Lo que no sabes te puede hackear: Ataques a la cadena de suministro de software en aplicaciones móviles
Compartir
Comentario
Lo que no sabes te puede hackear: Ataques a la cadena de suministro de software en aplicaciones móviles
7 de agosto de 2023
Índice
Los ataques a la cadena de suministro en el ámbito del software en general siguen apareciendo en los titulares y causando grandes quebraderos de cabeza. Al fin y al cabo, a medida que aumenta la dependencia del uso de paquetes de código ajeno en lugar de la vieja escuela de la codificación personalizada propia, es inevitable encontrarse con algunas sorpresas no tan buenas por el camino.
El mes pasado, la Casa Blanca publicó su Plan de Implementación de la Estrategia Nacional de Ciberseguridad, que enumera la necesidad de abordar los ataques relacionados con la cadena de suministro como uno de los 5 pilares principales del plan.
Las aplicaciones móviles no son una excepción a esta necesidad de mayor escrutinio y supervisión continua para prevenir o remediar rápidamente los ataques a la cadena de suministro de software. Estos ataques plantean riesgos significativos no solo para los usuarios de las aplicaciones, sino también para las propias empresas que dependen de ellas para prosperar y servir a sus clientes.
El desarrollo de aplicaciones móviles puede ser un punto de entrada para las violaciones de la seguridad de los datos
Mientras los consumidores se van concienciando poco a poco de los riesgos para la seguridad de los datos, los desarrolladores de aplicaciones también deben reconocer que sus creaciones se han convertido en una vía vulnerable explotada por los ciberdelincuentes para sabotear las empresas.
Las prácticas modernas de desarrollo de aplicaciones hacen gala de la integración de varios fragmentos de código procedentes de diversas fuentes, lo que agiliza el proceso de desarrollo en aras de la rapidez, la rentabilidad y la colaboración.
Es muy común, incluso para las grandes empresas, subcontratar a terceros la mayor parte o la totalidad del proceso de desarrollo de aplicaciones móviles, lo que crea una distancia aún mayor entre el propietario de una aplicación y su código principal. Sin embargo, esta comodidad conlleva riesgos preocupantes.
Los actores maliciosos, o incluso los desarrolladores involuntarios, pueden inyectar puertas traseras o vulnerabilidades, en su mayoría núcleos latentes de malware, que descargan código malicioso arbitrario una vez desplegado de forma productiva, en el código de terceros durante el desarrollo. Estos componentes comprometidos pueden acabar en las bibliotecas de terceros integradas en algunas de las aplicaciones móviles de marca más fiables del mundo.
Lamentablemente, dado que los desarrolladores de aplicaciones pueden incorporar involuntariamente estas bibliotecas contaminadas, sin ser conscientes de las vulnerabilidades ocultas, la postura de una empresa es a menudo puramente reaccionaria, respondiendo en gran medida a los exploits eventualmente encontrados que pueden proporcionar acceso no autorizado a la aplicación y conducir a violaciones de datos.
Un enfoque proactivo durante el desarrollo, así como un enfoque posterior basado en la información y la inteligencia, son fundamentales.
Estrategias para mitigar los ataques a la cadena de suministro de software
Para blindar la fortaleza de la aplicación y proteger a los usuarios, los desarrolladores deben adoptar estrategias de mitigación eficaces:
Revisiones seguras del código: Realice revisiones exhaustivas del código para identificar y eliminar posibles vulnerabilidades en bibliotecas y componentes de terceros. Si no puede hacerlo por su cuenta, utilice herramientas o servicios de terceros para obtener indicaciones sobre la fiabilidad de los componentes de terceros.
Verificación de proveedores: Investiga a fondo y avala las prácticas de seguridad de terceros vendedores y proveedores, garantizando la integridad de los componentes de la aplicación.
Actualizaciones periódicas: Mantenga proactivamente el software, las bibliotecas y los componentes de terceros con los últimos parches de seguridad para evitar su explotación.
Firma y cifrado de código: Proteja el código de la aplicación mediante la firma y el cifrado, garantizando su integridad durante la distribución y detectando rápidamente las modificaciones no autorizadas. Lo mejor es contar con una verificación de integridad en tiempo de ejecución dentro de una aplicación.
Supervisión y detección de anomalías: Refuerce las defensas de las aplicaciones con sistemas de supervisión vigilantes, que detecten con prontitud comportamientos inusuales, actividades no autorizadas de núcleos de malware en la cadena de suministro u otros indicios de explotación.
Formación de empleados: Inculque una cultura consciente de la seguridad entre los equipos de desarrollo de aplicaciones mediante la concienciación sobre los riesgos de ataque a la cadena de suministro y las mejores prácticas de seguridad.
Forje alianzas con las tiendas de aplicaciones: Colabore con las plataformas de tiendas de aplicaciones para mejorar las medidas de seguridad y garantizar una distribución segura de las aplicaciones para los usuarios.
Al conocer estas amenazas, los desarrolladores de aplicaciones pueden proteger mejor sus aplicaciones y a sus usuarios frente a los oscuros entresijos del mundo digital, que ahora considera las aplicaciones móviles tan atractivas como otros objetivos potenciales relacionados con la empresa.
Cómo los desarrolladores de aplicaciones pueden ser más proactivos en la seguridad de las aplicaciones móviles
La adopción de medidas de seguridad eficaces, la vigilancia de las vulnerabilidades y el establecimiento de asociaciones de colaboración serán fundamentales para preservar la inviolabilidad del espacio de las aplicaciones móviles, en constante evolución.
La colaboración actual entre desarrolladores y tiendas de aplicaciones es esencial. Trabajando juntos, crean claramente un ecosistema más seguro para la distribución de aplicaciones.
Pero no es la respuesta. Tampoco puede considerarse que sea tarea de una tienda de aplicaciones garantizar la seguridad al 100%. Es un deber que recae directamente sobre los hombros de los desarrolladores de aplicaciones móviles. A medida que siguen innovando y ampliando los límites del desarrollo de aplicaciones, la necesidad de prácticas de seguridad sólidas se vuelve más crítica que nunca.
Al mantenerse informados, proactivos y colaboradores, los desarrolladores de aplicaciones pueden combatir eficazmente las amenazas que plantean los ataques a la cadena de suministro de software y garantizar una experiencia digital más segura para todos.
Proteja sus aplicaciones de los ataques a la cadena de suministro de software.
Manténgase informado sobre las últimas amenazas y medidas proactivas para proteger sus aplicaciones de los ataques a la cadena de suministro de software. Únase ahora a nuestro boletín.
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comentario
Lo que no sabes te puede hackear: Ataques a la cadena de suministro de software en aplicaciones móviles
Índice
Los ataques a la cadena de suministro en el ámbito del software en general siguen apareciendo en los titulares y causando grandes quebraderos de cabeza. Al fin y al cabo, a medida que aumenta la dependencia del uso de paquetes de código ajeno en lugar de la vieja escuela de la codificación personalizada propia, es inevitable encontrarse con algunas sorpresas no tan buenas por el camino.
El mes pasado, la Casa Blanca publicó su Plan de Implementación de la Estrategia Nacional de Ciberseguridad, que enumera la necesidad de abordar los ataques relacionados con la cadena de suministro como uno de los 5 pilares principales del plan.
Las aplicaciones móviles no son una excepción a esta necesidad de mayor escrutinio y supervisión continua para prevenir o remediar rápidamente los ataques a la cadena de suministro de software. Estos ataques plantean riesgos significativos no solo para los usuarios de las aplicaciones, sino también para las propias empresas que dependen de ellas para prosperar y servir a sus clientes.
El desarrollo de aplicaciones móviles puede ser un punto de entrada para las violaciones de la seguridad de los datos
Mientras los consumidores se van concienciando poco a poco de los riesgos para la seguridad de los datos, los desarrolladores de aplicaciones también deben reconocer que sus creaciones se han convertido en una vía vulnerable explotada por los ciberdelincuentes para sabotear las empresas.
Las prácticas modernas de desarrollo de aplicaciones hacen gala de la integración de varios fragmentos de código procedentes de diversas fuentes, lo que agiliza el proceso de desarrollo en aras de la rapidez, la rentabilidad y la colaboración.
Es muy común, incluso para las grandes empresas, subcontratar a terceros la mayor parte o la totalidad del proceso de desarrollo de aplicaciones móviles, lo que crea una distancia aún mayor entre el propietario de una aplicación y su código principal. Sin embargo, esta comodidad conlleva riesgos preocupantes.
Los actores maliciosos, o incluso los desarrolladores involuntarios, pueden inyectar puertas traseras o vulnerabilidades, en su mayoría núcleos latentes de malware, que descargan código malicioso arbitrario una vez desplegado de forma productiva, en el código de terceros durante el desarrollo. Estos componentes comprometidos pueden acabar en las bibliotecas de terceros integradas en algunas de las aplicaciones móviles de marca más fiables del mundo.
Lamentablemente, dado que los desarrolladores de aplicaciones pueden incorporar involuntariamente estas bibliotecas contaminadas, sin ser conscientes de las vulnerabilidades ocultas, la postura de una empresa es a menudo puramente reaccionaria, respondiendo en gran medida a los exploits eventualmente encontrados que pueden proporcionar acceso no autorizado a la aplicación y conducir a violaciones de datos.
Un enfoque proactivo durante el desarrollo, así como un enfoque posterior basado en la información y la inteligencia, son fundamentales.
Estrategias para mitigar los ataques a la cadena de suministro de software
Para blindar la fortaleza de la aplicación y proteger a los usuarios, los desarrolladores deben adoptar estrategias de mitigación eficaces:
Al conocer estas amenazas, los desarrolladores de aplicaciones pueden proteger mejor sus aplicaciones y a sus usuarios frente a los oscuros entresijos del mundo digital, que ahora considera las aplicaciones móviles tan atractivas como otros objetivos potenciales relacionados con la empresa.
Cómo los desarrolladores de aplicaciones pueden ser más proactivos en la seguridad de las aplicaciones móviles
La adopción de medidas de seguridad eficaces, la vigilancia de las vulnerabilidades y el establecimiento de asociaciones de colaboración serán fundamentales para preservar la inviolabilidad del espacio de las aplicaciones móviles, en constante evolución.
La colaboración actual entre desarrolladores y tiendas de aplicaciones es esencial. Trabajando juntos, crean claramente un ecosistema más seguro para la distribución de aplicaciones.
Pero no es la respuesta. Tampoco puede considerarse que sea tarea de una tienda de aplicaciones garantizar la seguridad al 100%. Es un deber que recae directamente sobre los hombros de los desarrolladores de aplicaciones móviles. A medida que siguen innovando y ampliando los límites del desarrollo de aplicaciones, la necesidad de prácticas de seguridad sólidas se vuelve más crítica que nunca.
Al mantenerse informados, proactivos y colaboradores, los desarrolladores de aplicaciones pueden combatir eficazmente las amenazas que plantean los ataques a la cadena de suministro de software y garantizar una experiencia digital más segura para todos.
Proteja sus aplicaciones de los ataques a la cadena de suministro de software.
Escrito por
Dr. Klaus Schenk
El Dr. Klaus Schenk es vicepresidente senior de seguridad e investigación de amenazas de Verimatrix y dirige sus Laboratorios VMX.
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 11: Coper, Octo, CriminalMW y más
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024
La proliferación de herramientas frente a la ausencia total de herramientas de seguridad
Resumen de amenazas a la ciberseguridad nº 10: Joker, Samecoin, SpyNote y más