Home Sociedad Portales web: más violaciones ilustran las vulnerabilidades

Portales web: más violaciones ilustran las vulnerabilidades

Los sitios digitales diseñados para proporcionar un servicio cómodo a los consumidores, pueden plantear riesgos sustanciales para la seguridad, como lo han demostrado claramente numerosas infracciones en los últimos años.

Recientemente, BJC HealthCare informó que existió una intrusión de malware que comprometió su portal de pagos y expuso potencialmente la información de tarjetas de crédito de 5.850 personas.

En su declaración de notificación, BJC Healthcare señaló que recientemente se enteró de que la información enviada a través de su portal de pago en línea para pacientes “podría haber sido interceptada mediante el uso de software informático malicioso instalado en el sitio web”. Una investigación interna de BJC determinó que el programa maligno permitía la recolección electrónica de información de pago ingresada a través del portal entre el 25 de octubre y el 8 de noviembre.

La información que podría haber sido adquirida por los atacantes, incluye el nombre del paciente, la fecha de nacimiento, el número de cuenta de facturación y la información de la persona que realiza el pago, incluyendo el nombre, la dirección y la información de la tarjeta de crédito o cuenta bancaria, según informa la organización.

La organización reveló que hasta la fecha no hay indicios de que se haya hecho un mal uso de la información. “Como medida de precaución, se aconseja a las personas cuya información de pago pueda haber sido expuesta que revisen cuidadosamente los estados de cuenta bancarios y de tarjetas de crédito y que se pongan en contacto inmediatamente con el titular de la tarjeta de crédito o con la institución bancaria para informarles de cualquier inconsistencia o actividad sospechosa”.

Un factor que contribuye a los problemas de seguridad en los portales web es que “la mayoría de las organizaciones no piensan en el coste total de ejecutar el sistema/aplicación”, indicó Mark Johnson, un antiguo CISO de atención sanitaria y accionista de la consultora LBMC Information Security. Debido a ello, es posible que no se repare una vulnerabilidad de la que se ha informado recientemente, o que tengan limitaciones de recursos y que hagan elecciones de configuración “arriesgadas”, como añadir demasiadas personas de soporte como administradores de sistemas o aplicaciones. Finalmente, puede que no dediquen los recursos necesarios para monitorear estos sistemas tan de cerca”.

Basado en lo que BJC ha revelado públicamente acerca de su incidente en el portal, no está claro exactamente qué causó la violación, dijo Johnson. Si se trata de un problema con el software del sitio o con algún sistema subyacente o con la configuración o parcheo de alguna aplicación de middleware, hay algunas cosas básicas que todo el mundo debe tener en cuenta cuando tenga sistemas interactivos, en particular.

Mirando hacia 2017, la masiva violación de Equifax, que afectó a más de 163 millones de personas en  EE.UU. y otros lugares, se debió, en parte, a la falta de parcheo de un portal de disputas de consumidores con acceso a Internet, según un reciente informe del Congreso.

Y en 2016, la información de los formularios de impuestos W-2 de algunos empleados de organizaciones que utilizan el proveedor de nóminas subcontratado ADP se vio comprometida supuestamente debido a las debilidades de seguridad de un portal web de ADP.

Según John Nye, vicepresidente de estrategia de ciberseguridad de la consultora CynergisTek, una variedad de temas contribuyen a las debilidades de seguridad de los portales web. Estos problemas incluyen dispositivos y software mal configurados, autenticación de usuarios permeable, interfaces de programación de aplicaciones inseguras, y mala administración de parches.