Los desarrolladores fueron responsables de en promedio 148 fallas de seguridad graves por sitio web en el 2011, indica WhiteHat Security.

El número de errores de programación en sitios web son cada vez menos, pero las compañías son lentas al corregir los problemas que podrían ser explotados por hackers  usando herramientas de ataque mejoradas, comentó un experto en seguridad.

El número promedio de vulnerabilidades graves en sitios web que fueron causadas por los desarrolladores durante el año 2011 fue de 148, por debajo de 230 del 2010 y 480 en el 2009, dijo Jeremiah Grossman, director de tecnología de WhiteHat Security, que se especializa en hacer pruebas a sitios web en busca de problemas de seguridad. Grossman habló en el marco de la conferencia de la Open Web Application Security Project  (OWASP) en Sídney el lunes.

Las vulnerabilidades en el código de sitios web personalizados no son problemas que se puedan solucionar aplicando parches, por ejemplo de Microsoft u Oracle, dijo Grossman. De acuerdo a las estadísticas de WhiteHat Security, le toma a las organizaciones un promedio de 100 días el reparar más o menos la mitad de sus vulnerabilidades.

El riesgo es que las vulnerabilidades que no han sido reparadas rápidamente pueden ser encontradas por un hacker, resultando en una brecha de seguridad de alto riesgo como las que afectaron a Sony, la compañía de análisis Stratfor Global Intelligence y AT&T.

Los hackers están perfeccionando sus habilidades volviéndose más selectivos. Están usando un amplio conjunto de herramientas mejoradas con la finalidad de encontrar problemas de código en los sitios web, "La ofensiva se hace mejor cada año", dijo Grossman.

Analistas de seguridad en la compañía de Grossman constantemente tratan de vulnerar sitios web pertenecientes a las principales instituciones bancarias y otras compañías – con el permiso debido. Los desarrolladores en esas compañías no informan a WhiteHat cuando liberan nuevas características o hacen cambios. Los hackers de WhiteHat trabajan tratando de encontrar fallas de cross-site scripting, SQL Injection o vulnerabilidades de fuga de información.

"Atacamos constantemente (a sitios web)",  dijo Grossman. "Somos LulzSec o Anonymous 24/7. No Paramos.”

Las compañías deciden si quieren resolver sus problemas, que algunas veces implica reasignar a un desarrollador que trabaja en una nueva característica que la empresa necesita liberar, dijo Grossman. Es una apuesta decidir corregir el problema o no, ya que la vulnerabilidad puede que nunca sea encontrada por un atacante pero podría costarle caro a una compañía si se descubre.

"¿Sacarías a un desarrollador de un proyecto para ponerlo a corregir una vulnerabilidad que se sabe que existe pero que puede o no ser explotada y puede o no costar dinero-", dijo Grossman.

El mejor escenario es escribir buen software desde el inicio, con gran atención en la seguridad. "No será un producto perfecto pero sí suficientemente bueno económicamente", dijo Grossman.