Cuatro de cada cinco Apps tiene fallos de seguridad críticos

Negocios
4 6 No hay comentarios

Un estudio de Veracode muestra cómo el desarrollo de aplicaciones móviles está lejos de ser un desarrollo seguro

¡Viva la movilidad! La industria, empresas y empleados abrazan la movilidad. No es de extrañar cuando se vende en conjunción con un aumento de productividad y una mejora de la experiencia. El tema de la seguridad se da por hecho; al fin y al cabo quien más, quién menos, tiene una solución de seguridad en el negocio, algún firewall, algo de sandboxing, gestión de accesos, factores de autenticación múltiples… sin saber que el peligro está fuera de ese perímetro, que está en la propia app a la que se accede desde un dispositivo móvil.

Sobre los peligros y los riesgos ya se ha hablado en muchas ocasiones. Llegamos a asumir que el ataque no sólo llegará, sino que tendrá éxito y nos consolamos pensando en que donde tenemos que centrarnos es en saber reaccionar rápido; “reducir la venta de oportunidades”, dicen.

También se ha hablado de Desarrollo Seguro. La Trustworthy Computing Initiative de Microsoft se lanzó hace diez años buscando un objetivo: hacer productos que fueran Secure by Default, Secure by Desing, Secure by Deployment y Secure by Communications. Parece que de poco ha servido. Cada año se desarrollan ¿cientos? ¿miles? ¿centenares de miles? de aplicaciones, y resulta que ahora, con más capacidades y conocimientos que antes, cuando el Dev-Ops está a la orden del día, publican un informe que dice que la mayoría de las Apps tienen problemas de seguridad críticos.

La culpa la tiene Veracode y su State of Software Security Report que dice, entre otras muchas cosas, que más del 80 por ciento de los dispositivos móviles tienen defectos de cifrado, y que las aplicaciones escritas en lenguajes de script –incluidos PHP, ColdFusion y Classic ASP, son más propensos a tener fallos de seguridad serios.

Los datos:

  • PHP –y lenguajes de desarrollo menos populares como ColdFusion y Classic ASP, son los le nguajes de programación que generan más riesgos para Internet. Por el contrario, Java y .Net, son los más seguros, dice Veracode.
  • Cuatro problemas de cifrado socavaron la protección de datos de más del 87% de las aplicaciones de Android, y del 80% de las de iOS.
  • Dos tercios de las aplicaciones no utilizan entropía suficiente para asegurar el dato. Los otros grandes problemas tienen que ver con fallos en validar adecuadamente los certificados, uso de algoritmos débiles o no seguros y almacenar la información en texto plano.
  • Vulnerabilidades de inyección SQL afectaron al 64% de las aplicaciones escritas en Microsoft  Classic ASP (Active Service Pages); un 62% a las desarrolladas en ColdFusion, y un 56% cuando se ha utilizado PHP.
  • Las Apps escritas en Microsoft .NET y Oracle Java son las menos propensas a tener vulnerabilidades de inyección SQL. Y eso que según datos de Veracode el 29% de las escritas con .Net y el 21% en Java al tenido, al menos, una vulnerabilidad de este tipo.

Leer la biografía del autor  Ocultar la biografía del autor