La seguridad de las aplicaciones web es un componente central de cualquier negocio basado en Internet. Sabemos que la naturaleza de Internet expone a las webs a ataques desde distintos lugares y a varios niveles y complejidad. La función de los WAF, o Web Application Firewall, se ocupan específicamente de la seguridad que rodea a estos servicios y los sitios web. ¿Pero qué mecanismo se ocupa de la seguridad de las aplicaciones web y API? Veremos en unos instantes los nuevos defensores en juego: Los WAAP – Los más Guaps de la inspección y mitigación.

Hace poco, vimos en otro post que un cortafuegos tradicional es insuficiente para proteger una aplicación o sitio web porque su función principal es de gestionar puertos comunes, como por ejemplo el 80 y el 443, que se requieren para que los usuarios puedan acceder e interactuar con servicios publicados. También, comentaba que los ciberdelincuentes usan estos mismos puertos para inyectar código malicioso y lanzar ataques DDoS y, por lo tanto, un cortafuegos tradicional no puede detener una inyección SQL o un ataque de denegación de servicio.

Al mismo tiempo, vimos que un sistema de seguridad basado en aplicaciones web debe ser capaz de hacer algo más que abrir y cerrar puertos.  Debe ser capaz de inspeccionar y entender el tráfico entrante y saliente. A raíz de esto, revalidamos que los WAF o Web Application Firewall son herramientas importantes para mitigar estos ataques.

Como toda tecnología, y aunque los WAF llevan poco más de 15 años protegiéndonos de cibercriminales, tenemos que mejorar las herramientas de hoy y prepararnos contra los ataques del futuro. Así que ya es hora de llevar los WAF un paso más hacia adelante con los WAAP (Protección de Aplicaciones Web y API), o los Guaps, como los llamo cariñosamente.

La evolución a los Guaps (WAAP)WAAP - Los más Guaps de la inspección.

En nuestro entorno hiperconectado de hoy en día, las aplicaciones web interactúan directamente con servidores de bases de datos del backend que contienen los datos de nuestras empresas o del servicio, la información personal de nuestros clientes, de nuestros proveedores, y muchos otros datos que los ciberdelincuentes tanto codician.

Un Guap es una herramienta de seguridad altamente especializada y diseñada con gran precisión para proteger aplicaciones web y las API. Los WAF, protegen a servidores, mientras que el Guap se centra rigurosamente en las APIs.

¿Qué hace un WAAP?

Imaginemos que tenemos una tienda online o un sistema de reservas de nuestro hotel. Del mismo modo que un cliente legitimo puede interactuar con nuestro sistema de compras o de reservas, también lo puede hacer un usuario malintencionado. Puede lanzar un ataque de inyección SQL, scripts de sitios cruzados y ejecuciones de archivos maliciosos.

El Guap se coloca en la parte ‘pública’ frente al tráfico entrante como si fuera un@ WoMan in the middle (hombre/mujer en el medio) y se centra en la capa de aplicación (la famosa capa 7). Como con casi todos los servicios de seguridad, pueden residir tanto en nuestra infraestructura física o en la nube.

Al igual que un WAF, un Guap está diseñado para proteger contra los riesgos tradicionales y de los riesgos recogidos en las listas del Proyecto de Seguridad de Aplicaciones Web Abiertas (PSAWA). A diferencia de un WAF, los Guaps son capaces de descifrar las interacciones fraudulentas del tráfico legítimo.  Esta es una tarea altamente compleja ya que los ciberdelincuentes de hoy en día entretejan su código de ataque dentro de un tráfico de sitio web de apariencia segura y legitima. Un Guap logra esto interceptando y analizando todas y cada una de las peticiones HTTP antes de que lleguen a la aplicación web.

Los SSL y la inpección

Hoy en día, gran parte del tráfico web actual está cifrado para proteger los datos que se transmiten dentro de una sesión web.  Este es el conocido HTTP Seguro, o HTTPS. HTTPS funciona en ambos sentidos, protege los datos legítimos y también si querer, protege el código malicioso que viaja sobre él y complica la intercepción y análisis de este tráfico. Muchos ciberdelincuentes se aprovechan de esto, usando HTTPS como camuflaje para sortear ser descubiertos

Como comentaba hace un momento, debido a que un Guap se ubica entre el usuario público y la aplicación, es capaz de desmontar el tráfico entre el servidor y el usuario, analizarlo y comprobar la legitimidad del tráfico cifrado antes de volver a cifrarlo y permitir que este tráfico continúe a su destino. En cierto sentido, el Guap funciona como un proxy inverso que envía todas las solicitudes de los clientes a los servidores, y también devuelve todas las respuestas y servicios de los servidores a los clientes. Desde el punto de vista del cliente, esto hace que parezca que todo viene directamente desde el servidor.

En definitiva, aunque a los más GUAPS de la inspección aún les queda un camino para extenderse y proveer protección a todas nuestras aplicaciones, son un avance importante en la inspección de contenidos de tráfico de aplicaciones web y APIs. Vienen a quedarse, hasta que la tecnología nos permita darle una vuelta más a la tuerca de seguridad.

Para terminar, y aunque no me gustaría ser alarmista, quiero dejar esto aquí:

Tu página web puede estar preparada para mitigar ataques de cibercriminales y usuarios malintencionados porque has implantado un WAF; pero, ¿y de la seguridad de las aplicaciones Web y API?

Para manteneros al día sobre asuntos de ciberseguridad, noticias relacionadas y otras cosas, me podéis seguir en: