Las aplicaciones móviles representan más de la mitad de todo el tráfico de Internet en todo el mundo y ya superan a las aplicaciones web para servicios profesionales, salud electrónica, personales, clima y venta minorista de alimentos, según CommScore. Para satisfacer la creciente demanda de aplicaciones móviles, muchas organizaciones han recurrido a herramientas de desarrollo de aplicaciones móviles de código bajo y sin código para acelerar la entrega de software. Sin embargo, tomar un atajo útil para crear aplicaciones no significa que puedan escatimar en seguridad.
Las herramientas de desarrollo de aplicaciones móviles de código bajo y sin código proporcionan interfaces gráficas de usuario, formularios y flujos de trabajo visuales de arrastrar y soltar para permitir que las organizaciones creen rápidamente aplicaciones móviles con poca o ninguna codificación. Algunas veces entregadas en un modelo de plataforma como servicio, estas herramientas se dividen en tres categorías generales: sin código, código bajo y multiplataforma. Las ofertas populares incluyen Adobe PhoneGap, Appcelerator, Appery.io, AppMachine, Appmakr, AppyPie, Betty Blocks, Bizness Apps, Good Barber, NativeScript y Xamarin, entre otras.
Las empresas grandes y pequeñas aprovechan estas plataformas de desarrollo de aplicaciones móviles para ahorrar tiempo y acelerar la entrega de software. Los casos de uso típicos incluyen aplicaciones móviles para uso interno de los empleados para impulsar la eficiencia operativa, como la búsqueda de piezas, el inventario o la programación de trabajos; aplicaciones que deben producirse rápidamente para el servicio al cliente, como la búsqueda de clientes o el estado del pedido; y aplicaciones para uso a corto plazo, como una campaña de ventas en la tienda o un evento específico. Estas plataformas de desarrollo de aplicaciones móviles permiten a los usuarios semitécnicos y no técnicos convertirse en los llamados «desarrolladores ciudadanos».
Herramientas del oficio
Las herramientas de desarrollo de bajo código, sin código y multiplataforma aceleran los tiempos de lanzamiento de aplicaciones para brindar un mejor soporte a la organización, pero una desventaja es que pueden aumentar el riesgo de exposición de datos. Las aplicaciones móviles que no se prueban adecuadamente exponen a la organización a riesgos de seguridad, cumplimiento y privacidad. Las vulnerabilidades que filtran datos privados de los clientes podrían paralizar una marca. Pero, lamentablemente, pocas personas reflexionan sobre la seguridad de las aplicaciones desarrolladas a través de estos métodos porque ignoran los riesgos de seguridad en primer lugar o asumen que la seguridad adecuada está integrada.
Las empresas generalmente usan una combinación de aplicaciones comerciales, aplicaciones para el consumidor, aplicaciones que responden a la web y aplicaciones nativas. Ya sea que se desarrollen internamente o se subcontraten, todas las aplicaciones deben someterse a pruebas exhaustivas de seguridad, privacidad y protección de datos confidenciales. Dado que las aplicaciones móviles son diferentes a las aplicaciones web, requieren un tipo diferente de prueba que puede ser un verdadero desafío tanto para los desarrolladores como para los «desarrolladores ciudadanos».
Realizadas tradicionalmente en aplicaciones web, las pruebas estáticas analizan el código fuente en busca de vulnerabilidades. No solo las pruebas estáticas por sí solas son insuficientes para las aplicaciones móviles, sino que no hay código fuente para examinar mediante estática cuando las aplicaciones se crean mediante herramientas sin código. Como regla general, ninguno de los proveedores tradicionales de pruebas de seguridad que se basan en motores de pruebas estáticas pueden admitir ninguna de estas categorías de aplicaciones.
Las pruebas dinámicas observan el binario de la aplicación en tiempo de ejecución para descubrir vulnerabilidades, independientemente del lenguaje del código fuente. Los usuarios comerciales y las organizaciones de seguridad deben buscar soluciones de prueba de appsec móviles como la que ofrece NowSecure que realiza pruebas dinámicas automatizadas de archivos binarios de aplicaciones compilados o generados (iOS ipa y Android apk). NowSecure AUTO prueba el almacenamiento de datos para identificar la fuga de datos en el dispositivo, la comunicación de red para la fuga de datos o la intercepción por aire, y la codificación y la funcionalidad para descubrir vulnerabilidades como la fuga de datos o la exposición a ataques de intermediarios.
Deficiencias de seguridad
Un examen de NowSecure de las aplicaciones móviles reveló una seguridad deficiente en general. Nuestro análisis de referencia de 45 000 aplicaciones móviles Android e iOS mostró que el 85 % violaba uno o más de OWASP MASVS. Casi la mitad sufría de almacenamiento o comunicación de datos inseguros y un tercio presentaba problemas o vulnerabilidades en la calidad del código.
La industria minorista en particular tiende a utilizar herramientas de código bajo o sin código para desarrollar aplicaciones móviles. Nuestra reciente evaluación comparativa de las principales aplicaciones minoristas y de búsqueda de ofertas encontró que el 93 % violó uno o más de OWASP MASVS. Los problemas comunes incluían tamaño de clave insuficiente, datos filtrados, uso inadecuado de cookies y falta de un uso adecuado del certificado seguro. Las peores fallas fueron los intentos de ejecutarse como raíz, la fuga de datos confidenciales, las fallas de validación de certificados, los archivos de lectura/escritura mundial y la transmisión de datos sin cifrar a través de HTTP.
NowSecure ha probado numerosas aplicaciones móviles creadas con herramientas de desarrollo sin código, de bajo código y multiplataforma y encontró una mezcla de resultados de riesgo. Algunas de estas plataformas y herramientas son más seguras que otras. E incluso cuando se prueban varias aplicaciones creadas con la misma herramienta, las puntuaciones de seguridad de las aplicaciones móviles creadas con esas herramientas pueden variar sorprendentemente: nuestras pruebas muestran algunas con puntuaciones altas y otras con puntuaciones bajas, a veces sin patrones evidentes. La única forma de conocer realmente la seguridad de las aplicaciones móviles creadas con estas herramientas es probarlas correctamente usted mismo con herramientas como el software NowSecure o externalizar las pruebas de penetración a expertos como los servicios profesionales de NowSecure.
Gestionar y mitigar el riesgo
Las herramientas de código bajo y sin código definitivamente tienen un lugar en las organizaciones y los empleados las usarán, ya sea que estén sancionados o no. Pero los líderes de seguridad pueden proteger mejor a su organización si adoptan las siguientes mejores prácticas para usar este tipo de herramientas de desarrollo de aplicaciones móviles.
- Confirme las capacidades de seguridad integradas de su proveedor de herramientas de desarrollo de aplicaciones. Considere usar herramientas orientadas a la empresa como Betty Blocks, Dropsource o Microsoft PowerApps.
- Solicite al proveedor de la herramienta de desarrollo de aplicaciones que proporcione certificaciones de seguridad para cualquier aplicación de misión crítica.
- Pruebe los binarios de aplicaciones móviles que desarrolla su organización y asegúrese de que la herramienta de prueba de seguridad incluya pruebas dinámicas para cubrir todos los riesgos. Vea cómo NowSecure AUTO puede satisfacer sus necesidades con un manifestación.
- Subcontrate las pruebas de penetración a expertos externos como NowSecure para reducir el riesgo.