Las aplicaciones que constituyen la gran mayoría de las tecnologías hipercomplejas actuales dependen en gran medida del código de terceros. Desafortunadamente, los importantes beneficios que brindan estos componentes prefabricados a menudo se ven comprometidos por las graves implicaciones de seguridad de la arquitectura de terceros.
Es esencial que las empresas modernas no sólo reconozcan estos riesgos, sino que también ayuden activamente a detener el flujo de ataques. Las herramientas de vanguardia, incluida una solución WAF de próxima generación, pueden ser la única forma de garantizar la existencia de terceros.
1. Código de terceros: ¿por qué reinventar la rueda?
El código de terceros describe todas las líneas de un programa que se pueden reproducir en diferentes aplicaciones. Esto facilita el proceso de desarrollo de una aplicación, ya que el reciclaje de código puede reducir significativamente el tiempo de comercialización. Pero incluso una vez que se sientan las bases de una aplicación, los desarrolladores pueden aprovechar el código de terceros para el seguimiento de anuncios, reseñas de clientes, pagos, chatbots, gestión de etiquetas, integración de redes sociales u otras bibliotecas auxiliares que simplifican las funciones comunes.
La gran utilidad y disponibilidad del código de terceros ha hecho que se infiltre en todos los rincones de Internet: hoy en día, el código de terceros representa hasta el 70% de todos los sitios web. En la misma encuesta, el 99% de los encuestados dijo que los sitios utilizados y producidos por su organización contienen al menos un elemento de código de terceros.
El código abierto describe un tipo de código de terceros, aunque el término tercero también se refiere al código desarrollado externamente, cuya licencia de uso puede haber sido adquirida. Cualquiera que sea el precio comercial de este código, las empresas han ignorado durante demasiado tiempo los costos sociales y de seguridad.
2. El peligro oculto del código fantasma
El código de terceros se presta al desarrollo de sitios y aplicaciones altamente accesibles. Si bien estos entornos sin código o con poco código ayudan a reducir la barrera de entrada para emprendedores y aficionados entusiastas, es esencial comprender los riesgos. Los ciberdelincuentes están más que dispuestos a aprovecharse de desarrolladores ingenuos o descuidados. A veces no es la falta de habilidades lo que les permite infiltrarse, sino la alta presión para un despliegue rápido.
Los atacantes agrupados bajo el paraguas de Magecart se aprovechan de códigos de terceros desde 2015. Este sindicato criminal se basa en el robo de tarjetas de crédito digitales, robadas inyectando secretamente código JavaScript en páginas de pago de comercio electrónico. Magecart ha sembrado una estela de destrucción con apuestas impresionantes: Ticketmaster, British Airways y muchas otras marcas en línea han sido víctimas de sus ataques.
En 2020 se produjeron dos ataques de gran resonancia: el fabricante de ropa infantil Hanna Andersson y el minorista británico Sweaty Betty. Se cree que ambos ataques giraron en torno a complementos de sitios aparentemente inofensivos. Sin embargo, ocultos en estas líneas de código, los atacantes de Magecart agregan algunas líneas clave de JavaScript.
Este código de terceros suele copiar formularios de pago legítimos en un sitio de comercio electrónico. Sin embargo, se han realizado cambios cruciales (pequeños). Por ejemplo, la información de pago se envía en secreto a un servidor controlado por el atacante. La transacción en sí todavía está autorizada, lo que significa que los usuarios finales no saben nada.
El ataque a Hanna Andersson pasó desapercibido durante varias semanas, aunque fue un descubrimiento relativamente rápido, ya que otras víctimas permanecieron en la ignorancia durante casi un año. La mayoría de las víctimas solo reciben alertas cuando la información de la tarjeta de crédito robada aparece en los mercados de la web oscura.
El costo es significativo: a Hanna Andersson se le ordenó pagar 400.000 dólares en daños y perjuicios a más de 200.000 clientes; El costo exacto para las víctimas individuales es más difícil de determinar, pero robar su nombre, dirección de envío, dirección de facturación e información de la tarjeta de pago permite a los atacantes causar un daño increíble. Los ataques de Magecart ganaron popularidad durante la pandemia de Covid-19, con un aumento del 20%, mientras que el tiempo promedio de detección alcanzó los 22 días.
Magecart puede representar código malicioso de terceros, pero incluso el código de fuente abierta probado puede causar accidentalmente uno de los mayores problemas de seguridad de esta década. Log4j describe una biblioteca de registro de código abierto que se ha convertido en una de las piezas más importantes de la arquitectura web, responsable de transmitir información de registro vital al equipo de desarrollo y mantenimiento.
Sin embargo, en 2021, se descubrió que la biblioteca log4j era gravemente vulnerable a la ejecución remota de código. Cientos de millones de dispositivos corren entonces un grave riesgo, ya que el fallo también es relativamente sencillo de explotar.
No es realista renunciar por completo al código de terceros. Más del 60% de los sitios web del mundo se ejecutan en servidores Apache y Nginx, y el 90% de los administradores de TI utilizan regularmente código fuente abierto empresarial. Todo el software moderno se construye a partir de componentes preexistentes, y reconstruir estas funciones desde cero requeriría enormes inversiones de tiempo y dinero para producir incluso aplicaciones relativamente simples.
3. No puedes salirte con la tuya con un parche.
Una vez integrado en una aplicación, el código de terceros puede resultar difícil de probar y aún más difícil de proteger. Las correcciones dependen totalmente de los desarrolladores; Incluso para los desarrolladores activos y bien intencionados, como aquellos que mantienen la funcionalidad log4j, las correcciones toman una cantidad crítica de tiempo.
No temas: una solución de seguridad integral puede ofrecer múltiples herramientas para aplicar parches virtualmente y, en última instancia, detener a los atacantes en seco. Una de esas herramientas es el firewall de aplicaciones web (WAF). Se interpone entre la aplicación y el usuario final, monitoreando y filtrando el tráfico que pasa. Los WAF de próxima generación ofrecen creación automática de políticas, así como una rápida propagación de reglas, para expandir explícitamente la red de seguridad que necesita el código de terceros.
Mientras que el WAF tradicional se centra principalmente en monitorear conexiones externas, la Protección de aplicaciones web y API (WAAP) describe un conjunto de protección más completo. Incorpora el enfoque basado en firewall para WAF, mientras se centra más en las API. Estos fragmentos de código brindan acceso programático a diferentes aplicaciones e históricamente han sido un punto débil importante en las defensas de las organizaciones.
Finalmente, la autoprotección de aplicaciones en tiempo de ejecución (RASP) ofrece un siguiente paso convincente hacia la protección automatizada. En lugar de estar fuera del código de la aplicación, RASP actúa como un complemento, adjuntándose a las partes internas de la aplicación. A través de su vista interna de una aplicación, RASP puede monitorear su comportamiento y mapear inicios de sesión y privilegios típicos que ocurren bajo el capó. Una vez que se establece un comportamiento de referencia, RASP puede detectar automáticamente (y, lo que es más importante, detener) comportamientos sospechosos.
Con un conjunto proactivo de medidas de parches virtuales implementado, su seguridad puede seguir el ritmo de DevOps y, al mismo tiempo, ayudar a anular la amenaza de los ciberdelincuentes y las demandas resultantes.