Fantasmas en el código: Puntos ciegos en el desarrollo de aplicaciones móviles
Compartir
Comentario
Fantasmas en el código: Puntos ciegos en el desarrollo de aplicaciones móviles
12 de septiembre de 2023
Índice
En sombras proyectadas, donde los secretos se esconden sin ser vistos, aplicaciones desprotegidas, los fantasmas de la máquina, A través de reinos ocultos, deambulo sin ser detectado, Un hacker espectral, con poderes resucitados.
Las aplicaciones móviles se han convertido en una parte indispensable de las comunicaciones entre empresas y consumidores, e incluso entre empresas. Desde transacciones bancarias y solicitudes de servicios hasta actualizaciones de noticias y entretenimiento, estas aplicaciones se han convertido en fundamentales para el comercio. Sin embargo, hay un problema cada vez mayor que a menudo no se aborda: la falta de seguridad adecuada de las aplicaciones móviles.
Esto es especialmente cierto cuando se compara con las rigurosas defensas de las que disfrutan otras partes de la empresa. Y a menudo se deriva de lo que una empresa no puede o no intenta controlar en primer lugar. Esto es importante, sobre todo, porque el impacto de una vulnerabilidad no descubierta se multiplica con el número de despliegues de puntos finales.
Las instancias de aplicaciones móviles no supervisadas y sus vulnerabilidades de seguridad no abordadas se han convertido en fantasmas en la máquina de la empresa; Los hackers suelen eludir las defensas y acechan sin ser vistos dentro de la empresa que ofrece la aplicación.
Por ejemplo, cuando una aplicación móvil se ve comprometida o su conexión con el backend es violada, pueden surgir problemas importantes.
Imagina las consecuencias para un banco cuya aplicación móvil es descargada legítimamente por delincuentes que han decidido crear una cuenta normal sólo para utilizarla con fines de análisis nefasto. Pretenden saber cómo funciona la aplicación y su código para, en última instancia, asaltar el banco. O pensemos en una situación en la que se manipula una aplicación de control industrial, lo que puede tener consecuencias peligrosas en el mundo real.
Está claro que es mucho lo que está en juego, y las empresas deben hacer frente a esta vulnerabilidad.
¿Qué piensan los CISO de la seguridad de las aplicaciones móviles?
¿Son frecuentes los puntos ciegos en la seguridad de las aplicaciones móviles? Por desgracia, sí.
Verimatrix patrocinó recientemente una investigación de ISMG para encuestar a los CISO de todo el mundo y determinar qué lugar ocupa la seguridad de las aplicaciones móviles en su superficie de ataque. ¿El resultado?
¿Le sorprenden estos resultados?
Los roles poco claros y las suposiciones incoherentes pueden crear puntos ciegos en la seguridad de las aplicaciones móviles dentro de las organizaciones. Cuando la responsabilidad de la seguridad de las aplicaciones es ambigua entre desarrolladores, informáticos y equipos especializados, pueden surgir lagunas en las que nadie se responsabilice plenamente de mitigar los riesgos.
Los desarrolladores a menudo asumen que las aplicaciones no necesitan seguridad añadida -que sus prácticas de codificación ejemplares son lo suficientemente buenas- mientras que la seguridad corporativa asume que el desarrollo ya ha incorporado la seguridad de la aplicación en el proceso de proceso CI/CD. Sin claridad sobre la propiedad, la seguridad suele pasarse por alto.
Además, las organizaciones pueden suponer que la seguridad de sus propias aplicaciones móviles es sólida en comparación con las aplicaciones de terceros, lo que revela un sesgo hacia las soluciones DevAppSec propias.
Sin embargo, sin validar estos supuestos, existe un riesgo.
Incluso las empresas que añaden seguridad a las aplicaciones y las someten a pruebas de penetración se encuentran a menudo con problemas, ya que la aplicación puede ser segura un día pero insegura al siguiente debido a vulnerabilidades ocultas integradas en la cadena de suministro del código.
Reconocer que hay razones de peso por las que la seguridad de las aplicaciones móviles no se ha adoptado plenamente o sólo se ha protegido una vez sin una supervisión continua de la aplicación es una especie de admisión de que probablemente existen puntos ciegos y es necesario un mayor esfuerzo para mejorar en este ámbito.
El reto de detectar acciones comprometidas en aplicaciones móviles
Entonces, ¿cómo saben las empresas cuándo o incluso si se producen estas acciones comprometidas? Necesitan tener visibilidad de determinadas acciones realizadas por cada dispositivo que utiliza la aplicación móvil.
Si las acciones son poco comunes o una serie de acciones crean algún tipo de anomalía, es probable que haya un problema. ¿Intentan realizar transacciones dispositivos de países que probablemente no utilicen realmente una aplicación? ¿Hay indicios de ingeniería inversa? El propietario de una aplicación móvil debe saberlo. Lamentablemente, a menudo no es así.
Es realmente problemático, ya que está claro que las aplicaciones móviles han captado la atención de los ciberdelincuentes que buscan vías alternativas para vulnerar la seguridad de las empresas. Muchos desarrolladores de aplicaciones móviles, independientemente de su tamaño o prominencia, no dan prioridad a la visibilidad necesaria para determinar si los malos actores están jugando con su aplicación. Esta negligencia los deja muy vulnerables, con numerosos puntos ciegos que los atacantes pueden explotar.
Cómo garantizar una mayor seguridad de las aplicaciones móviles
Los puntos ciegos pueden manifestarse de diversas formas, como mecanismos de autenticación débiles, almacenamiento y transmisión de datos inseguros e integraciones de terceros inadecuadas. Estos puntos ciegos pueden ser aprovechados por los ciberdelincuentes para obtener acceso no autorizado a información sensible de los usuarios o interrumpir la funcionalidad de la aplicación. Los desarrolladores de aplicaciones móviles deben reconocer y abordar estos puntos ciegos para proteger a los usuarios y mantener su confianza.
Existen bastantes enfoques que los desarrolladores pueden adoptar para garantizar la seguridad de las aplicaciones móviles:
- Evaluación de riesgos y modelización de amenazas
Para encontrar y mitigar los puntos ciegos, los desarrolladores deben llevar a cabo evaluaciones de riesgos exhaustivas y ejercicios de modelado de amenazas. Estas prácticas implican analizar los posibles riesgos y vulnerabilidades específicos de la aplicación móvil, evaluar su impacto y aplicar las medidas de seguridad adecuadas.
Al considerar proactivamente los posibles puntos ciegos, los desarrolladores pueden minimizar la superficie de ataque y mejorar la postura general de seguridad de sus aplicaciones.
- Prácticas seguras de codificación, liberación y mantenimiento
Los desarrolladores deben adherirse a prácticas de codificación para minimizar los puntos ciegos en sus aplicaciones móviles. Esto incluye seguir estándares de codificación y utilizar marcos de desarrollo seguros. Deben controlar la cadena de suministro y actualizar sistemáticamente las bibliotecas y dependencias.
Mediante la adopción de una codificación segura y el mantenimiento del código, los desarrolladores pueden reducir la probabilidad de introducir vulnerabilidades en sus aplicaciones, reducir el tiempo en que estas vulnerabilidades pueden ser explotadas y aumentar la resistencia a posibles ataques.
- Pruebas y auditorías de seguridad periódicas
Las pruebas y auditorías exhaustivas de seguridad son esenciales para detectar puntos ciegos y vulnerabilidades en las aplicaciones móviles. Esto incluye técnicas como el análisis de código estático y dinámico, las pruebas de penetración y el escaneado de vulnerabilidades.
Las evaluaciones periódicas de la seguridad permiten a los desarrolladores descubrir y abordar de forma proactiva los puntos ciegos antes de que sean explotados por agentes malintencionados.
- Evaluación de la integración de terceros
Las aplicaciones móviles a menudo dependen de bibliotecas, plugins, anomalías y API de terceros para mejorar la funcionalidad y agilizar el desarrollo. Sin embargo, estas integraciones pueden introducir puntos ciegos si no se evalúan cuidadosamente de antemano.
Los desarrolladores deben llevar a cabo evaluaciones exhaustivas de los componentes de terceros, asegurándose de que se adhieren a las mejores prácticas de seguridad y tienen un sólido historial de actualizaciones de seguridad rápidas.
- Supervisión y respuesta continuas
La seguridad de las aplicaciones móviles es un proceso continuo que requiere una vigilancia y una respuesta continuas. Los desarrolladores deben implementar mecanismos para comprobar el uso de la aplicación, detectar anomalías y responder inmediatamente a posibles incidentes de seguridad. Esto incluye controlar las opiniones de los usuarios, hacer un seguimiento de las amenazas emergentes y corregir rápidamente las vulnerabilidades mediante actualizaciones periódicas.
Los desarrolladores de aplicaciones móviles ya no pueden descuidar las ciberamenazas
A medida que se dispara el uso de aplicaciones móviles, es crucial que los desarrolladores reconozcan la existencia de puntos ciegos y tomen medidas proactivas para solucionarlos. La protección de los datos de usuarios y empresas debe ser una prioridad en todo proceso de desarrollo de aplicaciones móviles.
Mediante la adopción de prácticas de evaluación de riesgos, la aplicación de prácticas de codificación seguras, la realización periódica de pruebas de seguridad y la vigilancia mediante un seguimiento continuo, los desarrolladores pueden reducir significativamente los puntos ciegos y mejorar la seguridad de las aplicaciones móviles.
A medida que evoluciona la tecnología, también lo hacen las técnicas empleadas por los ciberdelincuentes. Los desarrolladores de aplicaciones móviles deben mantenerse ágiles, adaptables y comprometidos con las amenazas emergentes. Al dar prioridad a la seguridad de las aplicaciones móviles y abordar los puntos ciegos, los desarrolladores pueden garantizar la seguridad y, lo que es igual de importante, la fiabilidad de sus aplicaciones, lo que permite a los usuarios disfrutar de todos los beneficios de la experiencia de la aplicación con confianza y facilidad.
Así que ilumina los rincones sombríos, Escanea cada código en busca de dolientes espectrales; Que no quede ningún fantasma en la máquina, No sea que tus aplicaciones te causen dolor.
Adelántese a las ciberamenazas
No deje que su aplicación móvil se convierta en una ciudad fantasma de la ciberseguridad. Suscríbete ahora para recibir consejos de expertos y actualizaciones.
Escrito por
Jon Samsel
Jon Samsel es el narrador jefe y responsable de marketing de Verimatrix.
Comentario
Fantasmas en el código: Puntos ciegos en el desarrollo de aplicaciones móviles
Índice
En sombras proyectadas, donde los secretos se esconden sin ser vistos,
aplicaciones desprotegidas, los fantasmas de la máquina,
A través de reinos ocultos, deambulo sin ser detectado,
Un hacker espectral, con poderes resucitados.
Las aplicaciones móviles se han convertido en una parte indispensable de las comunicaciones entre empresas y consumidores, e incluso entre empresas. Desde transacciones bancarias y solicitudes de servicios hasta actualizaciones de noticias y entretenimiento, estas aplicaciones se han convertido en fundamentales para el comercio. Sin embargo, hay un problema cada vez mayor que a menudo no se aborda: la falta de seguridad adecuada de las aplicaciones móviles.
Esto es especialmente cierto cuando se compara con las rigurosas defensas de las que disfrutan otras partes de la empresa. Y a menudo se deriva de lo que una empresa no puede o no intenta controlar en primer lugar. Esto es importante, sobre todo, porque el impacto de una vulnerabilidad no descubierta se multiplica con el número de despliegues de puntos finales.
Las instancias de aplicaciones móviles no supervisadas y sus vulnerabilidades de seguridad no abordadas se han convertido en fantasmas en la máquina de la empresa; Los hackers suelen eludir las defensas y acechan sin ser vistos dentro de la empresa que ofrece la aplicación.
Por ejemplo, cuando una aplicación móvil se ve comprometida o su conexión con el backend es violada, pueden surgir problemas importantes.
Imagina las consecuencias para un banco cuya aplicación móvil es descargada legítimamente por delincuentes que han decidido crear una cuenta normal sólo para utilizarla con fines de análisis nefasto. Pretenden saber cómo funciona la aplicación y su código para, en última instancia, asaltar el banco. O pensemos en una situación en la que se manipula una aplicación de control industrial, lo que puede tener consecuencias peligrosas en el mundo real.
Está claro que es mucho lo que está en juego, y las empresas deben hacer frente a esta vulnerabilidad.
¿Qué piensan los CISO de la seguridad de las aplicaciones móviles?
¿Son frecuentes los puntos ciegos en la seguridad de las aplicaciones móviles? Por desgracia, sí.
Verimatrix patrocinó recientemente una investigación de ISMG para encuestar a los CISO de todo el mundo y determinar qué lugar ocupa la seguridad de las aplicaciones móviles en su superficie de ataque. ¿El resultado?
¿Le sorprenden estos resultados?
Los roles poco claros y las suposiciones incoherentes pueden crear puntos ciegos en la seguridad de las aplicaciones móviles dentro de las organizaciones. Cuando la responsabilidad de la seguridad de las aplicaciones es ambigua entre desarrolladores, informáticos y equipos especializados, pueden surgir lagunas en las que nadie se responsabilice plenamente de mitigar los riesgos.
Los desarrolladores a menudo asumen que las aplicaciones no necesitan seguridad añadida -que sus prácticas de codificación ejemplares son lo suficientemente buenas- mientras que la seguridad corporativa asume que el desarrollo ya ha incorporado la seguridad de la aplicación en el proceso de proceso CI/CD. Sin claridad sobre la propiedad, la seguridad suele pasarse por alto.
Además, las organizaciones pueden suponer que la seguridad de sus propias aplicaciones móviles es sólida en comparación con las aplicaciones de terceros, lo que revela un sesgo hacia las soluciones DevAppSec propias.
Sin embargo, sin validar estos supuestos, existe un riesgo.
Incluso las empresas que añaden seguridad a las aplicaciones y las someten a pruebas de penetración se encuentran a menudo con problemas, ya que la aplicación puede ser segura un día pero insegura al siguiente debido a vulnerabilidades ocultas integradas en la cadena de suministro del código.
Reconocer que hay razones de peso por las que la seguridad de las aplicaciones móviles no se ha adoptado plenamente o sólo se ha protegido una vez sin una supervisión continua de la aplicación es una especie de admisión de que probablemente existen puntos ciegos y es necesario un mayor esfuerzo para mejorar en este ámbito.
El reto de detectar acciones comprometidas en aplicaciones móviles
Entonces, ¿cómo saben las empresas cuándo o incluso si se producen estas acciones comprometidas? Necesitan tener visibilidad de determinadas acciones realizadas por cada dispositivo que utiliza la aplicación móvil.
Si las acciones son poco comunes o una serie de acciones crean algún tipo de anomalía, es probable que haya un problema. ¿Intentan realizar transacciones dispositivos de países que probablemente no utilicen realmente una aplicación? ¿Hay indicios de ingeniería inversa? El propietario de una aplicación móvil debe saberlo. Lamentablemente, a menudo no es así.
Es realmente problemático, ya que está claro que las aplicaciones móviles han captado la atención de los ciberdelincuentes que buscan vías alternativas para vulnerar la seguridad de las empresas. Muchos desarrolladores de aplicaciones móviles, independientemente de su tamaño o prominencia, no dan prioridad a la visibilidad necesaria para determinar si los malos actores están jugando con su aplicación. Esta negligencia los deja muy vulnerables, con numerosos puntos ciegos que los atacantes pueden explotar.
Cómo garantizar una mayor seguridad de las aplicaciones móviles
Los puntos ciegos pueden manifestarse de diversas formas, como mecanismos de autenticación débiles, almacenamiento y transmisión de datos inseguros e integraciones de terceros inadecuadas. Estos puntos ciegos pueden ser aprovechados por los ciberdelincuentes para obtener acceso no autorizado a información sensible de los usuarios o interrumpir la funcionalidad de la aplicación. Los desarrolladores de aplicaciones móviles deben reconocer y abordar estos puntos ciegos para proteger a los usuarios y mantener su confianza.
Existen bastantes enfoques que los desarrolladores pueden adoptar para garantizar la seguridad de las aplicaciones móviles:
- Evaluación de riesgos y modelización de amenazas
Para encontrar y mitigar los puntos ciegos, los desarrolladores deben llevar a cabo evaluaciones de riesgos exhaustivas y ejercicios de modelado de amenazas. Estas prácticas implican analizar los posibles riesgos y vulnerabilidades específicos de la aplicación móvil, evaluar su impacto y aplicar las medidas de seguridad adecuadas.
Al considerar proactivamente los posibles puntos ciegos, los desarrolladores pueden minimizar la superficie de ataque y mejorar la postura general de seguridad de sus aplicaciones.
- Prácticas seguras de codificación, liberación y mantenimiento
Los desarrolladores deben adherirse a prácticas de codificación para minimizar los puntos ciegos en sus aplicaciones móviles. Esto incluye seguir estándares de codificación y utilizar marcos de desarrollo seguros. Deben controlar la cadena de suministro y actualizar sistemáticamente las bibliotecas y dependencias.
Mediante la adopción de una codificación segura y el mantenimiento del código, los desarrolladores pueden reducir la probabilidad de introducir vulnerabilidades en sus aplicaciones, reducir el tiempo en que estas vulnerabilidades pueden ser explotadas y aumentar la resistencia a posibles ataques.
- Pruebas y auditorías de seguridad periódicas
Las pruebas y auditorías exhaustivas de seguridad son esenciales para detectar puntos ciegos y vulnerabilidades en las aplicaciones móviles. Esto incluye técnicas como el análisis de código estático y dinámico, las pruebas de penetración y el escaneado de vulnerabilidades.
Las evaluaciones periódicas de la seguridad permiten a los desarrolladores descubrir y abordar de forma proactiva los puntos ciegos antes de que sean explotados por agentes malintencionados.
- Evaluación de la integración de terceros
Las aplicaciones móviles a menudo dependen de bibliotecas, plugins, anomalías y API de terceros para mejorar la funcionalidad y agilizar el desarrollo. Sin embargo, estas integraciones pueden introducir puntos ciegos si no se evalúan cuidadosamente de antemano.
Los desarrolladores deben llevar a cabo evaluaciones exhaustivas de los componentes de terceros, asegurándose de que se adhieren a las mejores prácticas de seguridad y tienen un sólido historial de actualizaciones de seguridad rápidas.
- Supervisión y respuesta continuas
La seguridad de las aplicaciones móviles es un proceso continuo que requiere una vigilancia y una respuesta continuas. Los desarrolladores deben implementar mecanismos para comprobar el uso de la aplicación, detectar anomalías y responder inmediatamente a posibles incidentes de seguridad. Esto incluye controlar las opiniones de los usuarios, hacer un seguimiento de las amenazas emergentes y corregir rápidamente las vulnerabilidades mediante actualizaciones periódicas.
Los desarrolladores de aplicaciones móviles ya no pueden descuidar las ciberamenazas
A medida que se dispara el uso de aplicaciones móviles, es crucial que los desarrolladores reconozcan la existencia de puntos ciegos y tomen medidas proactivas para solucionarlos. La protección de los datos de usuarios y empresas debe ser una prioridad en todo proceso de desarrollo de aplicaciones móviles.
Mediante la adopción de prácticas de evaluación de riesgos, la aplicación de prácticas de codificación seguras, la realización periódica de pruebas de seguridad y la vigilancia mediante un seguimiento continuo, los desarrolladores pueden reducir significativamente los puntos ciegos y mejorar la seguridad de las aplicaciones móviles.
A medida que evoluciona la tecnología, también lo hacen las técnicas empleadas por los ciberdelincuentes. Los desarrolladores de aplicaciones móviles deben mantenerse ágiles, adaptables y comprometidos con las amenazas emergentes. Al dar prioridad a la seguridad de las aplicaciones móviles y abordar los puntos ciegos, los desarrolladores pueden garantizar la seguridad y, lo que es igual de importante, la fiabilidad de sus aplicaciones, lo que permite a los usuarios disfrutar de todos los beneficios de la experiencia de la aplicación con confianza y facilidad.
Así que ilumina los rincones sombríos,
Escanea cada código en busca de dolientes espectrales;
Que no quede ningún fantasma en la máquina,
No sea que tus aplicaciones te causen dolor.
Adelántese a las ciberamenazas
Escrito por
Jon Samsel
Jon Samsel es el narrador jefe y responsable de marketing de Verimatrix.
Comparta esta información sobre ciberseguridad
Otros datos sobre ciberseguridad
Resumen de amenazas a la ciberseguridad nº 11: Coper, Octo, CriminalMW y más
3 Imperativos de seguridad para los fabricantes de aplicaciones para vehículos en 2024
La proliferación de herramientas frente a la ausencia total de herramientas de seguridad
Resumen de amenazas a la ciberseguridad nº 10: Joker, Samecoin, SpyNote y más