Mucha gente desconoce la cantidad de información útil, guías de seguridad y materiales que se esconden en la gran maraña que conforma el proyecto OWASP (Open Web Application Security Project) que en castellano vendría a ser Proyecto Abierto de Seguridad en Aplicaciones Web aunque engloba muchísimas cosas más allá de mejorar la seguridad de las aplicaciones web aunque este fuera su punto de partida hace más de una década. La página oficial del proyecto que engloba todo es: www.owasp.org.
En Palabra de hacker dediqué un ciberdebate especial para conocer desde dentro el proyecto OWASP gracias a la participación de miembros destacados de diferentes capítulos locales que colaboran día tras día en esta comunidad. Uno de los invitados fue Rafael Sánchez (@R_a_ff_a_e_ll_o) uno de los líderes de OWASP Madrid que es Ingeniero de sistemas de la información, certificado CISM y CISA y trabaja como analista de Seguridad Informática implicado en proyectos técnicos de seguridad además de ser cofundador de la startup MrLooquer y colaborar en proyectos de Machine Learning aplicados a la detección de todo tipo de amenazas a nivel de tráfico de red.
El caso es que durante el debate salieron a relucir varios de estos documentos de interés que se pueden encontrar en este proyecto más allá del archiconocido OWASP TOP TEN que recoge las diez principales vulnerabilidades o riesgos de seguridad más importantes en el mundo de la seguridad web y que se actualiza cada cuatro años aunque los riesgos que copan el podium permanecen inmóviles una vez tras otra.
Rafael hizo un repaso por tres guías de seguridad no tan conocidas pero que pueden resultar de mucha ayuda:
- La Guía de pruebas o Testing Guide que ofrece una metodología organizada y práctica para saber cómo organizar una auditoria del software de aplicaciones web en cada momento de desarrollo de la aplicación así como información con todas las posibles áreas que puedan suponer un vector de ataque para las aplicaciones.
- Si os interesa este área os aconsejo revisar dos charlas ofrecidas por Miguel Ángel Arroyo que están disponibles en el canal: ‘Auditar app iOS desde la perspectiva de OWASP‘ y ‘Method Swizzling en una aplicación iOS‘.
- La Guía de seguridad en aplicaciones web para CISOs que puede ayudar a los máximos responsables de seguridad de la información a gestionar los riesgos de seguridad en aplicaciones web al plantear en la guía la exposición a amenazas emergentes y los requisitos que hay que cumplir.
- OWASP Top 10 de riesgos de privacidad que recoge un listado con los diez principales riesgos de privacidad de la información web y asimismo propone una serie de contra medidas para contrarrestarlos.
- La privacidad es un tema recurrente en Palabra de hacker por la gran importancia que tiene basta repasar el ciberdebate ‘Privacidad ¿cuál es el valor de tus datos?‘ o las charlas ‘Privacidad en redes sociales: tú, tus redes y las de todos tus desconocidos‘, ‘¿Se puede desaparecer de Internet?‘, ‘Oversharing: los peligros de la sobreexposición en redes sociales‘, ‘¡Aquí hay tomate! La realidad supera la ficción. Cómo proteger la identidad digital‘ o ‘Anonimizando a tomatazos: herramientas para proteger tu privacidad‘ así que toca detallar cuáles son esos riesgos de privacidad citados en este documento ordenados por la frecuencia con la que se dan.
- Vulnerabilidades en aplicaciones web.
- Fuga de datos por el lado del operador.
- Una respuesta insuficiente a la violación de los datos como puede ser no informar a los aceptados o no gestionar adecuadamente la situación.
- Mala eliminación de los datos personales.
- Falta de transparencia en políticas, términos y condiciones.
- Recolección de datos personales que no son necesarios para los fines del sistema.
- Compartir datos con terceros sin autorización.
- Datos personales desactualizados.
- Carencia o control insuficiente sobre la finalización de las sesiones.
- Transferencia insegura de datos.
Además de estas guías de seguridad, Rafael propone revisar otra serie de utilidades y recursos disponibles en el proyecto OWASP que pueden resultar de interés tanto a profesionales como a personas que están comenzando en el terreno de la seguridad ya que tener un paso a paso, una serie de pruebas a seguir y/o contar con una plataforma con entorno controlado de pruebas puede ayudar a quien se lo proponga a ampliar su conocimiento para desarrollar software y aplicaciones web con mayor seguridad.
A continuación está disponible tanto el minivideo como el podcast con todas estas guías de seguridad y sugerencias así como la transcripción literal de lo comentado por Rafael aprovechando los subtítulos que he creado para el vídeo como siempre hago en las entrevistas y en estas pequeñas píldoras de información para ayudar a las personas con dificultades auditivas a que se aproximen también a la ciberseguridad de tú a tú de manera sencilla.
Vídeo
Podcast
Guías de seguridad en OWASP recomendadas por Rafael Sánchez
Respecto a documentación, quizás sea porque bueno cuando yo empecé en el mundo de la seguridad hace ya bastantes años sí que me resultó muy útil y es el Testing Guide o sea la Guía de pruebas que va por la versión cuatro y es un documento increíble.
Es un documento muy extenso, tampoco es una guía exhaustiva de todas las pruebas que hay que hacer pero yo creo que al final muchísimas veces los que hemos estado haciendo hacking y pentesting hay una cosa de hecho que se dice al principio de la guía y es que bueno pues probar la seguridad no debe ser ningún secreto ni magia oscura y simplemente tiene que ser algo más abierto y más accesible para que todo el mundo pudiera entender cómo se prueba, cómo se hace todo esto y esta guía para mí es muy ilustradora en este sentido, que hace entendible a cualquier persona cómo probar la seguridad de una aplicación.
También me gustaría nombrar por ejemplo dos que están en nivel medio de madurez que por ejemplo es Application Security Guide for CISOs, es decir, para responsables de seguridad. Probablemente esa guía no sea tan técnica y cualquier persona que esté en el mundo de la seguridad pero tenga algún rol no tan cerca de la parte técnica, pues estas guías también le pueden ser muy útiles incluso luego también enriquecerla ¿no?
Y luego el Top 10 pero de los riesgos de privacidad. Es un proyecto OWASP Top 10 Privacy Risks Project y también es muy super interesante porque al final la privacidad es algo que nos interesa a todos y es un proyecto que se engloba también dentro de OWASP y yo creo que cualquier persona puede, primero consultarlo y luego aportar no.
Mutillidae 2 Project: un proyecto indicado para personas que están aprendiendo
Entonces al final es una cantidad tremenda que cada vez va creciendo más y de hecho en la parte de Incubator que se llama hay muchísimos proyectos que están creciendo y que están teniendo una calidad enorme y que tratan muchísimas partes y muchísimos ámbitos del mundo de la seguridad.
Para empezar en el mundo de la seguridad también hay proyectos que están específicamente pensados y orientados a personas que estén aprendiendo.
Por ejemplo pero por nombrar alguno vale el Mutillidae 2 Project que ahora mismo está a nivel intermedio pero que yo creo que ya está fenomenal es un proyecto que es super útil para alguien que esté empezando y que de forma práctica quiera trastear como decimos nosotros, ponerse manos a la obra y a probar cosas de seguridad sobre en un entorno controlado y es una plataforma con sus vulnerabilidades cuya finalidad es que precisamente el testeador, el que está probando, el que está analizando la seguridad web de una determinada aplicación pues pruebe sus conocimientos y ponga en práctica todas estas metodologías y todas estas pruebas.
Pon el nombre de una vulnerabilidad web acompañado de OWASP y ¡bingo!
Y por otro lado si alguna vez alguien tiene cualquier duda de por ejemplo una determinada vulnerabilidad web en qué consiste pues desde luego poner OWASP y el nombre de la vulnerabilidad (en un buscador) va a ir dirigido directamente a un enlace con una información muy útil y muy práctica que puede utilizar para entender y para aprender.
De hecho es tan útil y tan práctica que en muchísimos informes de resultados de proyectos profesionales al final se incluyen estos enlaces como apoyo y soporte de dar fe incluso de qué es la información que se está presentando en ese informe profesional. Entonces en su conjunto OWASP es super valioso en todos los sentidos pero desde luego es un punto tanto para empezar como para continuar.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Presentación
Vídeo
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!