CursosEmpresasBlogLiveConfPrecios
Curso de OWASP Top 10: Riesgos en Aplicaciones

Cómo corregir security misconfiguration en Nginx

Curso de OWASP Top 10: Riesgos en Aplicaciones

Contenido del curso

Cómo utilizar el Top 10 de riesgos en aplicaciones

Tomar examen

Cómo corregir security misconfiguration en Nginx

Resumen

La security misconfiguration es uno de los riesgos más comunes del OWASP Top 10 y aparece cuando dejas servicios, servidores o dependencias sin fortalecer. Aquí vas a entender por qué ocurre, qué impacto tiene en empresas reales y cómo aplicar controles concretos como el hardening para cerrarle la puerta a los ciberdelincuentes.

¿Qué es security misconfiguration en ciberseguridad?

Este riesgo aparece cuando la configuración de un servicio, aplicación o activo de información no está fortalecida. Y aquí entra un concepto que vas a escuchar mucho: hardening, que significa endurecer o fortalecer un sistema para que sea difícil de vulnerar [01:00].

También ocurre cuando los equipos de desarrollo trabajan con dependencias desactualizadas. Hoy el desarrollo es colaborativo y distribuido por todo el planeta, así que basta con que un solo desarrollador incluya una librería vulnerable para que todo el software quede expuesto.

¿Qué es hardening? Es el proceso de fortalecer un servicio, servidor o aplicación aplicando controles de seguridad para reducir su superficie de ataque.

¿Cómo se ven estas malas configuraciones en la vida real?

En tecnología existe una frase clásica: ¿es urgente?, ¿es para hoy?, ¿es para antier?. Bajo esa presión, muchos despliegues quedan con configuraciones por defecto que son una mina de oro para un atacante.

Servidores con páginas por defecto y reconocimiento con Shodan

Imagina que despliegas un servidor web Nginx rápido y lo dejas con su página de bienvenida estándar. No es un error técnico, pero sí información útil para un ciberdelincuente. Si tomas esa IP y la consultas en Shodan, una herramienta de reconocimiento, puedes obtener:

  • Ubicación del alojamiento.
  • Sistema autónomo y descripción del servicio.
  • Vulnerabilidades vigentes asociadas a esa versión.

Ese último punto es el premio mayor para un atacante, porque le entrega fallas listas para explotar [03:00].

Dependencias vulnerables detectadas con Dependabot

En entornos como GitHub existe Dependabot, un bot que avisa cuando una dependencia tiene fallas conocidas. Por ejemplo, una versión específica de semver puede tener asociada una vulnerabilidad de denegación de servicio relacionada con expresiones regulares mal optimizadas.

La labor del equipo de seguridad es clara:

  1. Identificar el ID de la vulnerabilidad.
  2. Probar la explotación en un ambiente controlado.
  3. Confirmar el impacto, como peticiones recurrentes que disparan los tiempos de respuesta hasta degradar el servicio.

¿Qué impacto tiene una mala configuración en una empresa?

Piensa en una entidad bancaria que, por una falla interna, compromete la privacidad de sus clientes. Algo así ocurre cuando un bucket de S3 en AWS queda mal configurado y, con unas pocas líneas de código en una prueba de pen testing, alguien puede descargar fotografías e imágenes personales [05:30].

Eso es ausencia total de hardening, y arrastra dos consecuencias enormes:

  • Exposición de datos sensibles y daño reputacional de la marca.
  • Sanciones económicas derivadas de leyes de protección de datos como GDPR, que aplican multas considerables en cualquier país que adopte normativas similares.

¿Qué es un bucket de S3? Es un contenedor de almacenamiento de Amazon Web Services. Si se configura mal, sus archivos pueden quedar accesibles públicamente desde internet.

¿Qué controles aplicar contra security misconfiguration?

La defensa, ese trabajo del blue team, se sostiene en tres prácticas que conviene tener siempre activas.

Hardening continuo y control de errores amigables

Cada vez que una aplicación nueva llega a tu empresa, necesita una plataforma con todos los controles de seguridad activos. Y eso no es una tarea de una sola vez: se hace de forma periódica, al ritmo en que evoluciona el software.

El control de errores es igual de importante. En lugar de mostrar un error crudo de sistema que revela detalles internos, debes traducirlo a un mensaje amigable con un ID interno. Así proteges la información técnica de tu infraestructura.

Procesos de gestión de actualizaciones

Actualizar no se hace de un día para otro. Necesitas un flujo claro con pasos como:

  1. Analizar la petición de actualización.
  2. Aprobarla por una persona o rol específico.
  3. Implementarla en el ambiente correspondiente.
  4. Monitorear el comportamiento posterior.
  5. Evaluar y reportar los avances.

Este modelo evita que una actualización apresurada termine abriendo nuevas brechas.

Restricción de directorios con Dirbuster y Nginx

Ponte por un momento en la mente de un pentester. Con la utilidad Dirbuster preinstalada en Kali Linux, apuntas a la aplicación con un diccionario específico y descubres carpetas como admin, reports o files [08:30].

Al explorar /files, encuentras un listado completo de archivos del servidor: PDFs, imágenes, todo navegable. Eso es una mala práctica, porque la regla de negocio solo debería permitir mostrar archivos de imagen como JPG y PNG.

La corrección está en el código fuente del servidor. En el archivo nginx default.conf, exactamente en la línea 28, se establecen las reglas para restringir el directorio navegable. Tras aplicar el cambio, los PDFs devuelven un error 403 y solo las imágenes asociadas al usuario quedan accesibles.

¿Qué configuración por defecto vas a revisar primero en tus servicios? Cuéntame en los comentarios qué herramienta usas para detectar estas fallas.