OWASP: Top 10 de riesgos en aplicaciones móviles
Tabla de contenidos
El Top 10 de riesgos en aplicaciones móviles de OWASP incluye las vulnerabilidades más importantes que pueden ser explotadas por los delincuentes
Dice el refranero popular que «lo bueno se hace esperar». 8 años después, la fundación OWASP ha publicado la nueva versión de su Top 10 de riesgos en aplicaciones móviles. Este listado clasifica y ordena las principales vulnerabilidades presentes en los miles de millones de smartphones que usamos en nuestro día a día.
En estos últimos ocho años, el mundo ha cambiado de manera evidente y en pocos ámbitos se nota más como en el uso de los teléfonos móviles. Hoy en día, los smartphones son, prácticamente, una continuación tecnológica de nuestro organismo. Los empleamos en todos los ámbitos de nuestra vida, desde nuestras relaciones profesionales y empresariales hasta las personales y familiares. Muchas cuestiones clave de nuestra vida están alojadas en estos dispositivos: información confidencial sobre nuestro trabajo, datos bancarios y sanitarios, fotos y mensajes íntimos… La lista podría extenderse hasta el infinito.
¿Qué consecuencia indeseada trae consigo la relevancia de los móviles en nuestras vidas? Las aplicaciones móviles se han convertido en un target prioritario para los grupos de ciberdelincuentes.
Por eso, OWASP, una fundación sin ánimo de lucro que se ha convertido en un referente global en la generación de conocimiento sobre ciberseguridad, ha actualizado su Top 10 de riesgos en aplicaciones móviles para adaptarlo al panorama de amenazas actual.
A continuación, vamos a desgranar cada una de las 10 vulnerabilidades que conforman el OWASP Mobile Top 10 en su versión de 2024.
Principales cambios del Top 10 de riesgos en móviles con respecto al 2016
La transformación que han experimentado los móviles en estos años se ha trasladado al Top 10 de riesgos en aplicaciones móviles. Hasta el punto que la vulnerabilidad más importante del Top 10 de 2016, uso inadecuado de la plataforma, ni siquiera figura en el listado del año 2024. ¿Qué otros aspectos podemos destacar?
- Se han incorporado cuatro nuevas vulnerabilidades, de las cuales, dos de ellas han sido clasificadas como los dos riesgos más importantes presentes en los móviles hoy en día: uso inadecuado de credenciales y seguridad inadecuada de la cadena de suministro.
- Hasta cuatro vulnerabilidades del Top 10 de riesgos en aplicaciones móviles de 2016 se han fusionado en dos únicas vulnerabilidades en 2024. Así, la autenticación insegura y la autorización insegura han pasado a ser consideradas como una única vulnerabilidad. Mientras que la manipulación de código y la ingeniería inversa ahora conforman la categoría protecciones binarias insuficientes.
- Tres vulnerabilidades se mantienen en el Top 10 de riesgos en aplicaciones móviles, sin embargo, descienden en el ranking con respecto a 2016: comunicación insegura; almacenamiento de datos inseguro y criptografía insuficiente. Especialmente notable es el caso del almacenamiento de datos inseguro, que ha pasado de ser la segunda vulnerabilidad más importante en el año 2016 a ocupar el noveno puesto del Top 10 de riesgos en aplicaciones móviles de 2024.
- Además del uso inadecuado de la plataforma, otro riesgo se cayó del ranking elaborado por OWASP: el código de mala calidad. Mientras que la vulnerabilidad de funcionalidad superflua ha sido reformulada para crear una nueva categoría más genérica: mala configuración de seguridad.
¿Cómo funciona el Top 10 de riesgos en aplicaciones móviles?
Cada una de las 10 vulnerabilidades que conforman el Top 10 de riesgos en aplicaciones móviles incluye:
- Agentes de amenazas.
- Vectores de ataque.
- Debilidades de seguridad: incluyendo la prevalencia y la detectabilidad de la explotación de la vulnerabilidad.
- Impacto técnico y empresarial.
- Indicadores que permiten detectar que una aplicación móvil puede ser vulnerable.
- Recomendaciones para prevenir la vulnerabilidad.
- Ejemplos de escenarios de ataque.
Pasemos ahora a desgranar una a una las diferentes vulnerabilidades que conforman el Top 10 de riesgos en aplicaciones móviles de OWASP.
M1. Uso inadecuado de credenciales
Explotación: Fácil
Detectabilidad: Fácil
Impacto técnico: Severo
Impacto empresarial: Severo
¿Por qué ocupa esta categoría el primer puesto del Top 10 de riesgos en aplicaciones móviles? OWASP alerta de que explotar credenciales codificadas y usarlas de manera inadecuada es una tarea relativamente sencilla, en gran medida porque se pueden realizar ataques automatizados gracias a herramientas disponibles públicamente. ¿Con qué fin? Obtener acceso no autorizado a información y funcionalidades críticas de las aplicaciones móviles.
De tal manera que la explotación de esta vulnerabilidad puede conllevar el robo de datos, el menoscabo de la privacidad de las personas, el uso de la información extraída para cometer fraudes económicos y un deterioro de la reputación de las empresas y los ciudadanos que han sido víctimas de un ataque.
¿Cómo se previene esta vulnerabilidad?
Mediante una auditoría de aplicaciones móviles se pueden identificar todos los problemas relacionados con una gestión de credenciales deficiente. OWASP pone de ejemplo la posibilidad de detectar credenciales codificadas en el código fuente de una app móvil.
Los cuatro principales indicadores de que una aplicación puede adolecer de una gestión de credenciales deficiente son:
- Credenciales codificadas.
- Transmisión insegura de credenciales.
- Almacenamiento inseguro de credenciales.
- Autenticación de usuario débil.
Las dos mejores formas de prevenir este riesgo de seguridad de las apps móviles es:
- Evitar el uso de credenciales codificadas en el código y en los archivos de configuración de una aplicación móvil.
- Hacer un uso seguro y adecuado de las credenciales de usuario, almacenándolas, transmitiéndolas y autenticándolas de manera segura.
Por ejemplo, encriptándolas a la hora de transmitirlas, no almacenando las credenciales en el móvil, implementando protocolos de autenticación rigurosos y actualizando de manera periódica las claves de API usadas.
M2. Seguridad inadecuada de la cadena de suministro
Explotación: Media
Detectabilidad: Difícil
Impacto técnico: Severo
Impacto empresarial: Severo
Los ataques de cadena de suministro son una de las tendencias más peligrosas del panorama de amenazas actual. En lo que respecta a las aplicaciones móviles, un actor malicioso puede manipular las funcionalidades de una app explotando las vulnerabilidades de su cadena de suministro. ¿Con qué fin? Robar datos, espiar a un ciudadano a través de su móvil o, incluso, tomar el control del dispositivo.
Asimismo, los delincuentes también pueden explotar vulnerabilidades presentes en las librerías de terceros para obtener acceso a las aplicaciones móviles o, incluso, a los backend de los servidores. De tal manera que no solo puedan tener acceso a datos confidenciales y manipularlos, sino también llevar a cabo ataques de denegación de servicio.
Como consecuencia de todo ello, el Top 10 de riesgos en aplicaciones móviles de OWASP señala que la explotación de los fallos de seguridad en la cadena de suministro puede desencadenar:
- Brechas de datos.
- Infecciones de malware que sirvan para robar información de los móviles o llevar a cabo actividades maliciosas.
- Accesos no autorizados a los servidores de la app o al dispositivo del usuario.
- Que todo el sistema de la aplicación sea vea comprometido e, incluso, pueda provocar el cierra de la aplicación.
Dado el nivel de criticidad de las consecuencias que venimos de señalar, no debe sorprendernos que la explotación de esta clase de vulnerabilidades provoque pérdidas financieras, un grave daño reputacional, la interrupción de la cadena de suministro e, incluso, problemas legales.
¿Cómo se previene esta vulnerabilidad?
A diferencia de la categoría que ocupa el primer puesto del Top 10 de riesgos de aplicaciones móviles de OWASP, los problemas de seguridad en la cadena de suministro son difíciles de ser detectados. Por eso, es fundamental auditar las aplicaciones desarrolladas por otras empresas y las aplicaciones propias que emplean componentes de terceros o recurren a bibliotecas.
Para ayudar a la detección de vulnerabilidades ligadas a la cadena de suministro, OWASP establece cuatro motivos básicos por los que se producen:
- Problemas de seguridad en componentes de terceros, como las bibliotecas.
- Amenazas internas maliciosas o provocadas por descuidos o por no aplicar los controles de seguridad pertinentes.
- Pruebas de seguridad y validación de la seguridad deficientes. Por ejemplo, porque el desarrollador no haya sometido la aplicación móvil a una auditoría de seguridad en profundidad.
- La falta de concienciación sobre seguridad de los profesionales que desarrollan las aplicaciones.
A la luz de estas causas, el Top 10 de riesgos en aplicaciones móviles de OWASP propone cinco grandes medidas para prevenir las vulnerabilidades de cadena de suministro:
- Apostar por un modelo de desarrollo seguro desde el diseño y a lo largo de todo el ciclo de vida de un software.
- Poner en marcha procesos seguros de firma y distribución de aplicaciones para evitar la distribución de malware.
- Emplear en el desarrollo solo bibliotecas y componentes de terceros que estén validados.
- Implementar controles de seguridad para las actualizaciones, los parches y las versiones de las aplicaciones antes de hacerlos públicos.
- Realizar auditorías de seguridad en la cadena de suministro para detectar vulnerabilidades antes de que sean explotadas.
M3. Autenticación y autorización inseguras
Explotación: Fácil
Detectabilidad: Media
Impacto técnico: Severo
Impacto empresarial: Severo
En primer lugar, debemos señalar la diferencia entre autenticación y autorización. La primera consiste en identificar a un usuario, mientras que la segunda comprueba el nivel de permisos del usuario para realizar una determinada acción.
El Top 10 de riesgos de aplicaciones móviles alerta de que las vulnerabilidades de autenticación y autorización son explotadas, habitualmente, mediante ataques automatizados gracias a las herramientas disponibles o a herramientas que se desarrollan a medida para explotar una determinada vulnerabilidad. Las técnicas más empleadas son el despliegue de malware y el uso de botnets.
Los actores maliciosos llevan a cabo la explotación a través de dos vías básicas:
- Eluden la autenticación de la app, enviando directamente solicitudes al servidor backend, de tal manera que no se produce ninguna interacción directa con la aplicación.
- Inician sesión en la app como si fuesen un usuario legítimo, pasando el control de autenticación, después buscan un endpoint vulnerable y ejecutan funciones de administrador.
Los problemas de autenticación y autorización de los usuarios pueden provocar la ejecución de funcionalidades y acciones con privilegios excesivos, lo que puede conllevar el robo de información sensible e, incluso, la destrucción de sistemas.
¿Cómo se previene esta vulnerabilidad?
Para facilitar la detección de vulnerabilidades en los sistemas de autenticación y autorización, OWASP propone una serie de indicadores que pueden resultar útiles a los desarrolladores y los especialistas en ciberseguridad:
- Vulnerabilidades de referencia directa a objetos (IDOR), que pueden indicar que no se está comprobando de manera adecuada la autorización de los usuarios.
- Endpoints ocultos, que no hayan sido sometidos a comprobaciones de autorización.
- Transmisión de roles o permisos de usuario a un backend como consecuencia de una solicitud.
- Ejecución de una solicitud de servicios de API de backend sin que sea necesario proporcionar un token.
- Almacenamiento de contraseñas en el móvil.
- Política de contraseñas débil.
- Uso de funciones como FaceID y TouchID.
En lo relativo a la prevención, el Top 10 de riesgos en aplicaciones móviles propone:
- Evitar patrones de diseño inseguros.
- Reforzar la autenticación, asumiendo que los controles de autenticación del lado del cliente pueden ser eludidos por los actores maliciosos y, por lo tanto, reforzar los controles por parte del servidor.
- Prevenir la autorización insegura, por ejemplo, estableciendo que los sistemas backend verifiquen los roles y permisos de los usuarios autenticados o reforzando los controles de autorización del lado del servidor.
M4. Validación insuficiente de la entrada y salida de datos
Explotación: Difícil
Detectabilidad: Fácil
Impacto técnico: Severo
Impacto empresarial: Severo
El Top 10 de riesgos en aplicaciones móviles alerta a los desarrolladores ante la validación y el saneamiento insuficientes de los datos procedentes de fuentes externas, como las entradas de usuario o los datos de red. ¿Por qué? Pueden introducir vulnerabilidades críticas de seguridad.
De tal manera que las aplicaciones que no llevan a cabo una validación eficiente de los datos se arriesgan a sufrir ataques de inyección SQL, inyección de comandos o ataques de secuencias de comandos en sitios cruzados (XSS). A través de estos ataques, los delincuentes pueden robar y manipular datos, ejecutar código malicioso que provoque que la aplicación deje de funcionar y llegar a comprometer la aplicación y tomar el control de la misma.
¿Cómo se previene esta vulnerabilidad?
El Top 10 de riesgos en aplicaciones móviles de OWASP plantea cinco grandes causas que pueden provocar esta vulnerabilidad:
- La falta de validación de la entrada del usuario expone a la app a ataques de inyección.
- Un saneamiento deficiente de los datos de salida puede permitir a los delincuentes ejecutar scripts maliciosos.
- Si no se tienen en cuenta los requisitos de validación específicos basados en el contexto de los datos se pueden permitir ataques a través de rutas.
- Si no se realizan comprobaciones de integridad de datos pueden corromperse o ser sometidos a modificaciones ilegítimas.
- La ausencia de prácticas de codificación segura.
De cara a prevenir las vulnerabilidades relacionadas con la validación de las entradas y salidas de datos, el Top 10 de riesgos en aplicaciones propone:
- Validar y sanear la entrada de los usuarios.
- Aplicar restricciones a la longitud de los datos de entrada.
- Depurar los datos de salida para prevenir ataques XSS.
- Emplear técnicas y prácticas de codificación seguras.
- Llevar a cabo una validación basada en el contexto de los datos, previniendo los ataques de cruce de rutas.
- Comprobar la integridad de los datos y evitar que sean corrompidos.
- Realizar auditorías de seguridad de aplicaciones móviles de manera periódica. También puede ser clave contar con servicios de pentesting y auditar el código de la aplicación.
M5. Comunicación insegura
Explotación: Fácil
Detectabilidad: Media
Impacto técnico: Severo
Impacto empresarial: Moderado
Las aplicaciones que tenemos instaladas en nuestros móviles intercambian información con varios servidores remotos. Esto implica que un actor malicioso pueda interceptar la transmisión de datos y modificarlos si la aplicación protocolos obsoletos para cifrarlos o si se transmiten en texto plano. ¿Con qué fin? Obtener información sensible, suplantar la identidad de la víctima para realizar fraudes, interceptar credenciales de usuario y tokens que son un factor de doble autenticación para acceder a determinadas aplicaciones.
¿Cómo se pueden explotar las vulnerabilidades de comunicación insegura?
Los actores maliciosos detectan fallos en los protocolos criptográficos SSL/TLS o en su implementación en la aplicación:
- Protocolos obsoletos o mal configurados.
- Aceptación de certificados SSL autofirmados, revocados, caducados…
- Inconsistencia en el uso de protocolos, puesto que algunos flujos de trabajo sí los tienen, pero otros no.
¿Cómo se previene esta vulnerabilidad?
Esta categoría del Top 10 de riesgos en aplicaciones móviles es extraordinariamente amplia, puesto que engloba toda clase de transmisiones de datos e incluye a todas las tecnologías de comunicación que emplean nuestros móviles: TCP/IP, WiFi, Bluetooth, NFC…
De ahí que, además de realizar una auditoría de seguridad de aplicaciones móviles, también puede ser esencial llevar a cabo análisis de tecnologías específicas como Bluetooth, para lo que se puede emplear BSAM, la metodología de análisis de seguridad de Bluetooth desarrollada por Tarlogic.
OWASP propone una serie de buenas prácticas específicas para iOS y Android, así como múltiples recomendaciones generales que contribuyen a reducir las debilidades ligadas a las comunicaciones inseguras de las aplicaciones móvil:
- Asumir que la capa de red es insegura y, por lo tanto, susceptible de ser escuchada por los atacantes.
- Aplicar SSL/TLS a los canales de transporte que la aplicación móvil utiliza para transmitir información sensible a una API backend o a un servicio web.
- Implementar una capa de cifrado a cualquier dato sensible antes de entregarlo al canal SSL.
- Tener en cuenta las entidades externas, como las redes sociales. Y usar versiones SSL cuando una aplicación ejecute una rutina a través del navegador.
- Utilizar suites de cifrado fuertes y que cumplan con los estándares del sector.
- Emplear certificados firmados por proveedores de confianza. No permitir nunca certificados autofirmados y fijar los certificados para las aplicaciones preocupadas por la seguridad.
- Exigir la verificación de la cadena SSL.
- Verificar la identidad del servidor de punto final antes de establecer una comunicación segura.
- Alertar a los usuarios a través de la interfaz si la aplicación móvil detecta un certificado no válido.
- No enviar nunca información sensible a través de canales alternativos, como mensajes SMS.
- Aplicar una capa independiente de cifrado a los datos sensibles antes de que pasen al canal SSL.
- Realizar auditorías de seguridad de aplicaciones móviles para analizar el tráfico de la aplicación y comprobar si parte del tráfico pasa por canales de texto plano.
M6. Controles de privacidad inadecuados
Explotación: Media
Detectabilidad: Fácil
Impacto técnico: Bajo
Impacto empresarial: Severo
Los controles de privacidad de las aplicaciones móviles son esenciales para proteger la información de los usuarios, desde su nombre, hasta los datos de su tarjeta de crédito, pasando por su email o sus opiniones políticas.
Como vemos en muchos de los ciberataques que se producen semana tras semana, los datos de los ciudadanos son uno de los objetivos principales de los delincuentes. ¿Por qué? Con esta información pueden llevar a cabo extorsiones, fraudes económicos y dañar la reputación de sus víctimas.
De ahí que, aunque la explotación de vulnerabilidades en los controles de privacidad no tenga grandes repercusiones en el funcionamiento de una aplicación, sus consecuencias sí pueden ser graves, tanto para la empresa que ha desarrollado la app como para sus usuarios. De hecho, las compañías pueden verse expuestas a problemas legales, ya que la protección de datos está rigurosamente regulada a través de normativas como el RGPD.
¿Cómo se previene esta vulnerabilidad?
El Top 10 de riesgos en aplicaciones móviles de OWASP, fija tres grandes escenarios que pueden conducir a que los controles de privacidad sean inadecuados y, por ende, se pueda exponer información sensible sobre los usuarios:
- Que se almacene y se comuniquen los datos de manera insegura.
- Que la autenticación y la autorización para acceder a datos sea deficiente.
- Ataques internos al sandbox de la app.
De cara a evitar la violación de la privacidad de los ciudadanos que emplean las aplicaciones móviles, OWASP recomienda llevar a cabo una auditoría de seguridad que analice todos los activos de información personal identificable y consiga responder a preguntas como «¿es realmente necesaria toda la información personal identificable que procesa la aplicación?». Y, así, eliminar todos los datos de índole privada que no sean indispensables para el funcionamiento de la app.
Además, también es recomendable no almacenar ni transferir la información sensible a no ser que sea indispensable y, en caso de que se almacene, ha de protegerse con un sistema de autenticación y autorización eficaz.
Proceder a realizar un modelado de amenazas también puede resultar de enorme valor, ya que, de esta manera, es posible determinar cuáles son las vías de explotación más probables y actuar para imposibilitarlas.
Asimismo, el Top 10 de riesgos en aplicaciones móviles recomienda la realización de análisis estáticos y dinámicos para detectar errores y debilidades antes de que sean explotados con éxito por actores maliciosos.
M7. Protecciones de los binarios insuficientes
Explotación: Fácil
Detectabilidad: Fácil
Impacto técnico: Moderado
Impacto empresarial: Moderado
Los códigos binarios de las aplicaciones son activos críticos porque pueden contener secretos de enorme valor como las claves de APIs comerciales o, bien, porque son valiosos en sí mismos, por ejemplo, porque contienen modelos pre-entrenados de Inteligencia Artificial.
Además de acceder a la información de los binarios, algunos atacantes pueden intentar manipularlos para, por ejemplo, eludir los controles de seguridad de la app.
OWASP también nos alerta de que existe la posibilidad de que se creen copias de aplicaciones legítimas que incluyan código malicioso y se distribuyan a través de las tiendas de aplicación para aprovecharse de la confianza de los usuarios.
De ahí que el Top 10 de riesgos en aplicaciones móviles establezca tres grandes tipos de ataques contra los binarios de una aplicación:
- Ingeniería inversa para buscar información crítica como contraseñas o para encontrar vulnerabilidades explotables en el backend.
- Manipulación del código, de cara a eludir cortafuegos de pago o comprobaciones de licencia.
- Manipular la aplicación para que contenga código malicioso.
Estos ataques pueden causar costes económicos a los desarrolladores que, en el caso de que se vea expuesta propiedad intelectual de una compañía, pueden llegar a ser cuantiosos. Sobre todo, si dicha propiedad intelectual acaba en manos de la competencia. Además, si se distribuyen copias infectadas con código malicioso de aplicaciones legítimas, la reputación de estas se verá irremediablemente afectada.
¿Cómo se previene esta vulnerabilidad?
El Top 10 de riesgos en aplicaciones móviles de OWASP recomienda que los desarrolladores inspeccionen los binarios de sus aplicaciones utilizando, paradójicamente, las mismas herramientas que emplean los delincuentes y que se pueden encontrar con facilidad.
Más allá de esta inspección, existen tres grandes vías para enfrentarse a los ataques con éxito:
- Realizar una ofuscación para que el binario de la app resulta incomprensible, lo que permite repeler los ataques de ingeniería inversa.
- Ofuscación, aplicar los controles de seguridad locales también por el backend y efectuar comprobaciones de integridad, para evitar que los actores maliciosos puedan romper los mecanismos de seguridad de la aplicación.
- Comprobaciones de integridad para detectar la redistribución y modificación de los binarios de las apps.
También es pertinente eliminar copias no autorizadas de las apps que puedan estar disponibles en las tiendas de aplicaciones.
M8. Mala configuración de seguridad
Explotación: Difícil
Detectabilidad: Fácil
Impacto técnico: Severo
Impacto empresarial: Severo
Las aplicaciones móviles pueden verse afectadas por una configuración incorrecta de los controles y permisos de seguridad, que pueden ser explotadas por los atacantes para acceder a información confidencial o poner en marcha diversas acciones maliciosas.
Según el Top 10 de riesgos en aplicaciones móviles de OWASP, los vectores de ataque más comunes relativos a los problemas de configuración son:
- Configuraciones por defecto o predeterminadas son inseguras.
- Controles de acceso inadecuados que permiten a usuarios no autorizados acceder a datos confidenciales.
- Algoritmos de cifrado o hash débiles o que han sido implementados de manera deficiente.
- No se usan protocolos de comunicación seguros, posibilitando ataques del tipo man-in-the-middle.
- Almacenamiento inseguro de contraseñas y claves API.
- Permisos de archivo inseguros.
- Gestión de sesiones mal configurada, que permite a los atacantes suplantar a usuarios legítimos de las apps.
OWASP alerta de que los problemas de configuración de seguridad son comunes en las aplicaciones móviles y que pueden facilitar el acceso a datos sensibles de los ciudadanos y las empresas, propiciar la suplantación de identidades, provocar pérdidas económicas, e, incluso la paralización de las apps afectadas, afectando a la actividad habitual de las empresas que las usan.
¿Cómo se previene esta vulnerabilidad?
Para detectar problemas de configuración de seguridad, el Top 10 de riesgos en aplicaciones móviles recomienda someter a las apps a auditorías de seguridad integrales, en las que se revise el código fuente y que sometan a las aplicaciones a pruebas de seguridad.
Asimismo, en el terreno de la prevención, los desarrolladores de aplicaciones deben poner en marcha prácticas seguras de codificación y configuración de las apps:
- Comprobar que las configuraciones predeterminadas son seguras.
- No emplear credenciales por defecto, ni almacenar archivos de aplicaciones son permisos débiles.
- Seguir el principio del mínimo privilegio.
- Configurar la red de manera segura.
- Deshabilitar las funciones de depuración.
- Limitar la superficie de ataque exportando solo las actividades, servicios y contenedores de proveedores que resulte necesario exportar.
M9. Almacenamiento de datos inseguro
Explotación: Fácil
Detectabilidad: Media
Impacto técnico: Severo
Impacto empresarial: Severo
Como ya señalamos antes, obtener datos críticos sensibles es uno de los principales objetivos de los ciberdelincuentes en la actualidad. Por eso, es imprescindible que los desarrolladores de aplicaciones pongan en marcha buenas prácticas en materia de almacenamiento seguro y lleven a cabo un cifrado robusto de la información.
Entre los vectores de ataque habituales, el Top 10 de riesgos en aplicaciones móviles destaca:
- Acceso no autorizado al sistema de archivos de un dispositivo.
- Explotación de un cifrado débil.
- Interceptación de transmisiones de datos.
- Malware o aplicaciones maliciosas instaladas en un dispositivo.
- Técnicas de ingeniería social para engañar a las personas y conseguir que faciliten el acceso a datos.
El almacenamiento de datos inseguro puede ayudar a los delincuentes a comprometer las cuentas de los usuarios, manipular los datos de una aplicación, acceder a recursos de una app como archivos de configuración o claves criptográficas y dañar la confianza de los usuarios en la compañía que desarrolló la aplicación.
Las consecuencias de esta clase de ataque pueden ser económicas, competitivas y reputacionales, pero también legales.
¿Cómo se previene esta vulnerabilidad?
El Top 10 de riesgos en aplicaciones móviles recomienda a los desarrolladores implementar:
- Algoritmos de cifrado sólidos que protejan los datos sensibles.
- Protocolos de comunicación seguros, securizando la información que se transmite entre la app y los servidores backend.
- Mecanismos de almacenamiento de datos seguros, evitando que usuarios no autorizados accedan a ellos.
- Controles de acceso sólidos.
- Técnicas de validación de entradas y saneamiento de datos que permitan evitar ataques de inyección.
- Técnicas de gestión de sesiones seguras.
- Actualizaciones y parches periódicos de todas las dependencias.
M10. Criptografía insuficiente
Explotación: Media
Detectabilidad: Media
Impacto técnico: Severo
Impacto empresarial: Severo
OWASP alerta de que, si la criptografía de una aplicación es insegura o insuficiente, los actores maliciosos pueden menoscabar la confidencialidad, integridad y autenticidad de la información de la aplicación. El Top 10 de riesgos en aplicaciones móviles hace hincapié en los ataques contra algoritmos, la manipulación de procesos criptográficos o la filtración de claves de cifrado. Además, señala que los delincuentes pueden aprovecharse de un cifrado débil para sustraer datos personales que les permitan realizar fraudes y explotar vulnerabilidades presentes en las bibliotecas criptográficas.
¿Cuáles son las consecuencias de los ataques que explotan las debilidades criptográficas? Exfiltración de información confidencial, pérdidas económicas, problemas legales por incumplir las exigencias normativas en materia de encriptación e, incluso, sustracción de propiedad intelectual.
¿Cómo se previene esta vulnerabilidad?
Al igual que sucede con otras categorías, el Top 10 de riesgos en aplicaciones móviles propone a los desarrolladores que sigan las mejores prácticas en materia de encriptación:
- Emplear algoritmos de cifrado seguros y aceptados por el sector.
- Seleccionar claves de cifrado con una longitud adecuada.
- Usar técnicas seguras de gestión de claves y protegerlas ante accesos no autorizados.
- Implementar los procesos de cifrado con cuidado, empleando marcos criptográficos validados por el sector.
- Almacenar las claves de cifrado de manera segura.
- Utilizar protocolos de capa de transporte seguros para transmitir datos cifrados a través de redes.
- Usar mecanismos de validación y autenticación robustos.
- Actualizar periódicamente la aplicación y los componentes criptográficos, mitigando cualquier vulnerabilidad que se haya detectado.
- Llevar a cabo pruebas de seguridad como test de intrusión avanzados y auditorías de código fuente para detectar y remediar las vulnerabilidades.
- Tener en cuenta las recomendaciones y buenas prácticas elaboradas por las organizaciones de referencia a nivel mundial como el NIST de Estados Unidos.
- Recurrir a hash seguros criptográficamente.
- Realizar salting para añadir una capa de seguridad extra y dificultar los ataques.
- Utilizar funciones de derivación de claves criptográficas.
¿Qué otros riesgos se deben tener en cuenta?
Más allá de las categorías que componen el Top 10 de riesgos en aplicaciones móviles, el equipo que lo ha elaborado señala brevemente otras vulnerabilidades que, aunque no forman parte del ranking, se deben de tener en cuenta de cara al futuro:
- Fuga de datos.
- Secretos codificados.
- Control de acceso inseguro.
- Sobreescritura de rutas.
- Endpoints desprotegidos.
- Uso compartido inseguro.
En definitiva, la nueva versión del Top 10 de riesgos en aplicaciones móviles de OWASP adapta este listado a los cambios que se han producido en el panorama de amenazas en los últimos ocho años.
Gracias a ello, este ranking renueva su papel de herramienta de referencia para desarrolladores de aplicaciones móviles y expertos en ciberseguridad a nivel global. Ya que contribuye a poner el foco sobre los principales riesgos y vulnerabilidades del panorama actual y ayuda a las compañías a construir un ecosistema de apps móviles más seguro para las empresas y los ciudadanos.
Además, el Top 10 de riesgos en aplicaciones móviles evidencia la importancia de que los desarrolladores implementen buenas prácticas de seguridad desde el diseño, sometan a las apps a auditorías de seguridad de aplicaciones móviles de manera periódica, realicen auditorías de código fuente y recurran a tests de intrusión avanzados para comprobar la seguridad de las aplicaciones móviles.
Este artículo forma parte de una serie de articulos sobre OWASP
- Metodología OWASP, el faro que ilumina los cíber riesgos
- OWASP: Top 10 de vulnerabilidades en aplicaciones web
- Análisis de seguridad en IoT y embebidos siguiendo OWASP
- OWASP FSTM, etapa 1: Reconocimiento y búsqueda de información
- OWASP FSTM, etapa 2: Obtención del firmware de dispositivos IoT
- OWASP FSTM, etapa 3: Análisis del firmware
- OWASP FSTM, etapa 4: Extracción del sistema de ficheros
- OWASP FSTM, etapa 5: Análisis del sistema de ficheros
- OWASP FSTM etapa 6: emulación del firmware
- OWASP FSTM, etapa 7: Análisis dinámico
- OWASP FSTM, etapa 8: Análisis en tiempo de ejecución
- OWASP FSTM, Etapa 9: Explotación de ejecutables
- Análisis de seguridad IOT con OWASP FSTM
- OWASP SAMM: Evaluar y mejorar la seguridad del software empresarial
- OWASP: Top 10 de riesgos en aplicaciones móviles