La lógica de negocios es lo que vincula un usuario final solicitudy la base de datos de la que se basa, juntos.
La forma en que se escribe y desarrolla esta lógica determina cómo se muestran, almacenan y modifican estos datos para hacer cumplir una práctica comercial particular.
VP para especialistas en ciberseguridad de EMEA en Thales.
Cuando un usuario final toma decisiones con software, o interactúa con un sitio webes la lógica empresarial la que determina cómo se llevan a cabo esas instrucciones: qué datos extraer del asociado bases de datosy qué reglas comerciales deben aplicarse, si las hay.
Por ejemplo, un banco tendrá reglas detalladas sobre lo que los clientes son elegibles para ciertos préstamos u otros productos financieros.
Cuando un cliente ve y solicita préstamos a través del sitio web o la aplicación móvil del banco, esas mismas reglas deben ser seguidas por el software. El código que hace esto es la lógica de negocios.
¿Por qué las aplicaciones lógicas comerciales son tan atractivas para los ciberdelincuentes?
Debido a que estas funciones son tan integrales para cómo las empresas lo aprovechan para completar sus operaciones diarias, se reúnan cliente necesidades y capturar ingresos, no sorprende que sean un objetivo muy valorado para los ciberdelincuentes.
El uso normal de una aplicación para lo que fue diseñado originalmente no típicamente no expondrá fallas. Pero al interactuar con él de una manera que los desarrolladores nunca pretendieron, un cibercriminal puede presentar una entrada sin sentido, hacer cambios arbitrarios a los valores o cometer otras interrupciones.
Debido a que están explotando lo que funciona exactamente como diseñado, este tipo de ataques son, por lo tanto, mucho más difíciles de identificar y detenerse sin tener una fuerte comprensión o monitoreo de la lógica comercial en sí.
A medida que las aplicaciones y los sistemas de software más amplios han crecido en complejidad, los equipos de desarrollo en sí mismos pueden no estar familiarizados con todos los aspectos de la base de código con la que están trabajando. Como resultado, pueden surgir diferentes secciones de manera inesperada, y como resultado pueden surgir fallas y brechas lógicas.
Al aprovechar los supuestos defectuosos que los desarrolladores pueden tener en torno a cómo los usuarios interactuarán con una aplicación dada, los cibercriminales pueden obtener acceso a datos y funcionalidad confidenciales.
Atacar la lógica defectuosa en las aplicaciones utilizadas para procesar la información de la tarjeta de crédito, por ejemplo, podría permitir que un actor de amenaza cometiera fraude y robe fondos de clientes bien intencionados.
¿Cuáles son algunas de las formas en que se están atacando las aplicaciones lógicas comerciales?
Puede ser difícil de cuantificar negocio ataques lógicos, porque generalmente trascienden una pila o tecnología de software en particular.
Un intento de abordar esto se realizó en mayo de 2025, cuando el Open Worldwide Application Security Project (OWASP) publicó sus primeras vulnerabilidades de abuso lógico comercial.
Al clasificar estos ataques, su objetivo es proporcionar un marco para reconocer y responder a las amenazas de lógica empresarial, y ayudar a la comunidad de seguridad cibernética en el proceso.
Incluye ataques que van desde el abuso de recursos únicos o de corta duración, como tokens o sesiones de inicio de sesión, para permitir a los actores acceder a operaciones o datos confidenciales, hasta el abuso de los límites de tarifas, que pueden usarse para llevar a cabo ataques de denegación de servicio (DOS) al agotar los recursos del sistema.
Los atacantes también están utilizando cada vez más bots a IA para analizar los intentos fallidos y refinar sus técnicas. El informe de Bad Bot más reciente de Thales encontró que los ataques de bot avanzados y moderados combinados representaron el 55% de todos los ataques de BOT en 2024, con la actividad de BOT general en general durante el sexto año consecutivo.
También ha habido un aumento en los ataques dirigidos por API, un medio clave para explotar la lógica comercial, con el 44% del tráfico BOT avanzado dirigido a las API.
¿Cuáles son los impactos?
Los ataques lógicos comerciales exitosos son muy difíciles de detectar con los medios convencionales, lo que hace que su impacto sea particularmente devastador.
Pueden dar como resultado el robo de sensibles datosincluyendo datos personales, información financiera y otra inteligencia comercialmente sensible.
El resultado puede ser interrupciones del sistema, violaciones de datos, pérdidas financieras y daños a la reputación, o incluso la capacidad de una organización para funcionar.
También pueden llevar a los atacantes a robar dinero directamente aprovechando la lógica comercial desprotegida, como pagar dinero para que los clientes se registren en ciertas listas de correo.
¿Cómo pueden las empresas protegerse de este tipo de ataques?
Tradicional seguridad herramientas como cortafuegosLos sistemas de detección de intrusos y la protección básica de bots no estaban diseñados para identificar y detener el abuso de la lógica empresarial, porque se centran en fallas técnicas o patrones de ataque conocidos.
En cambio, el análisis conductual, el monitoreo de API y la automatización son vitales para crear el tipo de visibilidad que se necesita para evitar que estos ataques más sutiles y en evolución se intensifiquen.
CISOS, los líderes de seguridad y sus equipos de desarrolladores también deben conocer los flujos de trabajo, los procesos y el comportamiento esperado del usuario de sus flujos de trabajo para identificar posibles puntos y vulnerabilidades débiles.
La seguridad avanzada de la aplicación para proteger y limitar el alcance de las API e implementar controles de acceso son otra forma en que las organizaciones pueden protegerse.
Hay ciertos flujos de trabajo que tienen más probabilidades de experimentar abuso de lógica de negocios que otros. Estos incluyen el inicio de sesión, el pago y la creación de cuentas, lo que los convierte en áreas clave para que CISO priorice primero.
Finalmente, hay cambios culturales y organizacionales que los líderes pueden hacer para proteger a sus organizaciones del abuso de lógica empresarial. Principalmente se trata de trabajar para romper los silos entre la seguridad y la ingeniería internamente.
Adoptar los principios seguros por diseño y mejorar las funciones como el descubrimiento de API y el análisis de comportamiento como parte del proceso de desarrollo de software marcarán una gran diferencia, y permitirá que la seguridad se convierta en un habilitador proactivo en lugar de una barrera reactiva.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
