Burugoo: “Las aplicaciones son el eslabón más débil de la cadena”
La empresa de seguridad web Burugoo ha presentado bugScout y bugBlast, dos herramientas que buscan asegurar las aplicaciones mediante análisis estático de código y generación de informes.
Burugoo ha presentado sus soluciones de seguridad de aplicaciones web. Darío Bengoechea, director general de la compañía, ha explicado que durante los últimos años las grandes empresas han incrementado las inversiones en el mercado de seguridad, hasta los 4,3 millones de euros al año, según datos de Unisys, lo que no ha evitado incidentes como el ocurrido hace unos meses con Sony, que vio cómo las cuentas de más de 77 millones de usuarios fueron hackeadas.
Para Bengoechea la clave son las aplicaciones, “es eslabón más débil de la cadena”, algo que demuestra un estudio en el que se asegura que el 95% de los ataques se centran en las aplicaciones y que el 90% de las vulnerabilidades están en el código.
Esto es lo que ha llevado a esta joven empresa española, Burugoo, a centrarse en este segmento de mercado con dos herramientas, bugScout y bugBlast, que alcanzan las versiones 2.0 y 1.0 respectivamente y que esta mañana se han presentado al canal de distribución, al que se les ofrecen como una oportunidad de vender servicios.
bugScout es una herramienta de análisis estático de código. Jorge Esperón, director de producto de Burugoo, ha explicado que hasta el momento existen dos opciones para comprobar la seguridad de una aplicación, por un lado una auditoría manual, en la que una persona revisa todo el código de la aplicación, lo que además de costoso no tiene en cuenta actualizaciones o vulnerabilidades futuras, y las llamadas Auditorías de Caja Negra, un modo más automático que permite descubrir fallos en una aplicación pero no dónde se encuentra exactamente y que puede generar problemas de degradación del servicio cuando se aplican.
La propuesta de Burugoo es bugScout, una herramienta diseñada para automatizar el análisis estático del código, determinar el nivel de seguridad de la aplicación y además proponer acciones correctivas.
BugScout no sólo reduce el coste de una auditoría manual, asegura Esperón, sino que “es una solución flexible que se ajusta al ciclo de desarrollo de cada empresa”, que además utiliza estándares y en la que se pueden personalizar las reglas de cada clientes para ofrecer una solución a medida. La solución no sólo se adapta a nuevas vulnerabilidades que puedan surgir, sino que soporta la mayoría de los lenguajes web y es capaz de reducir los falsos positivos con un backtracking exclusivo. Destacar también que es capaz de analizar 300.000 líneas de código por minuto, lo que le permitiría analizar Facebook en menos de media hora en el mejor de los casos, porque dependería de la ofuscación del código, explica Jorge Esperón.
Entre las mejoras de bugScout 2.0 destacar que ahora se utiliza HTML5 en lugar de Flash, lo que permitiría la entrada de dispositivos Apple.
En cuanto a bugBlast, su objetivo es gestionar las pruebas de seguridad. En ocasiones se gasta mucho dinero en auditorías para constatar en las siguientes que los problemas de seguridad antes detectados no se han solucionado, y eso es lo que trata de reoger esta herramienta.
“Queríamos crear un portal único para la interlocución entre el usuario, técnicos, jefes de seguridad o dirección”, asegura el jefe de producto de Burugoo.
De bugBlast destacar un módulo de alerta temprana de vulnerabilidades por el que se muestra un listado de tecnologías para tal fin, y una vez que se produce una alerta de determinada tecnología, se envían correos electrónicos a todos los suscriptores.
Al finalizar la presentación de estos dos productos Darío Bengoechea ha asegurado que Buguroo es una empresa comprometida con el canal, que puede contar con pilotos y demos con los que acercarse a sus clientes y que las herramientas son completamente personalizables para que sean los logos de sus partners los que aparezcan en los informes generados.