Seguramente durante el desarrollo de nuestras actividades como profesionales de seguridad nos ha tocado escuchar: “Sí tenemos seguridad, contamos con un firewall” o “Nuestro portal sí está protegido, contamos con un firewall”. Lamentablemente no es así y en algunos lugares persisten estos conceptos equivocados.

Las amenazas específicas para  aplicaciones Web han evolucionado de manera sostenida, y se puede decir que seguirán siendo el blanco favorito de hackers en el corto y mediano plazo. La gran mayoría de las tecnologías de seguridad como firewalls y prevención de intrusos han probado ser poco efectivas ante el vasto mundo de amenazas específicas para las aplicaciones Web. Poco a poco los controles tecnológicos especializados han ido ganando terreno y ahora contamos con firewalls de aplicaciones Web (Web application firewalls) y firewalls de bases de datos (database firewalls).

El uso de dispositivos de seguridad de propósito específico, como los firewalls de aplicaciones Web y de bases de datos, puede ayudar efectivamente al control de amenazas en este ámbito. Sin embargo, si nuestro objetivo es contar con un esquema integral de seguridad aplicativa, el uso de este tipo de tecnología es muy recomendable como la primera aproximación, pero hay que tener en mente que no será suficiente.

Un esquema integral de protección de aplicaciones Web tiene que incluir una estrategia encaminada a tratar la raíz del problema: estas estrategias generalmente son desarrolladas con la funcionalidad -y no con la seguridad- en mente. Es necesario que nos ocupemos de diseñar y codificar las aplicaciones con los controles de seguridad embebidos en ellas desde las primeras etapas de desarrollo. Para ayudarnos en esta tarea existen herramientas que analizan de manera automatizada el código y determinan si en alguna línea o función es posible que éste presente vulnerabilidades, aunque es cierto que esto nos obliga a detectarlas después de que se codificó la aplicación, y para remediarlo habría que regresar al principio y volver a revisar todas las etapas de desarrollo de la aplicación hasta el momento en que se pueda  verificar que en efecto las deficiencias fueron corregidas.

Lo anterior no suena muy eficiente y va en contra de la teoría moderna de control de calidad, en donde se prefiere corregir los problemas en etapas tempranas del desarrollo, sobre todo porque es mucho menos costoso. De cualquier forma, el uso de este tipo de herramientas se recomienda como una segunda fase en la estrategia de protección de aplicaciones Web, ya que la implantación de estos controles y procesos llevará menos tiempo que la utilización de metodologías de desarrollo seguro.

El establecimiento y puesta en práctica de metodologías de desarrollo seguro de aplicaciones se perfila como la solución más efectiva y de menor costo; siempre será más barato remediar las vulnerabilidades antes de que puedan ser explotadas. No obstante lo anterior, muy probablemente la implantación y homogeneización de la práctica de cualquier metodología de desarrollo seguro llevará mucho tiempo lo que nos lleva a sugerir que este control tiene que ser planeado como una tercera, y última, fase de la estrategia.

La estrategia propuesta está construida sobre todo desde el punto de vista de la efectividad en los controles y el tiempo que se lleva implementarlos; sin embargo, resulta imprescindible revisar el presupuesto con el que se dispone para el despliegue de la estrategia de protección de aplicaciones Web, ya que el conducir las tres fases propuestas requerirá de fondos significativos que probablemente no existan, al menos eso es lo que indica la tendencia.

.

¿Hacia dónde va la seguridad para aplicaciones Web?

En el contexto de la industria estadounidense, el Instituto Ponemon (que se dedica a levantar encuestas en materias especializadas de tecnologías de información) reporta dentro de su informe “State of Web Application Security” de abril de 2010, los siguientes hallazgos clave:

  • Una clara discrepancia entre el número de incidentes de seguridad, que involucra una aplicación o una base de datos, y el presupuesto que las organizaciones destinan a controles de seguridad para protección de éstas.
  • Falta de auspicio por parte de la alta dirección en temas de seguridad aplicativa.
  • Las aplicaciones Web se están moviendo hacia servicios tipo nube (cloud computing).

Si bien es razonable decir que el contexto estadounidense difiere de la realidad en México,  sí nos sirve como parámetro de referencia para estimar lo que es factible que se reproduzca en nuestro escenario.

En el caso del primer hallazgo, con certeza muchos nos podemos identificar con la situación. Los presupuestos de seguridad hoy en día se encuentran volcados a la seguridad perimetral y el control de las amenazas de código malicioso. Lo cierto es que tampoco podríamos pedir que no se atiendan estas necesidades de manera prioritaria, lo que nos dejaría con la única alternativa de pedir aumento en el presupuesto para seguridad ¡Vaya situación tan difícil!, sin embargo es necesario que organicemos nuestros argumentos en concordancia con los objetivos de negocio de nuestra empresa o entidad, expresar los riesgos en términos de pérdidas para el negocio (monetarias o de otra índole, pero sobre todo monetarias) y realizar un meticuloso análisis costo/beneficio. Al final del ejercicio habremos ganado de una u otra manera: si el resultado es negativo, nos evitaremos la pena de invertir en controles onerosos; y si el resultado es positivo, tendremos el argumento sólido que necesitamos para presentar nuestro caso a la alta dirección, lo cual de seguro nos reportará un impacto benéfico para contrarrestar la situación que se describe en el segundo hallazgo.

El tercer hallazgo que seleccioné podría servir como una alternativa muy efectiva en costo para transferir la responsabilidad de la protección de aplicaciones Web a un tercero, el cual nos brindaría el servicio con la seguridad necesaria incluida y con todas las ventajas de este modelo de entrega de servicios. Sólo hay un detalle: realmente no sabemos si esto se podrá realizar en México en un futuro cercano.

[email protected]