¿Cómo se lleva a cabo un test de seguridad web?

Una de las prácticas más efectivas para tener el control sobre los recursos destinados a la ciberseguridad es la realización de un test de seguridad web

En el 2023, las brechas de seguridad más relevantes detectadas a nivel global tuvieron un coste promedio para las empresas que las sufrieron de 4,45 millones de dólares. Sin embargo, y pese a la dimensión de las pérdidas, la mitad de esas compañías que habían sido víctimas de las brechas de seguridad reconocieron a posteriori que no planeaban incrementar su inversión en ciberseguridad.

La conclusión aparece reflejada en el último informe sobre el Coste de una Brecha de Seguridad publicado por IBM el año pasado. El estudio arroja datos aún más reveladores, como que muchos de los ataques quedarán sin una respuesta adecuada porque las empresas no disponen de los recursos suficientes.

Una política robusta en ciberseguridad es uno de los pilares fundamentales para el correcto y eficiente funcionamiento de un negocio. Estar protegido ante los ciberataques es una garantía que debería ser innegociable, por lo que es esencial saber en todo momento el estado de la salud de la seguridad del negocio en la red. Un objetivo central para cualquier organización que puede tomar carta de naturaleza recurriendo a herramientas como la ejecución de un test de seguridad web.

¿Qué es un test de seguridad web?

Un test de seguridad web es un ejercicio exhaustivo que permite la identificación de vulnerabilidades que afectan a la seguridad de una aplicación web. Su objetivo es detectar y proponer soluciones a debilidades que puedan suponer un riesgo para la confidencialidad, integridad y disponibilidad de la información gestionada por la aplicación. Así, estas debilidades pueden ser subsanadas antes de que un atacante real pueda llegar a explotarlas.

Los test de seguridad web son de vital importancia para cualquier organización. Las aplicaciones web forman parte de los activos más expuestos de la infraestructura tecnológica: definen la imagen corporativa y son un objetivo común para potenciales atacantes. Normalmente, estos tratan de comprometer información sensible, o bien utilizan las aplicaciones web como vía de entrada para posteriormente escalar privilegios o realizar movimientos laterales que pueden afectar a la seguridad de otros activos.

¿Qué datos o elementos de una aplicación pueden ser sometidos a un test de seguridad web?

Todos. Cualquier elemento de la infraestructura y cualquier funcionalidad de una aplicación web pueden ser potencialmente objetivo de atacantes para comprometer su seguridad. Por ello, es crítico realizar test de seguridad web para prevenir cualquier eventualidad.

Incluso cuando la web es estática y no cuenta con funcionalidades dinámicas o información confidencial, puede ser objetivo de atacantes que identifiquen vulnerabilidades. Sus intenciones pueden ser alterar su contenido con falsos formularios para robar información a usuarios, llevar a cabo ataques de defacement que afecten a la imagen corporativa, o utilizar la web como punto de partida para comprometer otros activos.

¿Cuáles son las vulnerabilidades que un test de seguridad web puede identificar?

Un test de seguridad web puede identificar muchos tipos de vulnerabilidades. Desde las que pueden ser explotadas a través del navegador web de los usuarios, hasta otras que pueden derivar en la toma de control del servidor que aloja la aplicación.

Algunos ejemplos significativos son:

• Inyección de código: inyección de comandos, inyección SQL, inyección XML, Cross-site scripting…
• Vulnerabilidades de autenticación y gestión de sesiones
• Vulnerabilidades de control de autorización y control de acceso
• Vulnerabilidades de configuración de la infraestructura
• Exposición de datos sensibles
• Vulnerabilidades en el cifrado de las comunicaciones
• Vulnerabilidades en la gestión de errores
• Vulnerabilidades en las API
• Vulnerabilidades relacionadas con el uso de software vulnerable de terceros
• Vulnerabilidades relacionadas con una incorrecta validación de datos

Métodos y herramientas disponibles para realizar un test de seguridad web

Hoy en día existen numerosos métodos para realizar un test de seguridad web. Cada uno de ellos tiene una razón de ser que lo hace muy efectivo en relación con ciertas vulnerabilidades específicas y con las perspectivas desde las que actúa.

Lo ideal es combinar varias herramientas, bajo el paraguas de una política de ciberseguridad efectiva y responsable. No todos los métodos tienen el mismo coste ni son igual de accesibles, por lo que es necesario analizarlos previamente y ver cuáles son los más adecuados para la web según los recursos disponibles.

Metodologías abiertas como OWASP (Open Web Application Security Project) ofrecen una base para cubrir gran parte de los controles necesarios para verificar la seguridad de aplicaciones web. No obstante, en el mundo de la ciberseguridad surgen nuevas técnicas de explotación constantemente. Es el pan de cada día.

Por ello, es de vital importancia que el consultor que realiza el ejercicio tenga las habilidades y conocimientos suficientes para aplicar tanto las pruebas asociadas a estas metodologías, como las relacionadas con nuevos descubrimientos y tendencias de la comunidad.

Algo a tener en cuenta a la hora de escoger qué herramientas o métodos utilizar, es la naturaleza del análisis que se va a realizar. Existen dos tipos de pruebas que se realizan en un test de seguridad web: automáticas y manuales.

• Las herramientas de escaneo automático permiten detectar las vulnerabilidades que normalmente están más expuestas, así como debilidades reportadas públicamente en el software de terceros. Son clave en las primeras fases del análisis, ya que permiten llevar a cabo una enumeración de los recursos expuestos y los posibles puntos de entrada de información.
• Las pruebas manuales son esenciales para llevar a cabo un test de seguridad web exhaustivo. Son la única vía para detectar ciertos tipos de vulnerabilidades relacionadas con la lógica de negocio o vulnerabilidades avanzadas que requieren de la utilización de múltiples técnicas. Una de las herramientas principales para este tipo de pruebas manuales son las herramientas de tipo proxy. Con estas herramientas, el consultor que realiza el test de seguridad web puede visualizar, interceptar, manipular y reenviar las peticiones HTTP que viajan desde el lado del cliente al servidor web, pudiendo introducir diversos vectores de ataque adaptados a cada contexto.

Las claves para realizar un test de seguridad web paso a paso

Antes de comenzar la realización de un test de seguridad web, debemos tener en cuenta tres factores esenciales:

• El ámbito (scope) del test. Es imprescindible definir y especificar qué activos y funcionalidades son objetivo del análisis, y cuáles quedan fuera de él.
• La modalidad del test: caja negra, caja blanca o caja gris. Un ejercicio de caja negra significa realizar el test de seguridad web sin información previa. Si la modalidad es caja gris, la información disponible es parcial, mientras que, si es caja blanca, el ejercicio se realiza partiendo de información más detallada.
• Adaptación de las técnicas utilizadas. Esto es importante para no causar un posible impacto negativo sobre la disponibilidad del servicio o la integridad de sus datos a la hora de hacer pruebas sobre entornos productivos.

Una vez definidos estos tres elementos, es hora de ponerse manos a la obra. A continuación, os enumeramos los pasos que se deben seguir para realizar un test de seguridad web efectivo. Seguiremos un modelo de dos fases: una de ejecución y otra final de documentación.

La fase de ejecución

La fase de ejecución, como su nombre indica, es la fase técnica en la que tienen lugar los test propiamente dichos, que pondrán a prueba la seguridad de la aplicación web. Cuenta con los siguientes pasos:

• Recopilación de información. Este primer paso cuenta con tres hitos fundamentales:
  • Identificación de tecnologías y frameworks utilizados por la aplicación web
  • Enumeración de recursos expuestos
  • Identificación de puntos de entrada de información
• Identificación de vulnerabilidades
• Explotación de vulnerabilidades
• Recopilación de evidencias sobre los hallazgos detectados

La fase de documentación

La fase de documentación es muy importante, ya que es el producto final. Un análisis bien ejecutado en la fase técnica que no cuenta con una buena documentación no podrá transmitir correctamente los hallazgos y no cumplirá los objetivos del trabajo.

Para que sea un informe completo y útil, debe detallar todos los puntos anteriores junto con otros adicionales:

• Objetivos del análisis, ámbito y modalidad
• Posibles limitaciones o problemas detectados durante la ejecución. Si algún elemento no se pudo analizar por alguna causa, debe quedar reflejado en la documentación
• Resumen ejecutivo de alto nivel
• Detalle de vulnerabilidades:
  • Métricas de severidad (estándar CVSS)
  • Descripción del impacto
  • Pasos para reproducir la vulnerabilidad
  • Recomendaciones para solucionar las debilidades identificadas

¿Con qué frecuencia se debe realizar un test de seguridad web?

Existen diversas variables a tener en cuenta para determinar la frecuencia con la que se debe realizar un test de seguridad web:

• Tamaño y complejidad de la aplicación
• Sensibilidad de la información gestionada
• Cantidad de modificaciones o cambios que sufre la aplicación

Cuanta más envergadura tengan estas variables, con mayor frecuencia se deberían realizar test de seguridad web.

Es interesante tener en cuenta que, aunque la aplicación no sufra modificaciones, nuevas técnicas y vulnerabilidades son descubiertas en la comunidad de seguridad que pueden afectar a la aplicación. Independientemente de las variables anteriores, sería recomendable realizar, como mínimo, un test de seguridad web al año.

Como resulta lógico, también sería necesario realizar un test de seguridad web tras sufrir un incidente de seguridad o haber aplicado cambios importantes en la aplicación.

En definitiva, los test de seguridad web son esenciales como herramienta de prevención. Su variedad y versatilidad permiten una multitud de combinaciones que se pueden adaptar a todo tipo de negocio y situación, siendo una solución efectiva para los problemas del hoy y del mañana.