¿Cuáles pueden ser las consecuencias de una brecha de seguridad en una aplicación web?
Las aplicaciones web son un arma de doble filo: se configuran como el escaparate perfecto para potenciales clientes, pero también actúan como una gran ventana por la que colarse y desvalijar el negocio. Una brecha de seguridad en una aplicación web puede desencadenar incidentes de enorme gravedad.
Nadie está a salvo. ¿Qué pasaría si el número de teléfono de personalidades como el rey o el presidente del Gobierno fueran expuestos públicamente? Acoso. Amenazas. Suplantación de identidad. Robo de cuentas. La lista de posibles consecuencias sigue y sigue, pero por suerte no se materializó ninguna cuando, en el verano de 2021, una brecha de seguridad en el sistema del certificado COVID de Madrid expuso durante varias horas datos de contacto de miles de personas. Entre ellas se encontraban el rey Felipe VI y Pedro Sánchez, presidente del gobierno.
Este incidente fue causado por un fallo en la actualización de la aplicación web, la cual había pasado todos los protocolos de seguridad, y en cuestión de horas se había puesto fin al problema, impidiendo así que esta vulnerabilidad fuese aprovechada por terceros.
Casos como este se repiten todos los años en todo el mundo, pero hay muchos que no corren la misma suerte. Cualquier brecha de seguridad en una aplicación web pueden afectar a millones de personas en un abrir y cerrar de ojos, suponiendo una amenaza constante para empresas, instituciones y usuarios. Es por ello por lo que se debe de poner énfasis en su prevención y, ante la adversidad, en buscar soluciones rápidas y eficaces que minimicen los daños.
¿Qué son y por qué se desencadena una brecha de seguridad en una aplicación web?
Estas brechas no son otra cosa que episodios de vulnerabilidad en una aplicación web que permiten un acceso sin autorización a información y datos confidenciales. También pueden otorgar un control de la infraestructura en la que está alojada o la interrupción del correcto funcionamiento de la aplicación atacada, comprometiendo así la seguridad del sistema.
Las brechas de seguridad en aplicaciones web pueden ocurrir por diversas causas: ataques, malas prácticas, errores de diseño en su código fuente o su lógica de negocio, configuraciones incorrectas o la falta de actualizaciones en sus componentes.
El comienzo del fin: las consecuencias de una brecha de seguridad
Una vez la brecha está abierta, ¿Cuáles pueden ser sus repercusiones?
1- Pérdida y robo de datos e información
Lo primero que se nos puede venir a la cabeza cuando pensamos en el resultado de una brecha de seguridad es, probablemente, la pérdida y robo de datos e información.
Y no es de extrañar, ya que hoy en día la información es uno de los activos de mayor importancia en la cadena de valor global, convirtiéndose en la moneda de cambio por excelencia. Es por ello por lo que está siempre en el punto de mira de los ciberdelincuentes.
2- Secuestro y rescate de datos
Si los datos sustraídos no suponen un fin en sí mismo para el atacante, pueden ser un medio para conseguir otros objetivos. Del robo de datos e información pueden derivarse episodios de extorsión y chantaje, con la posibilidad de exigir un rescate por los mismos, incrementando así las repercusiones económicas causadas por la brecha de seguridad.
3- Pérdidas económicas por suspensión de la actividad
Una brecha de seguridad en una aplicación web puede tener la finalidad de cesar el funcionamiento de esta, lo que se puede traducir en pérdidas económicas por cada minuto que pase.
Así, una empresa cuyo modelo de negocio dependa de la venta online, por ejemplo, dejará de facturar desde el momento en que la brecha afecte a su servicio de comercio electrónico. Los perjuicios económicos son directamente proporcionales al tiempo que pasa hasta que se ponga solución a la brecha de seguridad.
4- Daños a la reputación
La propia existencia de una brecha de seguridad en una aplicación web es suficiente para dinamitar la reputación de una empresa o institución.
Aunque este agujero de seguridad no se salde con ninguna pérdida material directa, expone la vulnerabilidad del servicio web provisto y, por lo tanto, genera desconfianza en el usuario. Esto se traduce en una pérdida de reputación y en la consecuente merma de clientes, así como en el detrimento de la confianza de los stakeholders o inversores.
5- Demandas de terceros
Siguiendo la misma línea, una brecha de seguridad en una aplicación web puede ser una fuente de demandas por parte de terceros, ya que estos se encuentran en su derecho a denunciar y exigir una indemnización por los perjuicios causados.
6- Multas y sanciones
En España, la Agencia Española de Protección de Datos (AEPD) vela por el cumplimiento de las normativas vigentes en lo referente a la seguridad de los datos personales, y tiene la potestad de imponer multas y sanciones a aquellos agentes que no cumplan con estas normativas.
En octubre del año pasado, la AEPD impuso una multa de más de 6 millones de euros al gigante eléctrico Endesa por una mala gestión de un incidente de seguridad, el cual afectó a sus sistemas de protección de datos. Las contraseñas de 6 millones de clientes fueron publicadas en Facebook. La inacción inicial y la falta de comunicación a las autoridades fue la causa por la que Endesa fue finalmente amonestada por el organismo público.
Como este ejemplo demuestra, a las consecuencias intrínsecas a una brecha de seguridad en una aplicación web, se le puede sumar una sanción por una falta de diligencia a la hora de actuar.
La prevención lo es todo
¿Cómo podemos actuar ante estos agujeros de seguridad? Como reza el dicho: mejor prevenir que curar. Lo más efectivo resulta ser un buen trabajo previo y constante, que responda a una política de seguridad robusta y actualizada.
Para ello, existen diversas medidas a tener en cuenta:
• Parcheado para la corrección de errores.
• Realización periódica de pentest o exámenes de penetración.
• Desarrollo constante a través de actualizaciones.
• Diseño seguro de aplicaciones desde el primer momento.
• Inclusión de la seguridad de toda la infraestructura en los planes de contingencia.
Las guías y recomendaciones de la Fundación OWASP (Open Web Application Security Project) pueden ser un buen punto de partida a la hora de desarrollar una aplicación web. Para crear, en definitiva, un entorno tecnológico más preparado para afrontar las incontables amenazas que circulan hoy por la Red.
La moraleja de la historia
De nuevo, nadie está a salvo. Si algo hemos aprendido de esta clase de incidentes, es que las brechas de seguridad pueden producirse en las aplicaciones web de cualquier tipo de organización, incluso en aquellas que disponen de los medios más avanzados y efectivos para combatir estas vulnerabilidades.
La variedad de los ataques y vías de entrada, sumada a la elevada motivación de los atacantes, representa una amenaza constante. Y altamente cambiante, además. Cada día surgen en Internet nuevas amenazas y ataques con potencial para desencadenar graves crisis de seguridad.
Es por ello que prevenir desde el origen resulta crítica a la hora de contener cualquier brecha de seguridad en una aplicación web. Pentesting, análisis de seguridad periódicos, cultura interna, buenas prácticas de desarrollo… Toda ayuda es poca para enfrentarse a los actores hostiles
Desde un pequeño comercio hasta una multinacional. Todo aquel que esté conectado a la Red es susceptible de sufrir una brecha de seguridad. Lo vemos cada día…