¿Cómo aprender seguridad en las aplicaciones web?

La seguridad web es un asunto real, y es mejor reconocerlo antes que esperar a que ocurra algo malo.

El rápido avance de la tecnología, incluidos los servicios y aplicaciones web, ha revolucionado las empresas modernas. Muchas empresas han trasladado la mayor parte de sus operaciones a Internet, lo que permite a los empleados y socios comerciales de cualquier parte del mundo colaborar y compartir datos fácilmente en tiempo real.

Tras la introducción de las modernas aplicaciones web HTML5 y la Web 2.0, las demandas de los clientes cambiaron. Ahora, todo el mundo quiere acceder a cualquier información que pueda necesitar 24 horas al día, 7 días a la semana, 365 días al año. Como resultado, los negocios en línea también se ven empujados a hacer que sus datos estén disponibles todo el tiempo.

Si bien el periodo de bloqueo global puede haber sentado bastante bien a quienes trabajan desde casa y a los minoristas en línea, también ha beneficiado enormemente a los ciberdelincuentes.

El aumento de las transacciones en línea y del trabajo a distancia les permitió piratear gran cantidad de información de tarjetas de crédito y apuntar a los trabajadores a distancia y a sus organizaciones. Este avance también invitó a estafadores y hackers maliciosos que desarrollan nuevos vectores de amenaza de vez en cuando.

Este año, cerca del 80% de las empresas fueron testigos de un aumento de los ciberataques, mientras que los coronavirus impulsaron un incremento del 238% de las amenazas a los bancos, según un informe.

Para mitigar todos estos ataques, hace tiempo que nació la seguridad de las aplicaciones web. Y esta industria requiere profesionales con talento que puedan salvar a las organizaciones de perder datos, dinero y la confianza de los consumidores.

Este es el objetivo de este artículo, en el que comprenderá cosas sobre la seguridad, lo que se espera de los profesionales de la seguridad web y las fuentes desde las que puede aprender y dominar las habilidades.

Así que, ¿empezamos?

¿Qué es la seguridad de las aplicaciones web?

La seguridad web, ciberseguridad o seguridad de las aplicaciones web es la forma de proteger los servicios en línea y los sitios web de diversas amenazas que explotan las vulnerabilidades asociadas a los códigos de una aplicación.

Algunos de los objetivos habituales de estos ataques son las soluciones de gestión de bases de datos como phpMyAdmin, las aplicaciones SaaS, los sistemas de gestión de contenidos (CMS) como WordPress, etc.

La seguridad web tiene como objetivo prevenir estos ataques denegando el acceso, uso, destrucción/interrupción o modificación no autorizados.

Entonces, ¿cuál es la razón por la que los atacantes atacan ampliamente las aplicaciones web?

La complejidad inherente del código fuente de las aplicaciones, que aumenta la probabilidad de vulnerabilidades, así como la manipulación del código.
Las aplicaciones son fáciles de ejecutar; por lo tanto, los atacantes pueden lanzar o automatizar fácilmente la mayoría de los ataques, que pueden tener como objetivo miles de aplicaciones a la vez.
Botín de alto valor que incluye datos sensibles y privados a través de la manipulación del código fuente, así como botín financiero

Tipos comunes de vulnerabilidad

Secuencias de comandos en sitios cruzados (XSS)

El XSS permite a los atacantes infundir scripts del lado del cliente en una página web y acceder directamente a datos importantes, engañar a los usuarios para que revelen datos importantes o suplantar la identidad de los usuarios. Sus consecuencias incluyen el acceso a cuentas, la activación de troyanos, la modificación del contenido de la página, etc.

Falsificación de petición en sitios cruzados (CSRF)

La CSRF engaña a las víctimas cuando realizan una solicitud que utiliza su autorización o autenticación. Por lo tanto, a través de estos privilegios de cuenta, los atacantes pueden realizar peticiones haciéndose pasar por el usuario. Podría dar lugar a transferencias de fondos, cambios de contraseña, etc.

Denegación de servicio (DoS) y Denegación de servicio distribuida (DDoS)

Los atacantes sobrecargan el servidor objetivo y/o su infraestructura con diverso tráfico de ataque. Una vez que el servidor se vuelve incapaz de procesar eficazmente las peticiones entrantes, comienza a comportarse con lentitud y deniega el servicio eventualmente a más peticiones entrantes, incluso de visitantes legítimos.

Inyección SQL 💉

Método que utiliza un atacante para explotar vulnerabilidades, similar a la forma en que las bases de datos implementan las consultas de búsqueda. Los atacantes utilizan la SQI para acceder a datos no autorizados, crear o modificar permisos de usuario, destruir o manipular datos confidenciales, etc.

Inclusión remota de archivos

Los atacantes la utilizan para inyectar archivos maliciosos con códigos en el servidor de una aplicación web con el fin de ejecutar estos códigos para dañar la aplicación, manipularla y realizar robos de datos.

Otros

Otros ataques incluyen corrupción de memoria, violación de datos, clickjacking, directory traversal, inyección de comandos, desbordamiento de mantequilla y más.

Espero que sean suficientes para comprender que la seguridad web es la necesidad del momento y por qué todo el mundo debe implementarla lo antes posible antes de que pueda suponer una amenaza para su aplicación y perjudicarle económicamente o en cuanto a su reputación.

Debido a su creciente demanda, muchas personas se están acercando para aprender. Y si tiene ganas de aprender este tema, podría ser una gran opción profesional y beneficiosa a nivel personal.

¿Qué hacen los profesionales de la seguridad web?

Los profesionales de la seguridad web son los responsables de proteger las aplicaciones web, las redes pertinentes y los datos de las aplicaciones. Ayudan a mitigar las violaciones de datos supervisando la red y reaccionando ante las amenazas.

Estos profesionales tienen formación como administradores de redes o sistemas, programadores. Y es que esta área requiere curiosidad, pensamiento crítico, pasión por la investigación y aprendizaje. Deben ser capaces de burlar a los piratas informáticos que son «destructivamente creativos» a la hora de desarrollar e inyectar diversas amenazas.

Como las amenazas a la seguridad pueden surgir en cualquier momento, los profesionales de la seguridad deben mantenerse al día de las últimas tácticas que emplean los piratas informáticos para colarse en sistemas y redes. Algunas de las responsabilidades de los profesionales de la seguridad web son:

Encontrar vulnerabilidades en las aplicaciones web, las bases de datos y el cifrado.
Mitigar los ataques solucionando los problemas de seguridad
Realizar auditorías periódicamente para garantizar las mejores prácticas de seguridad
Desplegar herramientas de prevención y detección de puntos finales para evitar ataques maliciosos
Implemente sistemas para la gestión de vulnerabilidades en todos los activos en la nube y en las instalaciones
Ocúpese de la limpieza en caso de que se produzcan ataques
Trabaje con otras operaciones de TI para planificar la recuperación en caso de desastre.
Trabaje con los jefes de equipo y RRHH para educar a todos los empleados en la detección de actividades sospechosas.

Algunas de las mejores prácticas de seguridad para proteger las aplicaciones web

Utilizar cortafuegos de aplicaciones web (WAF)

ElWAF ayuda a proteger sus aplicaciones web de las peticiones HTTP maliciosas. Coloca una barrera entre el atacante y su servidor. Puede proteger la capa siete contra amenazas como XSS, CSRF, inyección SQL, etc.

Mitigación DDoS

Como su nombre indica, se utiliza para mitigar los ataques DDoS de aplicaciones y de la capa de red, protegiendo así los sitios web, las aplicaciones y la infraestructura del servidor.

Filtrado de bots

Se implementa para filtrar el tráfico bot malicioso.

Protección DNS

Se realiza para proteger su solicitud DNS de ser secuestrada a través de ataques en ruta y envenenamiento de caché DNS.

Uso de HTTPS

HTTPS cifra todos los datos intercambiados entre el servidor y su cliente para proteger las credenciales de inicio de sesión, la información de cabecera, las cookies, los datos de solicitud, etc.

Así pues, si se ha decidido a aprender seguridad de las aplicaciones web, puede consultar los siguientes recursos de aprendizaje y perfeccionar sus conocimientos 🧑‍💻.

PortSwigger

Aprenda de los creadores de Burp Suite – una plataforma líder para una variedad de herramientas de ciberseguridad de PortSwigger. Se trata de una formación en línea y GRATUITA que puede impulsar su carrera en ciberseguridad.

Con laboratorios interactivos, puede aprender en cualquier momento y desde cualquier lugar, además de realizar un seguimiento de su progreso a lo largo del tiempo. Proporciona formación en vulnerabilidades de lógica de negocio, revelación de información, envenenamiento de caché web, deserialización insegura, inyección SQL, XSS, CSRF, inyección XXE y mucho más.

Los materiales de aprendizaje de PortSwigger están elaborados por profesionales experimentados, un equipo de investigación y su fundador, Dafydd Stuttard. También es el autor de un famoso libro llamado Web Application Hacker’s Handbook.

Vista previa	Producto	Valoración
	The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws	No hay valoraciones	Buy on Amazon

Los tutoriales se explican exhaustivamente en el contenido del texto y del vídeo para ayudar a recordar fácilmente los puntos clave. Sus laboratorios interactivos hacen que el curso en general sea emocionante, y es donde plantean enigmas realistas para poner a prueba sus habilidades como hacker.

EdX

Web Security Fundamentals de EdX es estupendo para comprender los principios básicos. Le proporciona una visión general de los ataques más comunes y de las contramedidas adecuadas para cada uno de ellos sólo de forma teatral y práctica.

También le enseñan las mejores prácticas de seguridad que prevalecen en la actualidad para asegurar las aplicaciones web. Si desea apuntarse al curso, no necesita necesariamente conocimientos previos de seguridad. Pero si los tiene, le ayudarán mucho a comprender mejor cosas como HTTP, JavaScript, HTML, etc.

La duración del curso es de 5 semanas, lo que incluye de 4 a 6 horas a la semana. El aprendizaje es completamente GRATUITO; sin embargo, si lo desea, puede pagar 48,97 dólares para obtener un certificado verificado y firmado por el instructor con el logotipo de la institución. Este certificado se puede utilizar para aumentar las perspectivas de empleo, y se puede compartir en LinkedIn o incorporar a su currículum o CV.

Stanford

El curso CS 253 Web Security de Stanford ofrece un resumen completo de la seguridad web y pretende que los alumnos comprendan los ataques web más comunes y cómo prevenirlos. El curso cubre no sólo los fundamentos sino también las inclinaciones avanzadas en seguridad web.

Algunos de los temas incluyen:

Principios de seguridad web
Ataques y contramedidas
Vulnerabilidades de las aplicaciones web
Modelo de seguridad del navegador
Ataques de inyección, DoS y TLS
Huellas digitales, privacidad, política del mismo origen, autenticación, secuencias de comandos entre sitios, seguridad de JavaScript
Defensa en profundidad
Amenazas emergentes
Técnicas para escribir códigos seguros, exploits de seguridad
Implementación de estándares web en evolución y defensa de aplicaciones web débiles

Para realizar este curso, debe haber cursado CS 142 o cualquier otra experiencia equivalente en desarrollo web. Aquí, la asistencia es obligatoria, y la calificación se basa en:

75% en las tareas
25% en el examen final

Para prepararse mejor, puede leer la solución del examen final 2019 y otros ejemplos de preguntas para CS 253.

Amigable para principiantes

Sin duda, Udemy es uno de los mejores lugares para estudiar en línea para varios cursos; la seguridad de aplicaciones web es uno de ellos. Si usted es un principiante, este curso es ideal para usted, ya que no requiere conocimientos previos de codificación.

En este curso aprenderá

Identificación de las 10 mejores amenazas detectadas por OWASP o el Proyecto Abierto de Seguridad de Aplicaciones Web
Comprensión de cómo se pueden mitigar estas amenazas
Impacto de cada amenaza en su negocio
Cómo ejecutan estas amenazas los atacantes

El curso está explicado en el lenguaje más sencillo para que cualquier persona con poca información sobre Internet y el ordenador pueda entenderlo. También cubre la defensa en profundidad, una explicación para la suplantación de identidad, la divulgación de información, la manipulación, el repudio, la elevación de privilegios y la DoS.

Tutores experimentados le enseñarán todo lo necesario para dominar los fundamentos de la seguridad web.

PentesterLab

PentesterLab cubre desde los niveles básicos hasta los avanzados. Le enseñan cómo encontrar y luego explotar vulnerabilidades manualmente. Todos sus ejercicios cubren debilidades o problemas comunes encontrados en varios sistemas.

Para un mejor aprendizaje, proporcionan sistemas reales y vulnerabilidades reales para que pueda aprender en tiempo real, sin emulación. Sus ejercicios en línea le permiten obtener certificados tras la finalización del curso. Todos los ejercicios están divididos en insignias que puede terminar para obtener el certificado.

YouTube

YouTube es el centro neurálgico del conocimiento; ¡sólo tiene que utilizarlo de la forma correcta!

Así, existe un canal – Google Chrome Developers con 505k suscriptores en YouTube que puede consultar para aprender.

En este tutorial, podrá comprender algunos vectores de ataque típicos y cómo puede proteger sus datos, usuarios y reputación. A continuación, se le presentará un nuevo curso que tiene como objetivo proporcionar conferencias concisas y ejercicios prácticos sobre temas que incluyen tanto la defensa como el ataque.

Mozilla

Entre en MDN web docs de Mozilla y acceda a artículos útiles sobre seguridad web. Los artículos listados aquí cubren una variedad de temas como la seguridad de los contenidos, la seguridad de las conexiones, la seguridad de los datos, la fuga de información, la integridad de los datos, la protección contra el clickjacking, la seguridad de los datos de los usuarios, etc.

La información de estos artículos le ayudará a proteger su sitio web y todos sus códigos contra el robo de datos y los ataques. Podrá aprender cosas interesantes como la forma de arreglar su sitio web, el bloqueo de contenidos mixtos, los algoritmos de firma, etc.

Invicti

Un completo artículo de Invicti es apto para explicar los entresijos de la seguridad de las aplicaciones web. Está excelentemente escrito para ayudar incluso a los principiantes a entender los términos y tecnologías utilizados en la seguridad web.

En el artículo se explican los mitos y los fundamentos de la seguridad de las aplicaciones web y cómo las empresas actuales pueden mejorar la seguridad de sus sitios web y aplicaciones para mantener a raya a los ciberatacantes.

Aquí aprenderá

Cómo proteger sus aplicaciones web
Cómo seleccionar el escáner de vulnerabilidades adecuado
Diferencia entre un escáner de vulnerabilidades web gratuito y uno comercial
Cómo puede probar su escáner de vulnerabilidades y cuándo utilizarlo
Algunas prácticas recomendadas para asegurar su servidor web, así como otros componentes

SANS

Apúntese a este curso – SEC22 de SANS si su objetivo es defender las aplicaciones web. Le ayudará a comprender todas las vulnerabilidades de seguridad asociadas a su aplicación web para que pueda proteger sus activos web.

El curso le presenta técnicas de mitigación para la arquitectura, la infraestructura y la codificación junto con métodos del mundo real. Se familiarizará con la naturaleza de estas vulnerabilidades para comprender por qué se producen y cómo mitigarlas.

Es adecuado para personas responsables de gestionar, implementar o defender aplicaciones web. Pueden ser analistas de seguridad de aplicaciones, arquitectos, desarrolladores, auditores, «pen testers», etc.

El curso cubrirá temas como:

Las 10 mejores amenazas de OWASP
Problemas específicos de los 25 mejores errores de software de CWE
Integración de la nube en una aplicación web
Configuración del lenguaje de la app
Configuración de la infraestructura y gestión de la seguridad
Mecanismos de autenticación
Cabeceras HTTP
Fallos en la lógica empresarial
Errores de codificación como XSS, CSRF, inyección SQL, etc.

Si comprende los conceptos básicos de las aplicaciones web y tecnologías como JavaScript y HTML, el curso le resultará muy útil.

Cloudflare

Este es otro artículo de la lista de Cloudflare que cubre cosas sobre la seguridad de las aplicaciones web.

Precisamente, explica:

Qué significa esta terminología,
Algunas vulnerabilidades típicas, y a continuación
Las mejores prácticas para prevenir las vulnerabilidades de seguridad web

Lea este artículo para aclarar algunos conceptos básicos que le ayudarán mucho cuando se inscriba en un programa de seguridad de aplicaciones web.

Conclusión

Aprender seguridad de aplicaciones web se ha convertido en algo crucial, ya que los ciberataques están aumentando rápidamente.

Le deseamos lo mejor

Editorial Staff
Colaborador
- LinkedIn
El equipo de expertos de Geekflare se dedica con pasión a compartir contenidos procesables, ofrecer información y proporcionar asesoramiento personalizado para ayudar a particulares y empresas a prosperar en un mundo digital.