Metodología OWASP, el faro que ilumina los cíber riesgos

La metodología OWASP se ha convertido en un estándar en el mundo de la ciberseguridad para detectar y corregir vulnerabilidades en el desarrollo de software y hardware

Una gran parte del software y el hardware que empleamos en nuestro día a día tienen en común los mismos riesgos de seguridad. Eso es lo que sostiene la fundación OWASP. Un proyecto que lleva 20 años alertando de las vulnerabilidades en el cibermundo. Es tal su impacto en el sector, que la metodología OWASP se ha convertido en una estándar a la hora de estructurar y analizar los cíber riesgos.

The Open Web Application Security Project (OWASP) nació como un proyecto de código abierto en el 2001 y se transformó en el 2004 en una fundación sin ánimo de lucro. Su objetivo es señalar los peligros y ayudar a los desarrolladores de todo el mundo a garantizar la seguridad de las aplicaciones y los dispositivos que consumimos.

Inicialmente, solo luchaba contra las amenazas de seguridad en las webs. Sin embargo, con el paso del tiempo, ha ido incorporando las tecnologías que han pasado a ser fundamentales en nuestras sociedades.

Así, su ámbito de actuación incluye a las webs, pero también móviles, la evaluación de seguridad de dispositivos IoT, interfaces de programación de aplicaciones (API) y riesgos de privacidad.

Con todo ello compone una panorámica certera del cibermundo y las amenazas a las que tienen que hacer frente desarrolladores e ingenieros, pero también empresas y usuarios.

Cíber riesgos más comunes de lo que el usuario de a pie pueda imaginarse. Y que se constatan en la mayoría de aplicaciones y dispositivos.

La metodología OWASP lleva a cabo una doble misión. Por una parte, es un recordatorio constante de dichos peligros, de cara a que los desarrolladores los tengan siempre en cuenta. Por otra, ofrece herramientas de acceso libre para testear las vulnerabilidades y evitar que lleguen a los productos finales.

Como señala Óscar Mallo, CyberSecurity Advisor de Tarlogic Security, «el nivel de madurez de las empresas está lejos de ser óptimo». La celeridad en los plazos de entrega de los productos provoca que los equipos de desarrollo tengan que priorizar las utilidades frente a la ciberseguridad.

Por eso la metodología OWASP es una herramienta de extrema utilidad para las empresas. Prioriza las vulnerabilidades y ofrece guías y estándares para combatirlas. Con lo que se erige en una hoja de ruta excelente para realizar una auditoría de seguridad web que detecte riesgos escondidos.

Este artículo es una suerte de introducción, con espíritu divulgativo, para entender en qué consiste el trabajo de esta fundación. Entremos, así pues, en materia.

Testeo y categorización de las vulnerabilidades

De todos los proyectos que conforman la metodología OWASP, los más conocidos popularmente son las guías de pruebas y los top ten de vulnerabilidades.

Las guías de pruebas constituyen el principal recurso de pruebas de ciberseguridad con el que cuentan desarrolladores de aplicaciones y profesionales de la seguridad. Hay guías para webs y móviles. Así como una guía de revisión de código de seguridad.

Estamos hablando de completas guías técnicas. En ellas, podemos encontrar listados de requisitos de pruebas a realizar a la hora de diseñar aplicaciones. Así como especificaciones en detalle que indican cómo se pueden realizar las pruebas sobre distintos puntos y distintas categorías: autenticación, gestión de sesiones, etc.

Estas guías son creadas gracias a la colaboración desinteresada de profesionales de la ciberseguridad. Y proporcionan un campo de visión conformado por las mejores prácticas utilizadas por desarrolladores y empresas de todo el mundo.

Por su parte, los top ten de vulnerabilidades ofrecen una imagen nítida de los cíber riesgos más comunes. Estas clasificaciones destacan las principales amenazas para webs, IOT, API y privacidad.

Por poner un ejemplo, en el top ten de riesgos de seguridad de las aplicaciones web de 2021, el primer puesto lo ocupa la categoría de controles de acceso roto. Este tipo de vulnerabilidad ha sido detectada en el 94% de las aplicaciones testeadas por el equipo de OWASP.

Así, la metodología OWASP se centra en detectar cuáles son los problemas más extendidos, de cara a que los desarrolladores los tengan en su propio top ten de prioridades.

Esta forma de proceder da sus frutos, a pesar de los problemas de tiempos de trabajo a los que tienen que hacer frente los desarrolladores.

Volvamos al ejemplo anterior. Los dos riesgos más comunes en el top 10 del año 2017 sobre aplicaciones web, inyección y autenticación rota, han descendido a la tercera y séptima plaza, respectivamente, en el del 2021.

Si bien, en lo relativo a la inyección, siguen detectándose problemas en el 94% de las aplicaciones; en lo que respecta a la autenticación, OWASP ha detectado una mejora gracias a la mayor disponibilidad de marcos de actuación estandarizados.

Los top ten son especialmente útiles como marco mental de actuación a la hora de desarrollar. Por ello, sus categorías se han convertido en una suerte de lenguaje franco en el mundo de la ciberseguridad. Así, cuando se habla de vulnerabilidades, se emplean las categorías OWASP para describirlas y precisarlas.

OWASP, estándar global de facto

Junto a las guías técnicas y los top ten, la otra gran columna de la metodología OWASP son los estándares de verificación de la seguridad de las aplicaciones webs (ASVS, por sus siglas en inglés) y sus hermanos para auditoría de seguridad de aplicaciones móviles (MASVS).

Estos estándares proporcionan una base para probar los controles técnicos de seguridad de las aplicaciones webs y móviles. Así como cualquier control técnico de seguridad del entorno.

Los ASVS tienen como objetivos centrales ser usados como:

• Medida. Ayudan a los desarrolladores y propietarios de aplicaciones como criterio para evaluar el grado de confianza que se puede depositar en sus aplicaciones web.
• Orientación. Proporcionan consejos a los desarrolladores de controles de seguridad sobre lo que deben incorporar estos componentes
• Especificación en los contratos. Aportan especificaciones de los requisitos de verificación de la seguridad de las aplicaciones en los contratos.

Mientras que los MASVS persiguen:

• Ofrecer requerimientos de seguridad para que arquitectos y desarrolladores construyan aplicaciones móviles seguras.
• Establecer un estándar que pueda ser utilizado, por parte de la industria, en las revisiones de seguridad de las aplicaciones móviles.
• Arrojar luz en el rol de los mecanismos de protección de software en la seguridad móvil y ofrecer requerimientos para comprobar que son efectivos.
• Proporcionar consejos específicos sobre el nivel de seguridad recomendado para cada caso de uso.

Guías, top ten y estándares han conformado la metodología OWASP, un sistema de recomendaciones y especificaciones en la lucha contra los cíber riesgos, usado en todo el planeta. Como indica Óscar Mallo, «la guía de pruebas, las categorías y la definición de vulnerabilidades son estándares de facto en materia de ciberseguridad».

Todo ello ha desencadenado la sistematización de un campo, el de la ciberseguridad, que traspasa las fronteras del estado-nación y sus normativas. Contribuyendo a homogeneizar los protocolos, herramientas y requerimientos. De hecho, las empresas se han visto obligadas a hablar en OWASP. Un esperanto exitoso en el ámbito de la ciberseguridad.

De esta forma lo ve Óscar Mallo al afirmar que «si quieres desarrollar deberías tener presente lo que dice OWASP. La metodología de pruebas se ha adoptado, si no te basas en OWASP no puedes hacer nada».

Por ello, lo mejor que puede hacer una empresa del sector es aprender a exprimir todas las funcionalidades de la metodología OWASP.

Luchar de forma proactiva

Si todos estos proyectos, de vital importancia para la ciberseguridad a nivel global, no fueran suficientes, el trabajo de la fundación va más allá. Entre otras utilidades, es destacable también el top ten de herramientas proactivas. A diferencia de los otros top ten, que categorizaban vulnerabilidades, este determina una serie de acciones a realizar de cara a prevenir cíber riesgos.

De esta forma, OWASP pone el acento en la preparación y la estrategia proactiva, dos líneas de actuación capitales para cualquier empresa activa en el mundo digital.

Pero la fundación no se limita a la estandarización y prevención. Contribuye de forma activa a la lucha contra los cíber riesgos a través de cursos de formación, webinars y otros proyectos colaborativos. El más llamativo de todos ellos es ZAP, la herramienta de seguridad gratuita más popular del mundo, mantenida por equipos de voluntarios.

Pero también podemos destacar Dependency-Track, una plataforma inteligente de análisis de componentes que permite a las organizaciones identificar y minimizar los riesgos en los suministros de software.

Así como Defectdojo, una herramienta de gestión de vulnerabilidades de código abierto, que agiliza el proceso de comprobación. Esta solución ofrece plantillas, generación de informes, métricas y herramientas de autoservicio.

En conclusión, la metodología OWASP es un sistema de proyectos que se complementan, cuyo impacto en la lucha contra los cíber riesgos es extraordinario. De tal forma que sus metodologías y herramientas se han convertido en un estándar en el mundo de la ciberseguridad.

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/