Gracias por visitarnos y por leer el artĂculo: Si hay tantas filtraciones de datos es en gran parte por culpa de los desarrolladores, segĂșn este informe
SegĂșn la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., los desarrolladores de aplicaciones y sitios web tienen mucho que ver con el resurgimiento actual de las filtraciones y robos de datos personales.
CISA y su contraparte australiana publicaron un informe conjunto que encontrĂł que las filtraciones de datos personales son cada vez mĂĄs costosas y frecuentes. âLa informaciĂłn personal, financiera y mĂ©dica de millones de personas ha sido robada a travĂ©s de un tipo particular de vulnerabilidad en el sitio webâ, dijeron. IDOR, o “Referencias de objetos directos inseguros”. Este defecto es de hecho muy comĂșn, porque en una inspecciĂłn mĂĄs cercana, es un patrĂłn muy comĂșn en la web de hoy.
El CISA toma el ejemplo de un sitio ficticio, a travĂ©s del cual se puede acceder a los datos personales de un usuario ingresando su identificador en los parĂĄmetros de solicitud, en la direcciĂłn URL. Bajo el formulario, www.dangeroussite.com?id=USERIDENTIFIER. En teorĂa, toda la parte despuĂ©s de â?id=â deberĂa cifrarse, de modo que nadie sepa el ID de usuario real. En la prĂĄctica, esto no es asĂ y los piratas informĂĄticos roban datos con esta pequeña informaciĂłn aparentemente inocuo.
SegĂșn Estados Unidos, los desarrolladores son los principales responsables del robo de datos.
SegĂșn las autoridades de ciberseguridad de EE. UU., esta falla de IDOR es muy comĂșn. Los piratas informĂĄticos se aprovechan de ellos porque son comunes, difĂciles de evitar fuera del proceso de desarrollo ypueden ser explotados a gran escala [âŠ] Por lo tanto, estas fallas de control de acceso permiten a los ciberdelincuentes modificar, eliminar o acceder a datos confidenciales mediante el envĂo de solicitudes a un sitio web o una API que especifica la identificaciĂłn de otros usuarios vĂĄlidos. Estas solicitudes tienen Ă©xito cuando no se realizan comprobaciones de autenticaciĂłn y autorizaciĂłn adecuadas â.
Dada la magnitud del fenómeno, CISA estå solicitando a los editores, diseñadores y desarrolladores de software que utilicen herramientas de revisión de código automatizadas como Security Copilot de Microsoft para identificar IDOR y otras vulnerabilidades, asà como que utilicen referencias indirectas para no exponer los identificadores de usuario y otros recursos. Sobre todo, se pide a las organizaciones que seleccione cuidadosamente el software y los servicios con quien van a trabajar.