Advierten a empresas sobre riesgos de no corregir [...]

📅 marzo 22, 2023 - Business Empresarial.- ¿Sabía usted que empresas como Meta (ex Facebook), British Airways, Yahoo!, T-Mobile, Ticketmaster, Uber, Google y Dropbox, por mencionar algunas, ya han sido víctimas de la ciberdelincuencia? ¿Y que el 90% de los sitios web son vulnerables y están expuestos a ataques directos a sus aplicaciones? O ¿que el 78% de las aplicaciones Web analizadas son vulnerables a un ataque?

Lo cierto es que los intereses de los ciberdelincuentes son diversos, partiendo desde la simple demostración de conocimientos y poder en la comunidad de hackers hasta llegar a la apropiación de datos bancarios para la clonación de tarjetas, el phishing, spear phishing, extorsión y venta ilícita, por mencionar algunos.

Jorge Román Deacon, gerente Comercial de Soluciones Virtuales Perú, afirma que hay decenas de técnicas maliciosas como el “SQL Injection”, el “Cross Site Scripting” o el “Brute Force” que los cibercriminales usan para cometer sus delitos con total anonimato e impunidad.

“Según el CSIS (Center for Strategic and International Studies), en su estudio “Economic Impact of Cybercrime – No Slowing Down”, se estima en 600 mil millones de dólares anuales el impacto de la ciberdelincuencia, es decir, el equivalente al 0,8% del PIB mundial”, resalta el ejecutivo.

Asimismo, comenta que hoy las compañías están apostando por la seguridad, eligiendo en gran medida aplicaciones que incorporen la tecnología de Ciberseguridad SAST (Static Application Security Testing), ya que permite detectar vulnerabilidades y debilidades que impactan en la Calidad y Seguridad desde los mismos entornos de desarrollo de las aplicaciones, antes de que estén expuestas en Producción.

“Como su nombre lo indica, son análisis estáticos, es decir, realizados sobre código fuente independiente de cualquier entorno o lenguaje de programación. Estos análisis pueden realizarse de dos maneras. La primera, como auditorías completas de las aplicaciones, a través del upload de un fichero .zip que contiene todo el código fuente de la aplicación, protegido por una plataforma securizada. La segunda alternativa es a través de su integración en el ciclo de vida del software, con SecDevOps, de forma que cada desarrollador, antes de dar un commit y subir el software al repositorio de fuentes, es analizado para comprobar que no tiene fallos de seguridad.

Servicio SAST

En este contexto, Jorge Román Deacon manifiesta que su compañía trabaja exhaustivamente en difundir la importancia de efectuar análisis SAST en las organizaciones de cualquier tamaño. El servicio detecta vulnerabilidades de código fuente y es capaz de integrarse de forma automatizada en el ciclo de vida de desarrollo de software dando total cumplimiento al ISO12207, DevOps, alcanzando SecDevOps de forma totalmente natural y sin perjuicio ninguno en los tiempos de desarrollo habituales.

Denominado Pruebas de Seguridad para Aplicaciones Estáticas (SAST) el servicio permite la Identificación de vulnerabilidades y puertas traseras en código personalizado y de terceros, escaneo completo al 100% sin carga del servidor, y examen del código desde la parte superior (interfaz con el usuario) hasta la parte inferior (interfaz con la base de datos o el sistema operativo), entre otros beneficios.

A la vez, señala que se trata de una solución que actúa como un corrector de código, resaltando cada vulnerabilidad detectada. Adicionalmente, señala que cumple con las regulaciones PCI, RGPD, LPDP y otras normativas de la industria; que prioriza fallas por nivel de gravedad y probabilidad de explotación; y que analiza el código desde la perspectiva del atacante, pero con mayor precisión.

“El proceso se lleva a cabo desde adentro hacia afuera para brindar una cobertura de información precisa al 100%. El escaneo de pruebas no invasivas y bajo demanda garantizan la calidad del software antes de su lanzamiento o correcciones a partir de su despliegue. El objetivo es encontrar vulnerabilidades en las aplicaciones personalizadas y de terceros antes de que los atacantes accedan a las brechas de seguridad”, manifiesta el ejecutivo.