El mundo de la tecnología y la informática está en constante evolución. En un panorama totalmente cambiante, como es lógico, las herramientas para diseñar aplicaciones se adaptan al signo de los tiempos.
Esto último nos ha permitido ver cómo el desarrollo para plataformas móviles con iOS y Android como actores principales ha ido creciendo, integrándose dentro de los lenguajes más comúnmente aceptados para crear código destinado a la web.
Los lenguajes con scripts suelen ser los más propensos a tener fallas de seguridad, de acuerdo a un magno estudio realizado por la firma de seguridad Veracode. En el estudio, titulado State of Software Security se analizaron más de 200 mil aplicaciones diferentes de octubre de 2013 a marzo de 2015, con la intención de generar conciencia entre los desarrolladores de posibles vulnerabilidades en aplicaciones.
El estudio reveló que los lenguajes usados en el desarrollo web son los que más cuentan con vulnerabilidades. En primer lugar se encontró ColdFusion de adobe, con una incidencia de vulnerabilidad de 83%. En segundo lugar quedó en inmensamente popular PHP, que en el 81% de las aplicaciones observadas contaba con al menos una vulnerabilidad detectada.
El tercer lugar fue ocupado por el poco usado pero peligroso Classic ASP de Microsoft, que de acuerdo con el muestreo, contó con un 79% de aplicaciones vulnerables. Lenguajes como .NET y Java salieron un poco mejor parados en este estudio, con un 73% y 76% de vulnerabilidades encontradas respectivamente. De entre todos los lenguajes fueron C y C++ los más seguros, aunque no por eso libre de posibles brechas en la seguridad, pues contaron con un 40% de potenciales fallos.
El reporte también apunta a las aplicaciones móviles como algunas de las que más cuentan con problemas criptográficos, con un 87% de las aplicaciones de Android estudiadas con este problema y un 81% de las aplicaciones de iOS. El documento sugiere que aunque los desarrolladores de apps móviles pueden ser conscientes de lo necesario de la criptografía para proteger información sensible, pocos saben implementarla correctamente.
Entre los elementos que podemos encontrar que son más propensos a ataques están:
- Vulnerabilidades de cifrado: Android queda como campeón indiscutible en este aspecto, con iOS siguiéndolo de cerca. La distancia entre estos dos, como ya dijimos, no es tan grande cuando se analiza al detalle. El tercer puesto es para PHP.
- Vulnerabilidades cross-site scripting o XSS: Cold Fusion es el más propenso a recibir este tipo de ataques. Una vulnerabilidad XSS permite a un atacante insertar código JavaScript que permita evitar medidas de control de la web. Segundos y terceros en la clasificación están PHP y ASP.
- Vulnerabilidades de inyección SQL: ASP es el más vulnerable a estas intrusiones. Cold Fusion ocupa el segundo puesto, seguido de PHP. Con una inyección SQL se puede introducir código intruso para realizar operaciones en una base de datos.
- Vulnerabilidades de inyección de código: PHP se lleva el primer puesto en este apartado. El segundo clasificado, a bastante distancia, es Java, mientras que el tercero es .NET. Con una inyección de código se pueden enviar datos inesperados a un intérprete, de forma que el atacante pueda corromper, borrar o modificar datos.
Según apuntan en el informe de VeraCode, educar adecuadamente a los desarrolladores es crucial para reducir la tasa de introducción de vulnerabilidades de seguridad. Hay incluso un estándar conocido como PCI-DSS que obliga a enseñar prácticas de programación seguras.
También es cierto que en muchas ocasiones no es culpa del coder o del lenguaje elegido que una aplicación web no sea todo lo segura que debería, ya que en muchas ocasiones los programadores se ven obligados a trabajar con lo que su empresa les facilita.
