jueves 28 marzo 2024
elespaciodigital

Servicios de Seguridad

Las vulnerabilidades de la cadena de suministro de aplicaciones móviles podrían poner en peligro la información confidencial de las empresas

eSoft Latinoamérica, compañía representante de las soluciones tecnológicas de clase mundial de Broadcom, dio a conocer el reporte que realizó Symantec, en el cual se evidencia que más de las tres cuartas partes de las aplicaciones analizadas contenían tokens de acceso de AWS válidos que permitían el acceso a servicios privados en la nube de AWS.

 

De manera similar a la cadena de suministro de bienes materiales, el desarrollo de software de aplicaciones móviles se somete a un proceso que incluye: la recopilación de materiales, como bibliotecas de software y kits de desarrollo de software (SDK); la fabricación o desarrollo de la aplicación móvil; y el envío del resultado final al cliente, a menudo utilizando tiendas de aplicaciones móviles.

 

Algunos de los problemas de la cadena de suministro en las aplicaciones móviles, que las hacen vulnerables, son:

 

– Los desarrolladores de aplicaciones móviles utilizan, sin saberlo, bibliotecas de software externas vulnerables y SDK.

– Las empresas que subcontratan el desarrollo de sus aplicaciones móviles, no verifican que el proveedor haya tenido en cuenta la seguridad desde el diseño.

– Las empresas, a menudo las más grandes, que desarrollan múltiples aplicaciones de manera interna, permiten que sus equipos utilicen bibliotecas disponibles en Internet pero no cuentan con pruebas de concepto y validación de seguridad.

 

“Con la transformación digital, y en el marco de la pandemia, las empresas aceleraron sus desarrollos para poner a disposición de los usuarios muchos servicios a través de páginas web y aplicaciones, pero quizás no tuvieron en cuenta la seguridad como parte del diseño. La seguridad de las aplicaciones es fundamental porque las aplicaciones actuales suelen estar disponibles a través de varias redes y conectadas al cloud, lo que aumenta las vulnerabilidades y las amenazas, mientras la empresa puede exponer su información confidencial y bases de datos ante los cibercriminales”, mencionó  Ricardo Dossantos, Gerente de Servicios y ciberseguridad para Latinoamérica de eSoft.

 

Alcance del problema

 

Para comprender mejor la prevalencia y el alcance de estas vulnerabilidades de la cadena de suministro, Symantec analizó las aplicaciones disponibles públicamente en la colección global de aplicaciones que contenían credenciales codificadas de Amazon Web Services (AWS).

 

Según el reporte, Symantec identificó 1.859 aplicaciones disponibles públicamente, tanto para Android como para iOS, que contienen credenciales de AWS codificadas. Casi todas eran aplicaciones de iOS (98 %), una tendencia y una diferencia entre las plataformas que ha rastreado durante años, posiblemente vinculadas a diferentes prácticas y políticas de investigación de la tienda de aplicaciones.

 

En cualquier caso, al examinar el alcance y la magnitud de los riesgos involucrados cuando las credenciales de AWS se encuentran incrustadas dentro de las aplicaciones, se encontró lo siguiente:

 

–           Más de las tres cuartas partes (77 %) de las aplicaciones contenían tokens de acceso de AWS válidos que permitían el acceso a servicios privados en la nube de AWS.

–           Cerca de la mitad (47 %) de esas aplicaciones contenían tokens de AWS válidos que también brindaban acceso completo a numerosos, a menudo millones, de archivos privados a través de Amazon Simple Storage Service (Amazon S3)

 

Las credenciales en la nube codificadas de forma rígida son un tipo de vulnerabilidad que la firma ha estado analizando durante años y que ha cubierto ampliamente en el pasado. Esta vez, para llegar al fondo de los impactos en la cadena de suministro causados por este problema, analizó por qué los desarrolladores codifican las credenciales de la nube dentro de las aplicaciones; dónde se encuentran las credenciales codificadas: seguimiento de la secuencia o cadena de eventos que conducen a la vulnerabilidad; y finalmente, la magnitud del problema y su impacto.

 

Ante ello, el mensaje es claro: las aplicaciones con tokens de acceso de AWS codificados son vulnerables, activas y presentan un riesgo grave.

 

Fuente del problema

 

Luego, la firma investigó por qué y dónde estaban exactamente los tokens de acceso de AWS dentro de las aplicaciones, y si se encontraban en otras aplicaciones.

 

Descubrió que más de la mitad (53%) de las aplicaciones usaban los mismos tokens de acceso de AWS que se encuentran en otras aplicaciones. Curiosamente, estas aplicaciones a menudo eran de diferentes empresas y desarrolladores de aplicaciones. Esto apuntaba a una vulnerabilidad en la cadena de suministro y eso es exactamente lo que se encontró. Los tokens de acceso de AWS se pueden rastrear hasta una biblioteca compartida, un SDK de terceros u otro componente compartido utilizado en el desarrollo de las aplicaciones.

 

Si una clave de acceso solo tiene permiso para acceder a un servicio o activo en la nube específico, por ejemplo, acceder a archivos de imágenes públicas desde el servicio corporativo de Amazon S3, el impacto puede ser mínimo.

 

Algunos desarrolladores de aplicaciones pueden suponer que este es el caso cuando incorporan y utilizan tokens de acceso de AWS codificados para acceder a un único depósito o archivo en Amazon S3. El problema suele ser que el mismo token de acceso de AWS expone todos los archivos y depósitos en la nube de Amazon S3, a menudo archivos corporativos, archivos y componentes de infraestructura, copias de seguridad de bases de datos, etc., sin mencionar los servicios en la nube más allá de Amazon S3 a los que se puede acceder con el mismo acceso de AWS.

 

¿Cómo evitar problemas en el desarrollo de las Apps?

 

Es posible protegerse de este tipo de problemas de la cadena de suministro al agregar soluciones de escaneo de seguridad al ciclo de vida de desarrollo de la aplicación y, si se utiliza un proveedor externo, solicitar y revisar el reporte de calificaciones de la aplicación móvil, que pueden identificar cualquier comportamiento no deseado o vulnerabilidad de la aplicación para cada versión de una aplicación móvil, puede ser útil para resaltar posibles problemas.

 

Como desarrollador de aplicaciones, busque un reporte de calificaciones que analice SDK y marcos en su aplicación e identifique la fuente de cualquier vulnerabilidad o comportamiento no deseado.

 

“Además, la autenticación, el cifrado, el registro y las pruebas de seguridad de las aplicaciones son parte fundamental del ciclo de vida de cualquier aplicación, lo cual ayudará a detectar a tiempo posibles brechas de seguridad”, anotó Ricardo Dossantos.

 

Las soluciones y servicios de seguridad de Symantec están disponibles en el país a través de eSoft LATAM, Partner Tier 1 y VAD “Value Added Distributor”, que fue reconocida por Broadcom en su Programa Expert Advantage, por su conjunto de habilidades altamente especializadas y experiencia localizada.

 

www.broadcom.com  https://esoft.com.co

 

https://expert.broadcom.com/partner/esoft-colombia-sas

 

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/mobile-supply-chain-aws

 

Las vulnerabilidades de la cadena de suministro de aplicaciones móviles podrían poner en peligro la información confidencial de las empresas Leer más »

Alcatel-Lucent Enterprise enriquece su cartera con Versa Networks SASE y SD-WAN en Latinoamérica

Alcatel-Lucent Enterprise proveedor experto de soluciones de red, nube y comunicaciones de la era digital, elige la tecnología transformadora de Versa Networks para mejorar las soluciones de red definidas por software.

 

La tecnología de Versa Networks, compañía líder en la industria, se integra con las actuales soluciones de Alcatel-Lucent Enterprise, lo que permite a los clientes beneficiarse del ahorro de costos, la agilidad y la flexibilidad de SD-WAN (red de área amplia definida por software) y SASE (perímetro de servicio de acceso seguro) con acceso rápido y fácil instalación.

 

En este contexto, al integrar la tecnología de Versa Networks con Versa Titan y Versa SASE en su cartera, Alcatel-Lucent Enterprise puede expandir sus soluciones de red para organizaciones medianas y ampliar las ventajas que brinda Shortest Path Bridging (SPB), configuración simplificada y seguridad optimizada en múltiples ubicaciones remotas.  Dedicada a la innovación y brindando a sus clientes soluciones de la más alta calidad, ALE seleccionó a Versa Titan para expandir sus capacidades de LAN y WLAN a SD-WAN, unificando la configuración de red, la administración de usuarios e IoT, las reglas de seguridad y las operaciones en múltiples sucursales.

 

Stephan Robineau, EVP Network Business Division de Alcatel-Lucent Enterprise, mencionó: “Estamos encantados de asociarnos con Versa Networks, un líder reconocido y premiado por las tecnologías SASE y SD-WAN. Sus soluciones para servicios de seguridad y en la nube para sucursales encajan perfectamente con nuestras soluciones de redes empresariales, diseñadas para simplificar la automatización de TI, asegurar la implementación de conectividad IoT e integrarse rápidamente con los flujos de trabajo comerciales. Al aprovechar esta tecnología transformadora, enriquecemos nuestra nueva oferta de red como servicio con soluciones complementarias para satisfacer las demandas comerciales de hoy, pero también para las operaciones de TI empresariales preparadas para el futuro”.

 

“Alcatel-Lucent Enterprise continúa siendo líder en la entrega de soluciones de redes de la era digital en la nube, en las instalaciones o como un modelo híbrido. Como líder en SASE, Versa se complace en colaborar con Alcatel-Lucent Enterprise para maximizar la seguridad, la conectividad y el rendimiento para las pequeñas y medianas empresas a través de la solución líder Versa Titan. Versa Titan ofrece SD-WAN segura integrada con servicios SASE administrados desde la nube, lo que facilita que TI administre y asegure sus sucursales, usuarios remotos y aplicaciones de múltiples nubes”, afirmó Héctor Ávalos, vicepresidente de EMEA en Versa Networks.

 

El producto de esta asociación global ya está disponible en varios países del mundo, incluidos Brasil, Colombia y México. Asimismo se expandirá a otros países de América en los próximos meses. La tecnología líder de Versa Networks combinada con la presencia global, el volumen de socios comerciales y la base de clientes de Alcatel-Lucent Enterprise harán que la conectividad empresarial llegue al siguiente nivel para cientos de empresas en todo el mundo.

 

al-enterprise.com | LinkedIn| Twitter | Facebook| Instagram

 

https://www.versa-networks.com o siga a Versa Networks en Twitter @versanetworks

 

 

Alcatel-Lucent Enterprise enriquece su cartera con Versa Networks SASE y SD-WAN en Latinoamérica Leer más »

Scroll al inicio