Seguridad de aplicaciones móviles frente a seguridad de aplicaciones web | Cómo se diferencian

Seguridad de aplicaciones móviles frente a seguridad de aplicaciones web |  Cómo se diferencian

Desde una perspectiva de seguridad, casi todas las empresas invierten en tecnología para proteger la red, los recursos, los sitios web y los datos de su organización. Incluso dada la rápida expansión de la superficie de ataque que impulsan los dispositivos móviles, IoT y otras tecnologías, muchas empresas también están progresando en la protección de esos activos contra los ataques. Pero, ¿realmente las empresas alguna vez crean superficies de ataque?

La respuesta es sí. Eso es precisamente lo que sucede cuando las empresas desarrollan aplicaciones móviles. Las empresas que están produciendo aplicaciones móviles para que los clientes las descarguen y las usen están enviando pequeñas bombas de tiempo digitales para que funcionen en los dispositivos de sus clientes. Porque por muy útiles, e incluso esenciales, que sean las aplicaciones móviles para las empresas de hoy en día, la gran mayoría, por ejemplo, 92% de las aplicaciones de banca móvilpara citar solo una industria, están plagados de vulnerabilidades que ponen en riesgo a la empresa y a los clientes.

Por qué la empresa está poniendo a los clientes (y a sí misma) en riesgo digital

¿Cómo llegamos a un punto en el que las empresas, incluso en industrias altamente reguladas y conscientes de la seguridad, ofrecen aplicaciones móviles a los clientes que incorporan un riesgo significativo? Acercar la tecnología a los clientes no es nada nuevo. Por ejemplo, las empresas han tenido sitios de comercio electrónico con una funcionalidad robusta durante décadas. Y desde hace mucho tiempo han desarrollado capacidades para ofrecer experiencias de aplicaciones web de forma segura.

Aquí está el problema: las aplicaciones móviles no son lo mismo que las aplicaciones web. Por extensión, la seguridad de las aplicaciones móviles no es lo mismo que la seguridad de las aplicaciones web. Y no importa cuán exitosa se haya vuelto una empresa en la protección de sus aplicaciones basadas en la web, ese conocimiento es de poco valor para proteger las aplicaciones móviles.

Sin embargo, con demasiada frecuencia, las empresas intentan calzar la seguridad de las aplicaciones móviles en los procesos de desarrollo y las soluciones que han establecido para las aplicaciones web. Este esfuerzo puede perjudicar más de lo que ayuda al brindar una falsa sensación de seguridad de que las aplicaciones móviles pueden tratarse de la misma manera. E inevitablemente conduce a la espectacular y costosa la seguridad de la aplicación móvil falla que hacen los titulares.

Cómo la empresa intenta proteger las aplicaciones

Cuando digo calzador, ¿a qué me refiero? Por lo general, las empresas incorporan una variedad de medidas de seguridad dependiendo de dónde se encuentren en el ciclo de vida del desarrollo de software. Mientras aún está en desarrollo, y antes de lanzar su aplicación, el objetivo es escanear la aplicación en busca de riesgos. Esto le permite asegurarse, por ejemplo, de que la aplicación no haya incorporado un código de terceros comprometido y no cree riesgos de seguridad, cumplimiento o privacidad. Esta función es proporcionada por una solución como zescanearun componente de Zimperium MAPS.

Para probar qué tan segura es su aplicación una vez que está completa, una opción común, requerida por los organismos reguladores en algunas industrias, es la prueba de penetración o pentesting. Esto implica someter su aplicación completa a ataques como si los ataques estuvieran siendo realizados por un mal actor. De esa manera, puede encontrar cualquier vulnerabilidad que un ciberdelincuente encontraría antes que ellos y corregirla.

Es importante tener en cuenta que escanear su código en progreso y hacer una prueba de la aplicación final son útiles y pueden mejorar la seguridad general de su aplicación; el escenario ideal es emplear ambos tipos de pruebas. Pero el problema surge cuando el escaneo y pentesting de aplicaciones móviles se basa en soluciones y procesos diseñados para aplicaciones web.

Por qué la seguridad de las aplicaciones web es diferente de la seguridad de las aplicaciones móviles

Como se señaló, las empresas utilizan una variedad de soluciones para ayudarse a crear aplicaciones libres de vulnerabilidades. Estas soluciones están bien establecidas y se han utilizado como parte del desarrollo de aplicaciones web. Pero las vulnerabilidades que afectan a las aplicaciones móviles son diferentes de las que afectan a las aplicaciones web.

Por un lado, las aplicaciones móviles pueden recopilar mucha más información sobre el usuario, como ubicación, datos biométricos, de video y audio, que los navegadores web.

Además, las aplicaciones móviles son esencialmente código público. Las aplicaciones web nunca publican su código públicamente, pero cualquiera puede descargar aplicaciones móviles de las tiendas de aplicaciones públicas e inspeccionar el código utilizando herramientas de código abierto. Esto facilita la búsqueda de fallas en las aplicaciones móviles.

En tercer lugar, la diferencia más crítica entre las aplicaciones móviles y las aplicaciones web es dónde se ejecutan las aplicaciones. El código de la aplicación móvil se ejecuta en dispositivos de usuarios finales mal protegidos, donde los usuarios son los administradores. Pueden tener estándares laxos en cuanto a la aplicación de actualizaciones o ser selectivos en las aplicaciones que eligen descargar. El código de la aplicación web, por el contrario, se ejecuta en el servidor o la nube de la empresa, sobre los cuales la empresa tiene control total y que residen bien protegidos detrás de firewalls corporativos.

En términos más generales, esto significa que las aplicaciones móviles tienen una superficie de ataque mayor que las aplicaciones web. Los delincuentes no solo pueden intentar comprometer la aplicación, sus datos almacenados y la memoria en tiempo de ejecución, sino que también pueden intentar comprometer las comunicaciones entre la aplicación y el back-end de la empresa, y apuntar a los datos de la aplicación, como nombres de usuario, contraseñas, y cualquier otra cosa almacenada localmente. Dichos ataques pueden ser mucho más fáciles en las aplicaciones móviles que en las aplicaciones web, porque el atacante posee el dispositivo y puede manipular el entorno.

Cómo evitar enviar bombas de relojería digitales a tus clientes

Sabiendo que las aplicaciones móviles son alarmantemente vulnerables y que las herramientas y los procesos utilizados para garantizar la seguridad durante el desarrollo de aplicaciones web no funcionan de la misma manera, si es que lo hacen, para el desarrollo de aplicaciones móviles, ¿qué puede hacer? Continuar con el statu quo, lo que significa desarrollar aplicaciones que seguramente pondrán en riesgo a los clientes, no es una opción.

En su lugar, puede adoptar una tecnología que no solo le permita identificar los riesgos de seguridad, privacidad y cumplimiento durante el desarrollo de la aplicación, sino que también supervise las aplicaciones mientras están en uso en los dispositivos móviles de sus clientes y proteja activamente su aplicación en el propio dispositivo. Esto es lo que MAPAS Zimperium hace: es una solución integral que puede ayudarlo a proteger sus aplicaciones móviles durante todo su ciclo de vida.

Contáctenos

Zimperium ayuda a las empresas a desarrollar aplicaciones que son tan seguros como pueden ser al ofrecer soluciones que abarcan todo el ciclo de vida del desarrollo de aplicaciones. Si desea saber más, por favor Contáctenos.

Seguridad de aplicaciones moviles frente a seguridad de aplicaciones web

Deja un comentario