Comenzando el año 2013, es importante tener una visión de lo que ocurrió el pasado año. En este caso, Imperva realizó un informe muy ilustrativo e informativo llamado Imperva’s Web Application Attack Report, donde analizan la cantidad y tipo de ataques a aplicaciones web desde Diciembre del 2011 a Mayo de 2012.
Una aplicación web brinda al usuario la posibilidad de utilizar las características de las que dispone la misma a través de un navegador web. Este tipo de aplicaciones están alojadas en servidores web.
¿En qué consiste el estudio?
En este análisis se tuvo como objetivo la observación del tráfico de Internet de 50 aplicaciones web diferentes durante un período de 6 meses. De esa forma, se extrajeron aquellas peticiones identificadas como ataques y se las categorizó de acuerdo a la naturaleza y el método utilizado. Cabe destacar que para este informe, se consideró como un ataque a aquellos incidentes que posean al menos 30 peticiones en un período de 5 minutos (una petición de ataque cada 10 segundos promedio).
Asimismo, se consideraron otros factores para ordenar el estudio y obtener datos relevantes. Los tipos de ataques que se tuvieron en cuenta fueron:
- Ataques de inclusión local de archivos (Local File Inclusion - LFI).
- Ataques de inclusión remota de archivos (Remote File Inclusion - RFI).
- Ataques de inyección SQL.
- Ataques de tipo Directory Traversal.
- Ataques web XSS (Cross Site Scripting).
- Ataques de extracción de direcciones de correo. Esto consiste en la obtención de información relacionada al contacto de una persona tal como la dirección de correo, entre otros.
- Ataques del tipo de spamming a través de comentarios. Generalmente, esto se utiliza como estrategia de Black Hat SEO y la propagación de malware.
- Ataques de violación del protocolo HTTP. Consiste en ataques a través de peticiones mal formadas que suelen acompañarse de intentos de ataques.
Resultados
Los resultados de este estudio fueron llamativos. Uno de los puntos más impactantes fue la existencia de ataques durante 59 días (promedio) del período de 6 meses. Asimismo, una de las aplicaciones web estuvo 141 días bajo ataque, casi un 80% del tiempo del período de estudio.
Analizando cada uno de los ataques, según Imperva, gran parte de los mismos entraron en la categoría de ataques HTTP y, en segundo lugar, los ataques de inyección SQL. A continuación puede observarse un gráfico resumiendo la cantidad de ataques por categoría:
Otro dato particular es la duración en minutos que las aplicaciones web estuvieron bajo ataque pero considerando el tipo del mismo. En este caso, la mayoría de los ataques están por debajo de los 15 minutos de duración:
Estos resultados permiten verificar que las aplicaciones web son un punto de ataque para ciberdelincuentes. En un período de 6 meses los números y estadísticas de ataque son foco de atención. Durante estos años hemos viste ataques, tal como la inyección masiva de iframes en stios de e-commerce. Es importante recordar que estos ataques, en muchos casos, son utilizados para propagar malware a través de sitios con renombre y buena reputación.
Finalmente, es recomendable realizar auditorías de seguridad sobre este tipo de aplicaciones. Es bueno recordar que la seguridad debe gestionarse. Pensando en esto, desde ESET Latinoamérica contamos con la unidad de ESET Security Services destinada a brindar auditorías de seguridad.
Fernando Catoira
Analista de Seguridad