La ruptura de los controles de acceso es el fallo de seguridad más común para las empresas

Synack, la principal plataforma de tests de seguridad, ha publicado hoy su primer informe sobre el estado de las vulnerabilidades, State of Vulnerabilities, en el que se destacan los tres principales fallos de software que ha detectado la red mundial de investigadores de seguridad de élite de la empresa.

Los resultados se basan en un récord de 14.800 vulnerabilidades explotables descubiertas en 2022 por el Synack Red Team (SRT), la comunidad de hackers éticos más fiables y cualificados del mundo.

Según el informe, Broken Access Control es el riesgo más común para las empresas, y alcanza el 39% de todas las vulnerabilidades descubiertas durante las pruebas de pentesting. Cuando se explotan, estas vulnerabilidades otorgan al atacante privilegios muy superiores a los previstos por los desarrolladores. Por ejemplo, un atacante podría utilizar una vulnerabilidad de control de acceso para escalar el acceso de un usuario normal, asumiendo el control administrativo total sobre una aplicación web.

Los fallos de inyección – incluidas las vulnerabilidades de tipo Cross-Site Scripting (XSS) y SQL- ocupan el segundo lugar. Las vulnerabilidades de inyección surgen año tras año debido al hecho de que pueden aparecer en cualquier parte de la superficie de ataque de una organización y, a menudo, conducen a un compromiso total de la red. Junto con la categoría anterior (Broken Access Control), ambas representaron tres cuartas partes de todas las vulnerabilidades encontradas.

La tercera vulnerabilidad más común, los fallos de identificación y autenticación, representa el 6% de los casos. Este tipo de vulnerabilidades proliferan en la complejidad de las aplicaciones web y, cuando se explotan, permiten a un atacante hacerse pasar por un usuario legítimo, lo que dificulta la detección de una brecha de seguridad hasta que es demasiado tarde.

«Las organizaciones luchan por proteger sus superficies de ataque, ya que los cibercriminales encuentran formas cada vez más creativas de explotar vulnerabilidades», afirma Jay Kaplan, CEO y cofundador de Synack. «Nuestro primer informe State of Vulnerabilities subraya la importancia de los tests de seguridad continuos para solucionar estas deficiencias y abordar sus causas fundamentales antes de que provoquen una costosa brecha.»

El informe se basa en datos de tests de seguridad realizados en la base global de clientes de Synack y se alinea con las categorías de vulnerabilidad del documento de concienciación estándar OWASP Top 10. Los más de 1.500 miembros del SRT pasaron colectivamente 35.700 días probando los activos de los clientes de Synack el año pasado, incluyendo la nube, interfaces de programación de aplicaciones, aplicaciones web, infraestructuras de hosts y aplicaciones móviles.

Otras conclusiones del informe:

  • El 40% de las vulnerabilidades son de severidad “alta” o “crítica”, según el marco del Sistema Común de Puntuación de Vulnerabilidades
  • Las vulnerabilidades XSS cayeron un 44% de 2021 a 2022 a medida que las organizaciones desplegaban técnicas defensivas más eficaces
  • Las vulnerabilidades explotables de las API se han convertido en un riesgo cada vez mayor.

Para leer el informe completo, por favor visite: State of Vulnerabilities 2023.

Articulos Relacionados

Cataluña, Madrid y País Vasco, las 3 regiones que serán más ciberatacadas en 2024

BeDisruptive, boutique tecnológica experta en ciberseguridad, ha hecho público un listado de las regiones españolas con mayor riesgo de sufrir ciberataques a lo largo...

La banca evoluciona hacia un modelo más ágil y centrado en el cliente gracias a las tecnologías en la nube impulsadas por la IA

NTT DATA, empresa líder en negocios digitales y servicios de TI, ha publicado hoy un informe centrado en el sector bancario bajo el título...

Datos bajo Control: la tecnología DSPM redefine la Seguridad del Dato

Por Jose Antonio Martínez, BDM de Arexdata  La seguridad de los datos se ha convertido en la preocupación fundamental para empresas y organizaciones. Con el...

Dejar comentario

Please enter your comment!
Please enter your name here

¿CONECTAMOS?

Ultimos Articulos

Cataluña, Madrid y País Vasco, las 3 regiones que serán más ciberatacadas en 2024

BeDisruptive, boutique tecnológica experta en ciberseguridad, ha hecho público un listado de las regiones españolas con mayor riesgo de sufrir ciberataques a lo largo...

La banca evoluciona hacia un modelo más ágil y centrado en el cliente gracias a las tecnologías en la nube impulsadas por la IA

NTT DATA, empresa líder en negocios digitales y servicios de TI, ha publicado hoy un informe centrado en el sector bancario bajo el título...

Datos bajo Control: la tecnología DSPM redefine la Seguridad del Dato

Por Jose Antonio Martínez, BDM de Arexdata  La seguridad de los datos se ha convertido en la preocupación fundamental para empresas y organizaciones. Con el...

La gestión de los datos como ventaja competitiva y diferencial en #FID24, Madrid -21/02

El valor de los datos en las organizaciones radica en su capacidad para ofrecer una visión integral y fundamentada sobre el rendimiento, el comportamiento...

Redefinir la experiencia de compra autónoma

Un pase clave para el éxito del autoservicio. Shift4 (NYSE: FOUR), líder global en tecnología de pagos y comercio integrado, y proveedor de pagos...