Dos riesgos del lado del cliente dominan los problemas de pérdida y exfiltración de datos: rastreadores colocados incorrectamente en sitios web y aplicaciones web y código malicioso del lado del cliente extraído de repositorios de terceros como NPM.

Los investigadores de seguridad del lado del cliente están descubriendo que los rastreadores ubicados incorrectamente, aunque no son intencionalmente maliciosos, son un problema creciente y tienen implicaciones de privacidad claras y significativas cuando se trata de preocupaciones de cumplimiento/regulación, como HIPAA o PCI DSS 4.0. Para resaltar los riesgos de los rastreadores extraviados, un estudio reciente de The Markup (una organización de noticias sin fines de lucro) examinó los 100 principales hospitales de Newsweek en Estados Unidos. Encontraron un rastreador de Facebook en un tercio de los sitios web del hospital que enviaba a Facebook datos de atención médica muy personales cada vez que el usuario hacía clic en el botón «programar cita». Los datos no se anonimizaron necesariamente, porque los datos se conectaron a una dirección IP, y tanto la dirección IP como la información de la cita se envían a Facebook.

Los periodistas y los investigadores de seguridad del lado del cliente no son los únicos que analizan los problemas de privacidad de datos. La semana pasada, la FTC anunció sus planes para tomar medidas enérgicas contra el uso indebido o ilegal y el intercambio de datos altamente confidenciales por parte de las empresas de tecnología. La FTC indicó que también planean apuntar a afirmaciones falsas sobre el anonimato de datos. La agencia gubernamental señala que la información médica confidencial combinada con las prácticas de seguridad de datos en la sombra utilizadas por las empresas de tecnología es extremadamente problemática, ya que la mayoría de los clientes tienen poco o ningún conocimiento de cómo se recopilan sus datos, qué datos se recopilan, cómo se utilizan o como se protege.

La industria de la seguridad ha demostrado repetidamente lo fácil que es volver a identificar datos anónimos al combinar varios conjuntos de datos para crear una imagen clara de la identidad del usuario final. Además de los rastreadores web colocados incorrectamente, los investigadores de seguridad del lado del cliente advierten sobre los riesgos asociados con el código JavaScript extraído de repositorios de terceros, como NPM. Investigaciones recientes descubrieron que los administradores de paquetes que contienen JavaScript ofuscado y malicioso se estaban utilizando para recopilar información confidencial de sitios web y aplicaciones web. Utilizando fuentes como NPM, los actores de amenazas maliciosas se dirigen a las organizaciones a través de un ataque a la cadena de suministro de software JavaScript utilizando componentes no autorizados para filtrar los datos ingresados ​​en los formularios por los usuarios en los sitios web que incluyen este código malicioso.

Los investigadores de seguridad del lado del cliente recomiendan varios enfoques para identificar y mitigar estos dos riesgos principales. El monitoreo de la superficie de ataque del lado del cliente es el más completo y protege por completo a los usuarios finales y las empresas del riesgo de robo de datos debido a Magecart, e-skimming, cross-site scripting y ataques de inyección de JavaScript. Otras herramientas, como los firewalls de aplicaciones web (WAF), protegen algunos aspectos de la superficie de ataque del lado del cliente, pero no protegen las actividades que ocurren en las páginas web dinámicas. Las políticas de seguridad de contenido (CSP) son otra buena herramienta de seguridad del lado del cliente, pero los CSP son engorrosos. Las revisiones manuales de código para identificar problemas con los CSP pueden significar largas horas (o días) de exploración a través de miles de líneas de secuencias de comandos de aplicaciones web.

Los profesionales de seguridad también pueden explorar soluciones de mapeo de superficie de ataque del lado del cliente que incorporan inteligencia de amenazas, información de acceso (qué activos acceden a qué datos) y privacidad (si alguno de los datos se comparte con fuentes externas de manera inapropiada).

Las soluciones de monitoreo de la superficie de ataque del lado del cliente son una tecnología de seguridad cibernética relativamente nueva que descubre automáticamente todos los activos web de una empresa e informa sobre su acceso a los datos. Estas soluciones utilizan navegadores sin cabeza para navegar a través de todo el JavaScript contenido en el sitio web y las páginas de la aplicación web. Recopilan información en tiempo real sobre cómo funciona el sitio web escaneado desde la perspectiva del usuario final.

Un componente tecnológico clave en las soluciones de monitoreo de la superficie de ataque del lado del cliente son los usuarios sintéticos, implementados durante los rastreos de detección de amenazas para interactuar como lo haría un ser humano real en páginas web dinámicas. Estos usuarios sintéticos pueden completar una variedad de actividades, que incluyen hacer clic en enlaces activos, enviar formularios, resolver Captchas e ingresar información financiera. La interacción sintética del usuario se registra y supervisa, seguida de análisis de comportamiento e inyección de lógica en cada página para recopilar la información que es difícil de recopilar manualmente, incluidos los datos de formularios, los datos a los que tienen acceso los scripts de terceros, los rastreadores que se implementan y sus actividades. , y cualquier formulario o script de terceros que transfiera datos a través de las fronteras nacionales.

Las soluciones también deben ser capaces de poner en práctica cualquier problema descubierto en la identificación o el proceso de mapeo del lado del cliente mediante el uso de listas de permitidos y listas de bloqueo y mediante análisis de información posterior al escaneo para obtener inteligencia sintetizada para proteger las aplicaciones web de daños.

Los profesionales de seguridad con experiencia en el lado del cliente están asesorando enfáticamente a las organizaciones en industrias como servicios financieros, medios/entretenimiento, comercio electrónico, atención médica y tecnología/SaaS que tienen múltiples aplicaciones web front-end para comprender la seguridad del lado del cliente y cómo el cliente -los riesgos secundarios pueden afectar su negocio.