Para tener éxito en sus ilícitas actividades, los atacantes informáticos suelen aprovechar vulnerabilidades en las aplicaciones de software. Esta situación es ya bien conocida, pero no se hace poco para minimizarla, porque todavía falta mucha cultura de seguridad al momento de desarrollar aplicaciones.

Es cierto que los usuarios son un factor importante de inseguridad, pero también es verdad que las aplicaciones poco robustas en cuanto a protección, propician o facilitan los accesos no autorizados.

La omisión de ciertos requerimientos de seguridad en las soluciones se debe, principalmente, al poco entendimiento del alcance e impacto de esto en el diseño, creación e implementación de aplicaciones de software.

Y es que la seguridad frecuentemente se pospone hasta que las piezas funcionales de la aplicación han sido diseñadas. Sin embargo, después de que la aplicación es liberada en producción, es muy difícil implementar los mecanismos de autenticación, autorización y auditoría.

Básicamente, las vulnerabilidades de software pueden agruparse en tres categorías: las de diseño. De la misma manera en que se definen los requerimientos funcionales de la aplicación, deberían definirse los de seguridad, pero los analistas y diseñadores están ocupados en que la aplicación funcione y la seguridad se deja para después.

Vulnerabilidades de desarrollo e implementación. Aún cuando se haya definido un buen esquema de seguridad para la aplicación, muchas veces se cometen errores u omisiones al codificar el sistema; uno muy frecuente es asignar a los programadores la responsabilidad de implementar la seguridad, cuando muchas veces no tienen muy claras las necesidades respecto a esto o no poseen los suficientes conocimientos y experiencia en la materia.

En el tercer grupo están las vulnerabilidades de operación. Una vez implementada la aplicación, la administración de la seguridad suele convertirse en una actividad compleja y laboriosa, así que éstas van perdiendo su estado inicial de protección, sobre todo cuando el diseño del esquema de seguridad no fue el adecuado.

Dichas vulnerabilidades en las aplicaciones se generan porque la seguridad frecuentemente se define mediante requerimientos funcionales incorrectos o ambiguos. Por ejemplo, se solicita que la aplicación maneje perfiles de usuarios o que deje rastros de auditoría, sin embargo no se indica exactamente cómo se desea que sean manejados estos aspectos.

La mayoría de las medidas que se pueden adoptar para desarrollar aplicaciones seguras se basan en cuatro conceptos: autenticación, autorización, protección de datos y auditoría, aunque también conviene considerar ciertas premisas:

• Entre más tarde se pretenda incorporar el esquema de seguridad a la aplicación, su implementación será más costosa.
• La seguridad debe entenderse como un atributo de calidad y no debe confundirse con los requerimientos funcionales.
• Los requerimientos de seguridad deben ser claros y detallados, y de preferencia deben establecerse por un experto de seguridad.
• Emplear escenarios de protección para el diseño es una buena práctica que permite identificar posibles riesgos y plantear soluciones.
• Probar los servicios de seguridad de la aplicación antes de liberar a producción e identificar posibles errores.

Los puntos de vulnerabilidades en los sistemas son muy diversos, pero si las aplicaciones inseguras representan la principal puerta utilizada por los intrusos, bien vale la pena hacer el esfuerzo de limitar este acceso, bueno eso creo yo, pero ¿usted que cree?

Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA y es miembro de la mesa directiva de ISACA