¿Qué es la configuración de seguridad incorrecta?

Autor: | Última modificación: 8 de julio de 2022 | Tiempo de Lectura: 2 minutos
Temas en este post:

¿Sabes qué es la configuración de seguridad incorrecta y cómo identificarla en tus sistemas? Los errores de configuración han sido señalados por el ranking de OWASP Top 10 como la quinta vulnerabilidad más aprovechada por los ciberdelincuentes de la web. ¿Por qué son tan comunes y cómo puedes evitarlas? En este post, te explicaremos qué es la configuración de seguridad incorrecta y cómo prevenir este tipo de vulnerabilidad.

¿Qué es la configuración de seguridad incorrecta?

Las configuraciones incorrectas de seguridad son fallos muy comunes, debido a que pueden encontrarse a nivel de la plataforma, el servidor web, el servidor de aplicaciones, la base de datos o, incluso, el código fuente del software. Los hackers maliciosos pueden detectar fácilmente la ausencia de parches de seguridad, configuraciones erróneas, cuentas predeterminadas que quedaron activas o servicios innecesarios, entre otras vulnerabilidades.

Por eso, este es uno de los orígenes más frecuentes de ciberataques en aplicaciones web.

Algunos ejemplos de qué es la configuración de seguridad incorrecta, según la Open Web Application Security Project (OWASP), son:

  • Errores de hardening, es decir, el proceso de configurar de forma segura los permisos de acceso a archivos y directorios almacenados en la nube. Algunos de estos ficheros pueden verse expuestos por una configuración indebida y, de este modo, pueden los hackers maliciosos pueden ubicarlos.
  • La existencia de puertos, servicios, páginas y privilegios innecesarios para los usuarios también pueden detectarse por medio de escaneos de vulnerabilidades.
  • La existencia de cuentas predeterminadas que se han dejado habilitadas por descuido, las cuales pueden obtenerse y utilizarse para escalar privilegios en una aplicación web. Desde un perfil de usuario se pueden realizar ataques y estas cuentas son una puerta de entrada para los hackers.
  • El manejo de errores revela información confidencial de la página, en vez de enviarle mensajes de error al usuario. Si no se configura el mensaje de error que se le enviará al usuario cuando este haga una petición inválida, seguramente le aparecerá información confidencial de la aplicación. Por eso, es necesario el correcto manejo y diseño de los mensajes de error para proteger dichos datos.
  • Deshabilitar funciones de seguridad en sistemas actualizados, lo cual podría resultar en ciberataques conocidos y podría detectarse también en un escaneo.
  • El uso de softwares desactualizados o con componentes vulnerables conocidos, para los cuales existen exploits y permiten el ingreso de agentes maliciosos al sistema.

¿Cómo aprender más?

Ya sabes qué es la configuración de seguridad incorrecta y cómo identificarla en una aplicación web. Si quieres seguir aprendiendo y especializarte en ciberseguridad, apúntate a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un experto en muy pocos meses. ¡Inscríbete ya!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!