{"id":26498,"date":"2023-07-10T18:35:52","date_gmt":"2023-07-11T00:35:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26498"},"modified":"2023-07-10T18:35:52","modified_gmt":"2023-07-11T00:35:52","slug":"low-code-apps-security","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/low-code-apps-security\/26498\/","title":{"rendered":"La seguridad de las aplicaciones no-code y low-code"},"content":{"rendered":"<p>Los conceptos low-code, no-code y zero-code est\u00e1n de moda en el mundo de las aplicaciones corporativas, donde las tareas que anteriormente hac\u00edan los programadores ahora las hacen usuarios comunes. La funcionalidad necesaria se ensambla a partir de plantillas listas para usar, la interfaz se dibuja en un editor WYSIWYG seg\u00fan las necesidades y la l\u00f3gica del programa se describe mediante diagramas simples o fragmentos de c\u00f3digo muy cortos. Todo esto lo puede gestionar un usuario de ordenadores competente sin ning\u00fan tipo de formaci\u00f3n especial. El low-code o no-code ayuda a reducir el tiempo de desarrollo de una aplicaci\u00f3n m\u00f3vil simple de 6 meses a un par de semanas, mientras que una p\u00e1gina promocional para una tienda online o un nuevo informe se puede hacer en tan solo un par de horas.<\/p>\n<p>Existen muchas plataformas no-code o sin c\u00f3digo: <em>Bubble<\/em> para el desarrollo de aplicaciones m\u00f3viles, <em>Webflow<\/em> para el dise\u00f1o de sitios web y <em>Parabola<\/em> y <em>Airtable<\/em> para la anal\u00edtica y la ciencia de datos. Todos estos sistemas ayudan a las empresas a reducir los costes de TI y a acelerar el desarrollo de las funciones empresariales.<\/p>\n<p>Evidentemente hay una serie de riesgos asociados, especialmente los cibern\u00e9ticos. Para mantener a salvo los datos y procesos de una empresa, estos riesgos deben minimizarse lo antes posible durante la implementaci\u00f3n de la plataforma de low-code. Para ello, debes tener en cuenta todo lo que te contamos a continuaci\u00f3n.<\/p>\n<h2>Cuentas privilegiadas<\/h2>\n<p>El problema es que una miniaplicaci\u00f3n desarrollada en tu empresa desde una plataforma no-code o low-code a menudo necesitan acceso a bases de datos y recursos inform\u00e1ticos. Adem\u00e1s, normalmente se ejecuta con los privilegios de su creador y todos los usuarios posteriores de la aplicaci\u00f3n llevar\u00e1n a cabo sus acciones desde este nivel de acceso. Es decir, est\u00e1n a un paso de poder ejecutar un ataque de escalada de privilegios y descubrir posteriormente desde los registros qui\u00e9n es el responsable de la actividad maliciosa puede ser un problema.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Implementando el <a href=\"https:\/\/latam.kaspersky.com\/blog\/zero-trust-security\/19747\/\" target=\"_blank\" rel=\"nofollow noopener\">principio del m\u00ednimo privilegio<\/a> para todas las bases de datos y conexiones API desde el sistema sin c\u00f3digo.<\/li>\n<li>Usando cuentas independientes para los usuarios de miniaplicaciones (utilizar las credenciales del desarrollador de la aplicaci\u00f3n es inaceptable).<\/li>\n<li>Introduciendo medidas de registro especiales para rastrear qui\u00e9n usa realmente las miniaplicaciones cuando consultan bases de datos y API.<\/li>\n<\/ul>\n<h2>Una autorizaci\u00f3n incorrecta<\/h2>\n<p>Casi todas las plataformas de low-code usan el concepto de conector\/conexi\u00f3n, lo que les permite acceder a las bases de datos y otras aplicaciones de la compa\u00f1\u00eda. La arquitectura de estos sistemas no concede al usuario el control directo sobre la conexi\u00f3n despu\u00e9s otorgar el permiso para establecerla. La conexi\u00f3n se puede volver a utilizar para realizar otras solicitudes de los mismos datos, incluidos los de una miniaplicaci\u00f3n diferente o incluso un usuario diferente.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Actualizando frecuentemente los tokens de autorizaci\u00f3n en los sistemas vinculados a la plataforma sin c\u00f3digo.<\/li>\n<li>Monitorizando las conexiones usadas en activo.<\/li>\n<li>Rescribiendo las miniaplicaciones programadas incorrectamente que usen conexiones \u201cprestadas\u201d. Desactivando las conexiones innecesarias.<\/li>\n<li>De nuevo, usando el principio del m\u00ednimo privilegio.<\/li>\n<li>Formando a los usuarios de la empresa para que comprendan los riesgos que pueda suponer un amplio acceso a los datos de las aplicaciones.<\/li>\n<\/ul>\n<h2>La modificaci\u00f3n o filtraci\u00f3n de datos<\/h2>\n<p>Cuando las plataformas sin c\u00f3digo tienen amplio acceso a los datos, las miniaplicaciones que hayan sido programadas por usuarios no especializados pueden arrojar m\u00e1s datos de los que hab\u00eda planeado el desarrollador. Adem\u00e1s, los errores en la sincronizaci\u00f3n y el procesamiento de datos entre sistemas pueden provocar la corrupci\u00f3n de datos involuntaria y generalizada o la copia desautorizada.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Limitando el acceso a los datos, minimizando la escritura y eliminando los permisos.<\/li>\n<li>Minimizando la lista de empleados autorizados que pueden crear y modificar conexiones y configurando las normas de acceso.<\/li>\n<li>Monitorizando los datos transferidos por la plataforma sin c\u00f3digo para identificar cantidades excesivas a tiempo.<\/li>\n<\/ul>\n<h2>Ajustes de seguridad incorrectos<\/h2>\n<p>Durante la creaci\u00f3n del c\u00f3digo de la miniaplicaci\u00f3n, pueden tener lugar configuraciones incorrectas y errores, como el acceso al almacenamiento de archivos sin cifrado, el <a href=\"https:\/\/latam.kaspersky.com\/blog\/tokens-on-github\/14281\/\" target=\"_blank\" rel=\"nofollow noopener\">almacenamiento de claves API u otros secretos directamente del c\u00f3digo<\/a> o el acceso a sistemas corporativos sin la debida autenticaci\u00f3n. Dado que muchas aplicaciones de low-code se pueden analizar f\u00e1cilmente, los atacantes pueden extraer r\u00e1pidamente toda la informaci\u00f3n y utilizarla para los ciberataques y robos de datos.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Garantizando el cumplimiento de las buenas pr\u00e1cticas de la industria para la configuraci\u00f3n de aplicaciones y la custodia de secretos.<\/li>\n<li>Formando a los usuarios de empresas que crean aplicaciones sin c\u00f3digo para que trabajen estas pr\u00e1cticas.<\/li>\n<li>Introduciendo medidas de seguridad adicional en el nivel de la infraestructura. Restringiendo los m\u00e9todos de acceso inseguro y monitorizando las solicitudes an\u00f3malas desde los sistemas sin c\u00f3digo.<\/li>\n<\/ul>\n<h2>Higienizaci\u00f3n de las entradas<\/h2>\n<p>La mayor\u00eda de las aplicaciones de low-code cuentan con alg\u00fan tipo de interfaz que te permite introducir datos; por ejemplo, la informaci\u00f3n de contacto en un formulario de un sitio web recientemente creado. La verificaci\u00f3n de los formularios de entrada a menudo resulta insuficiente o directamente no existe, permitiendo los ataques de inyecci\u00f3n de SQL.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Formando a los usuarios de empresas: las miniaplicaciones creadas deben comprobar e higienizar cualquier informaci\u00f3n entrante, ya sea en texto, archivo CSV o cualquier otra forma.<\/li>\n<li>Implementando las herramientas de higienizaci\u00f3n de datos adicionales, por ejemplo, a la hora de pasar las solicitudes de SQL desde la plataforma de low-code a la base de datos.<\/li>\n<\/ul>\n<h2>Vulnerabilidades en m\u00f3dulos<\/h2>\n<p>Muchas plataformas sin c\u00f3digo cuentan con una arquitectura modular con sus propios almacenes de componentes para los proyectos de usuario. Las vulnerabilidades en estos componentes a menudo pueden llegar a ser muy graves y complicarse debido al hecho de que no pueden rastrearse ni actualizarse r\u00e1pidamente usando las herramientas est\u00e1ndares. Estos m\u00f3dulos incluso pueden acabar siendo un troyano si su desarrollador recibiera un ataque.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Limpiando regularmente la plataforma. Los complementos, m\u00f3dulos y otros componentes sin uso deben eliminarse.<\/li>\n<li>Limitando la lista de componentes disponible para los usuarios.<\/li>\n<li>Inventariando todos los componentes en uso y monitorizando las vulnerabilidades y los lanzamientos de nuevas versiones.<\/li>\n<li>Usando sistemas de protecci\u00f3n espec\u00edficamente dise\u00f1ados para tu plataforma de low-code, como, por ejemplo, Wordfence de WordPress.<\/li>\n<\/ul>\n<h2>Procesamiento ilegal de datos<\/h2>\n<p>Los bases de datos almacenadas por las miniaplicaciones a veces pueden estar sujetas a las reglas generales de una plataforma de low-code en particular, lo que significa que los administradores de la compa\u00f1\u00eda no tienen el control total sobre su ubicaci\u00f3n y contenido. Esto puede llevar a la violaci\u00f3n de leyes locales, como el RGPD, respecto al almacenamiento de ciertos tipos de datos.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Ense\u00f1ando a los usuarios de empresas las <a href=\"https:\/\/latam.kaspersky.com\/blog\/pii-gathering-advice\/26138\/\" target=\"_blank\" rel=\"nofollow noopener\">reglas b\u00e1sicas de procesamiento de datos<\/a>.<\/li>\n<li>Comprobando el equipo de seguridad de la informaci\u00f3n todas las aplicaciones que potencialmente tienen acceso a datos sensibles.<\/li>\n<\/ul>\n<h2>Aplicaciones olvidadas<\/h2>\n<p>Por su propia naturaleza, las aplicaciones sin c\u00f3digo son f\u00e1ciles de crear y dejar en funcionamiento sin que se note. Por ejemplo, si un empleado deja la empresa, su miniaplicaci\u00f3n puede seguir ejecut\u00e1ndose y creando informes diarios. O un compa\u00f1ero podr\u00eda seguir us\u00e1ndola a espaldas de los equipos de TI y seguridad de la informaci\u00f3n.<\/p>\n<p><strong>C\u00f3mo mitigar los riesgos<\/strong><\/p>\n<ul>\n<li>Manteniendo un cat\u00e1logo detallado de miniaplicaciones, sus propietarios y usuarios finales.<\/li>\n<li>Eliminando las aplicaciones y conexiones innecesarias. Comprobando la lista de usuarios permitidos y eliminando aquellos que ya no necesiten la aplicaci\u00f3n.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Las aplicaciones sin c\u00f3digo reducen los costes TI, pero aumentan los riesgos de la seguridad de la informaci\u00f3n. \u00bfC\u00f3mo podemos mitigarlos?<\/p>\n","protected":false},"author":2722,"featured_media":26499,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[638,107,284,2216,614],"class_list":{"0":"post-26498","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-amenazas","9":"tag-consejos","10":"tag-datos","11":"tag-desarrollo","12":"tag-riesgos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/low-code-apps-security\/26498\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/low-code-apps-security\/25859\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/low-code-apps-security\/21300\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/low-code-apps-security\/28559\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/low-code-apps-security\/26159\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/low-code-apps-security\/28982\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/low-code-apps-security\/35670\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/low-code-apps-security\/48554\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/low-code-apps-security\/20810\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/low-code-apps-security\/21504\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/low-code-apps-security\/32168\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/low-code-apps-security\/31852\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/riesgos\/","name":"Riesgos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26498","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26498"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26498\/revisions"}],"predecessor-version":[{"id":26503,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26498\/revisions\/26503"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26499"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26498"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26498"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26498"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}