El SaaS representa una amenaza inminente para la seguridad global, advierte el banco más grande del mundo.

JPMorganChase ha emitido una advertencia sobre los riesgos asociados con el uso de tecnología SaaS (Software como Servicio) que muchas organizaciones utilizan a diario. En una carta abierta, Patrick Opet, el CISO de la entidad, expresó su preocupación por el hecho de que la velocidad de adopción de SaaS ha superado el desarrollo de medidas de seguridad adecuadas.

Opet destacó que los proveedores de software han priorizado la entrega rápida de características sobre la creación de arquitecturas seguras, lo que ha generado vulnerabilidades sistémicas a lo largo de la cadena de suministro de software. En su carta, explicó cómo un servicio de optimización de calendarios impulsado por inteligencia artificial, al integrarse directamente en sistemas de correo electrónico corporativo utilizando "roles de solo lectura" y "tokens de autenticación", puede aumentar la productividad. Sin embargo, enfatizó que si este sistema es comprometido, los atacantes obtendrían acceso sin precedentes a datos confidenciales y comunicaciones internas críticas.

El CISO hizo hincapié en que miles de organizaciones se encuentran en ecosistemas que dependen en gran medida de un pequeño grupo de proveedores de servicios. Si uno de estos proveedores es comprometido, las repercusiones podrían ser catastróficas. Los modelos modernos de integración, según Opet, han desmantelado las fronteras esenciales al depender de protocolos de identidad actuales (como OAuth), lo que genera interacciones directas, a menudo no verificadas, entre servicios de terceros y recursos internos sensibles de las empresas.

Estos modelos de integración reducen la autenticación (verificación de identidad) y la autorización (otorgamiento de permisos) a interacciones demasiado simplificadas, creando una confianza explícita de un solo factor entre los sistemas en línea y los recursos privados de las organizaciones. Esta regresión arquitectónica socava los principios de seguridad fundamentales que han demostrado ser efectivos a lo largo del tiempo.

JPMorganChase ha enfrentado varios incidentes de brechas de terceros en los últimos tres años, lo que ha requerido acciones rápidas para aislar a los socios comprometidos y mitigar amenazas. Estos incidentes han resaltado los riesgos asociados a ecosistemas de terceros altamente conectados. La intensa competencia entre los proveedores de software ha impulsado la priorización de un desarrollo rápido de características, a expensas de la seguridad. Esto a menudo conlleva lanzamientos apresurados de productos sin una seguridad integral, creando oportunidades recurrentes para que los atacantes exploten las debilidades.

Opet también mencionó amenazas emergentes como el robo de tokens, dependencias opacas de cuatro partes y accesos privilegiados sin suficiente transparencia. Para abordar estos problemas, concluyó que la forma más efectiva de generar cambios es rechazar estos modelos de integración a menos que se presenten soluciones mejores. Hizo un llamado a reconocer este desafío y actuar de manera decisiva y colaborativa.