Gracias por visitarnos y por leer el artículo: Si hay tantas filtraciones de datos es en gran parte por culpa de los desarrolladores, según este informe
Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., los desarrolladores de aplicaciones y sitios web tienen mucho que ver con el resurgimiento actual de las filtraciones y robos de datos personales.
CISA y su contraparte australiana publicaron un informe conjunto que encontró que las filtraciones de datos personales son cada vez más costosas y frecuentes. “La información personal, financiera y médica de millones de personas ha sido robada a través de un tipo particular de vulnerabilidad en el sitio web”, dijeron. IDOR, o “Referencias de objetos directos inseguros”. Este defecto es de hecho muy común, porque en una inspección más cercana, es un patrón muy común en la web de hoy.
El CISA toma el ejemplo de un sitio ficticio, a través del cual se puede acceder a los datos personales de un usuario ingresando su identificador en los parámetros de solicitud, en la dirección URL. Bajo el formulario, www.dangeroussite.com?id=USERIDENTIFIER. En teoría, toda la parte después de “?id=” debería cifrarse, de modo que nadie sepa el ID de usuario real. En la práctica, esto no es así y los piratas informáticos roban datos con esta pequeña información aparentemente inocuo.
Según Estados Unidos, los desarrolladores son los principales responsables del robo de datos.
Según las autoridades de ciberseguridad de EE. UU., esta falla de IDOR es muy común. Los piratas informáticos se aprovechan de ellos porque son comunes, difíciles de evitar fuera del proceso de desarrollo ypueden ser explotados a gran escala […] Por lo tanto, estas fallas de control de acceso permiten a los ciberdelincuentes modificar, eliminar o acceder a datos confidenciales mediante el envío de solicitudes a un sitio web o una API que especifica la identificación de otros usuarios válidos. Estas solicitudes tienen éxito cuando no se realizan comprobaciones de autenticación y autorización adecuadas “.
Dada la magnitud del fenómeno, CISA está solicitando a los editores, diseñadores y desarrolladores de software que utilicen herramientas de revisión de código automatizadas como Security Copilot de Microsoft para identificar IDOR y otras vulnerabilidades, así como que utilicen referencias indirectas para no exponer los identificadores de usuario y otros recursos. Sobre todo, se pide a las organizaciones que seleccione cuidadosamente el software y los servicios con quien van a trabajar.
