necesario para realizar su trabajo. Además de esto, el modelado regular de amenazas basado en conceptos y la revisión de código pueden ayudar a detectar fácilmente riesgos y vulnerabilidades.

5. Integraciones de IA inseguras#

La rápida integración de la GenAI y los LLMs en las aplicaciones ha superado la capacidad de los controles tradicionales para detectar estos cambios, lo que resulta en un riesgo de seguridad invisible. La brecha de Snowflake de 2024 demuestra cómo los actores de amenazas utilizaron credenciales robadas en ataques de malware infostealer para ingresar a los entornos de los clientes de Snowflake, los cuales no tenían implementada la autenticación multifactor. El ataque comprometió a más de 165 organizaciones, entre ellas Ticketmaster, con 560 millones de registros de clientes, AT&T y Banco Santander.

A menudo, las organizaciones no logran reconocer la IA como una parte fundamental del entorno de TI, dejando los recursos de IA como modelos, almacenes de datos vectorizados y pipelines de IA vulnerables a riesgos de mala configuración y ciberataques. La mayoría de las organizaciones tienen dificultades para monitorear los sistemas de IA de manera efectiva debido a la "IA en la sombra" (shadow AI), donde individuos no autorizados pueden llevar a cabo ataques basados en credenciales sin ser detectados internamente.

Si las organizaciones aplicaran controles de referencia como validación de entrada, aislamiento y monitoreo continuo a sus sistemas de IA al igual que lo hacen con otras infraestructuras de TI, estos incidentes de seguridad podrían haberse evitado. Las organizaciones pueden automatizar la identificación y corrección de malas configuraciones utilizando herramientas de seguridad de IA, que proporcionan un inventario completo de todos los recursos de IA.

6. Malas configuraciones en la nube y el entorno de ejecución#

Las malas configuraciones en la nube, incluyendo buckets de almacenamiento expuestos, grupos de seguridad excesivamente permisivos y contenedores expuestos, pueden resultar en incidentes de seguridad. La brecha de ePallet de 2022 demostró que un bucket de Amazon S3 mal configurado puede exponer datos sensibles de los clientes de otras empresas que utilizan su herramienta. Los atacantes utilizaron dos vectores principales para acceder a información sensible: buckets de almacenamiento desprotegidos y grupos de seguridad con controles de acceso ineficaces.

El escaneo de cumplimiento básico muestra que estos ataques se originan principalmente en dos fuentes: almacenamiento accesible públicamente con datos específicos de los usuarios y puertos de gestión virtual expuestos. Las organizaciones pueden ver estas malas configuraciones como soluciones a corto plazo para el cumplimiento, pero la mayoría se convierten en puntos de quiebre de seguridad.

La identificación y corrección de las malas configuraciones debería ser continua a través de la gestión constante de la postura de seguridad en la nube o las verificaciones de seguridad en tiempo de ejecución, lo que reduce significativamente el riesgo de que los atacantes exploten vulnerabilidades. Las organizaciones pueden usar herramientas automatizadas de escaneo y monitoreo para encontrar las malas configuraciones, y luego la plataforma de monitoreo puede remediarlas.

7. Falta de seguridad en el SDLC#

Las vulnerabilidades entran en el proceso de producción cuando las funciones de seguridad no están adecuadamente integradas en el proceso de desarrollo de software. Una acción de GitHub mal configurada en el pipeline CI/CD de una startup de criptomonedas estaba compartiendo credenciales de AWS de forma silenciosa, ayudando a los atacantes a minar 800 dólares estadounidenses en criptomonedas.

SAST/DAST, la revisión de código seguro y el escaneo de dependencias pueden identificar las vulnerabilidades de seguridad comunes. Estas pueden variar desde ataques de inyección hasta deserialización insegura y referencias directas e inseguras a objetos, pero estos problemas persisten cuando la seguridad no recibe atención.

La integración de la seguridad en el ciclo de vida del desarrollo de software (SDLC) permite a los desarrolladores identificar y resolver las vulnerabilidades de seguridad, para que luego puedan implementarlas en sus aplicaciones web antes del despliegue a producción. La prevención de estos problemas requiere que las organizaciones implementen tres prácticas de seguridad fundamentales, que incluyen el escaneo automatizado, la gestión de dependencias y las revisiones de código seguro.

8. Procesos insuficientes de monitoreo y remediación#

Las organizaciones continúan experimentando brechas de seguridad en gran parte porque no logran reconocer los indicadores de advertencia y carecen de procesos de remediación definidos para las anomalías del sistema. Deberían monitorear constantemente sus sistemas informáticos y establecer un procedimiento de respuesta claro para las violaciones de seguridad, siguiendo los estándares actuales de la industria a la luz de la brecha de Uber de 2022. Sin un registro exhaustivo de los eventos de seguridad, a las organizaciones les resulta difícil monitorear el robo de credenciales, los intentos inusuales de acceso a dispositivos o las transacciones anormales de tokens.

A las organizaciones les resulta un desafío detectar los intentos de inicio de sesión y autenticación o registrar los eventos de registro de usuarios porque la información que recopilan carece del detalle suficiente para la identificación temprana de abusos en los derechos de seguridad.

Los sistemas de la organización identifican y manejan eventos anormales a través de telemetría centrada en la privacidad y procedimientos de respuesta algorítmicos automatizados. Las capacidades de detección y respuesta de IA ayudarán a las organizaciones a identificar las relaciones entre los eventos de seguridad y a detener las brechas antes de que ocurran.

9. Conclusión#

La parte más frustrante de estudiar las brechas de MGM, Snowflake, Uber y CircleCI es entender que estos incidentes podrían haberse evitado. El incidente se volvió inevitable porque la tecnología actual carecía de las capacidades necesarias que las empresas centradas en la seguridad ya utilizaban en sus sistemas de autenticación.

Todas las organizaciones en este reporte tenían acceso para implementar las claves de acceso antes de que sus sistemas fueran comprometidos. Aunque las claves de acceso eran una tecnología disponible y madura durante 2022-2024, las credenciales de sesión vinculadas al dispositivo (DBSC) no estuvieron ampliamente disponibles hasta 2024. El sistema incluía múltiples controles de seguridad en la nube, como la aplicación de MFA, listas de permisos de red, un modelo IAM de privilegios mínimos y monitoreo. Sin embargo, estos controles requerían configuración manual para una protección completa.

Los equipos de seguridad de algunas organizaciones apoyaron estos controles, pero no lograron vencer la resistencia al cambio en toda la empresa. El resultado trajo consigo la exposición de los datos personales de más de 600 millones de personas, investigaciones regulatorias y pérdidas totales que excedieron los cientos de millones.

Las organizaciones han realizado investigaciones que demuestran que los ataques basados en credenciales aumentarán a un ritmo acelerado, por lo que las empresas deben manejar esta crítica amenaza de seguridad de inmediato. Su organización debe determinar si adoptará sistemas de autenticación modernos antes o después de que otras organizaciones utilicen su fallo de seguridad como un ejemplo en sus investigaciones sobre brechas de seguridad.

Existen herramientas de seguridad de aplicaciones que funcionan automáticamente mediante un proceso sencillo que no necesita procedimientos de instalación complejos. El ROI es medible. La comunidad de seguridad carece de un sentido de urgencia que le permitiría reconocer la modernización de la autenticación como un control de seguridad esencial. La organización debe actuar de inmediato porque la próxima llamada a la mesa de ayuda, correo de phishing y carga de malware infostealer se convertirá en un incidente de cien millones de dólares.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Cómo logró la brecha de CircleCI eludir la autenticación de dos factores?#

En la brecha de CircleCI de 2022, un malware tipo infostealer en el portátil de un empleado robó directamente las cookies de sesión activas. Dado que las cookies de sesión actúan como tokens al portador que otorgan acceso inmediato, los atacantes las utilizaron para eludir por completo la autenticación de dos factores y acceder a los sistemas de producción.

¿Cuál es la diferencia de seguridad entre DBSC y las cookies de sesión estándar?#

Las cookies de sesión estándar pueden ser robadas por un malware infostealer y reutilizadas desde cualquier dispositivo, eludiendo los controles de autenticación. Las credenciales de sesión vinculadas al dispositivo (DBSC) utilizan métodos criptográficos para vincular una sesión al dispositivo específico que la creó, por lo que las cookies robadas no pueden ser reutilizadas desde máquinas controladas por atacantes.

¿Por qué el control de acceso roto causó daños tan generalizados en la brecha de Snowflake?#

La brecha de Snowflake comprometió a más de 165 organizaciones cliente porque los entornos de inquilinos individuales carecían de la aplicación de MFA, lo que significaba que un solo conjunto de credenciales robadas podía desbloquear almacenes enteros de datos de clientes. Solo Ticketmaster tuvo 560 millones de registros de clientes expuestos como resultado de esta única brecha de control.

¿Qué fallo de seguridad del SDLC provocó el incidente de minería de criptomonedas en GitHub Actions?#

Un flujo de trabajo de GitHub Actions mal configurado en el canal CI/CD de una startup de criptomonedas estaba filtrando silenciosamente credenciales de AWS a atacantes, quienes las utilizaron para minar 800 dólares estadounidenses en criptomonedas. El artículo identifica el escaneo automatizado SAST/DAST, la gestión de dependencias y las revisiones de código seguro como las tres prácticas que habrían detectado esta mala configuración antes de su despliegue en producción.