¿Qué es seguridad en la web? Manual básico

¡Aléjate de los delincuentes cibernéticos!

Actualmente, no hay día que no se reporten páginas de internet, servidores web y dispositivos móviles que son blanco de la ciberdelincuencia. Ante ello debes entender la importancia de este tema.

Lamentablemente, los sitios web son muy propensos a ser atacados por los llamados ‘piratas informáticos’. Y los servidores de internet también tienden a recibir ataques, sin olvidar los riesgos creados por los propios empleados que desconocen los temas de ciberseguridad o usan inadecuadamente los recursos. Siempre hay un eslabón débil en la cadena, y debes asegurarte que éste no se rompa y origine un problema.

Puede costarte millones de pesos, tu reputación o hasta el fin de tu organización.

Los servidores web, por su estructura, abren una ventana entre tu red y el mundo. El cuidado que tengas con el mantenimiento, la actualización y la codificación de tu página web definirá el tamaño de esa ventana. Lo recomendable es que, ante un buen trabajo de análisis interno, establezcas el grado de seguridad web que deseas tener para evitar ser víctima de la ciberdelincuencia.

Hay que enfatizar que la seguridad web puede ser relativa y siempre está acompañada de dos componentes: uno interno y uno público. Puedes creer que tu compañía no tendrá problemas de ataques cibernéticos porque tienes pocos recursos de valor financiero en la red, porque no eres grande o tu sitio web no es considerado “controvertido”.

Incluso puede que no te preocupes porque tienes un software de protección. Sin embargo, debes ser cuidadoso:

Para la ciberdelincuencia ya no importa el tamaño de la organización o sitio web.

Quizá consideres que solo necesitas fortalecer tus medidas de seguridad si tu empresa tiene grandes activos financieros y permites usar tarjetas bancarias o trabajas con información de identidad para acceder a ciertos servicios de tu sitio web, pero la realidad es que puedes sufrir un ataque en cualquier momento. Por ejemplo, tu sitio web puede ser atacado por un ransomware que cifre todos tus datos para que no tengas acceso a ellos a menos que pagues dinero.

O te confías porque tienes un equipo especializado en tecnologías de la información, pero ¿qué pasa si tu presupuesto es limitado o tus colaboradores no están listos ante nuevas formas de ataque?, ¿qué pasa si tu equipo desconoce qué es un malware o ransomware, y sus acciones desafían la protección de tu red?

¿Qué es seguridad en la web y por qué es tan importante?

En pocas palabras, seguridad web son las medidas aplicadas para proteger una página web y garantizar que los datos no están expuestos ante los cibercriminales. En este sentido, la seguridad web es un proceso continuo y una parte esencial de administrar un sitio web.

La ciberseguridad es importante porque los sitios web desprotegidos están expuestos a sufrir situaciones como:

  • Robo de información guardada en el servidor web.
  • Explotación de datos personales –desde direcciones de correo electrónico hasta información de pagos– de los visitantes para utilizarlos inadecuadamente (robo de identidad, extorsiones, abuso de confianza, estafas, etc.).
  • Redireccionamiento a páginas web maliciosas.
  • Mostrar anuncios no deseados.
  • Engañar a los bots y rastreadores de los motores de búsqueda para hacer SEO de “sombrero negro” (Black Hat SEO), cuyo objetivo es atraer tráfico a sitios web que no siguen las mejores prácticas de internet.
  • Utilizar las computadoras de los visitantes para hacer minería de criptomonedas.
  • Recibir ataques DDoS que pueden alentar tu página o hacer que deje de funcionar de manera inesperada, haciéndola inaccesible para los visitantes.
  • Realizar descargas de software malicioso.

Relacionado: 7 amenazas informáticas que toda Pyme debe conocer.

¿Cómo hacer que un sitio web sea seguro?

Si te preocupa la vulnerabilidad de tus visitantes (y de tu compañía) y no quieres correr riesgos, puedes aplicar acciones de seguridad web como:

  1. Instalar un certificado de seguridad.
  2. Proteger tu página con un Firewall de Aplicaciones Web.
  3. Utilizar un escáner web.
  4. Actualizar el software con frecuencia.
  5. Utilizar contraseñas fuertes.
  6. Limitar el acceso de los usuarios y los permisos en tu sitio web.
  7. Cambiar los ajustes preestablecidos de tu CMS (Content Management System), ya sea WordPress, Drupal, Joomla u otro.
  8. Realizar copias de seguridad de tu página web.

1. Instalar un certificado de seguridad.

 

Los certificados de seguridad son una medida básica para proteger la información que recolectas en tu página web, como emails o números de tarjetas bancarias. Pero ojo: los certificados SSL solo protegen los datos en tránsito, es decir, los que van desde el navegador de tus visitantes hacia tu servidor, por eso es mucho mejor si incluyes otras de las medidas que explicamos a continuación.

Relacionado: ¿Qué es un certificado SSL, cuál es su propósito y por qué necesitas uno?

2. Proteger tu página con un Firewall de Aplicaciones Web.

Un Firewall <<también conocido como cortafuegos>> es un sistema (ya sea hardware o software) que actúa como un ‘guardia de seguridad’, que deja pasar (o no) los datos que fluyen entre dos redes (por ejemplo, entre tu sitio web e internet).

Los cortafuegos existen para impedir que los sistemas no autorizados puedan conectarse a tu página web y, por lo tanto, obtengan los datos que compartes a través de ella. Entre sus ventajas, los Firewall de Aplicaciones Web incluyen:

  • Filtrar y monitorear el tráfico HTTP entre tu sitio web e internet, para identificar cuando existan intentos de ataques como Cross-site scripting (que consiste en insertar código malicioso), SQL Injection (que hace vulnerable a la base de datos del servidor) o Denial-Of-Service (que imposibilita al servidor para realizar correctamente las peticiones de los usuarios).
  • Establecer distintos niveles de seguridad entre los usuarios que tienen acceso a tu red.

3. Utilizar un escáner de seguridad de sitios web.

Un escáner de seguridad sirve para revisar tu sitio web cada determinado tiempo. Su objetivo es detectar malware o actividades sospechosas, así como descubrir si tu página está en las listas negras –también conocidas como blacklists– de los motores de búsqueda, lo cual podría conllevar a que tu sitio sea inaccesible o tus datos estén en riesgo.

¡Conoce el servicio de Seguridad de páginas web de GoDaddy!

 

4. Actualizar el software con frecuencia.

Es indispensable que actualices el software que ayuda a mantener tu página en línea, tan pronto como esté disponible cualquier complemento o renovación. ¿Por qué? Porque las actualizaciones no solo sirven para modernizar un software, sino también para implementar mejoras de seguridad o poner ‘parches’ a las vulnerabilidades anteriores del sistema.

Piensa que muchos ataques cibernéticos ocurren de forma automatizada, es decir, que los bots rastrean en internet las páginas web que no están actualizadas para explotarlas.

Aquí también entra la importancia del Firewall, porque éste pone un ‘parche digital’ a los agujeros de seguridad que puedan existir, tan pronto como apliques las actualizaciones.

5. Utilizar contraseñas fuertes.

¿Alguna vez has pensado que algo tan sencillo como las letras y los caracteres de tu contraseña puede tener un enorme impacto en tu sitio web?

Tal vez no lo sepas, pero las personas que se dedican a corregir y desinfectar páginas web atacadas por cibercriminales, necesitan iniciar sesión en tu sitio o servidor web. ¡Y te sorprendería saber la cantidad de personas que utilizan contraseñas débiles y están expuestas al hackeo de sus cuentas! Si esto ocurriera en tu caso, sería muy difícil que un especialista pueda ingresar a tu página web para arreglarla.

Estos son cinco tips básicos de Google para fortalecer la contraseña de tu cuenta (los cuales aplican prácticamente para cualquier contraseña online):

  1. Procura que tu contraseña sea larga (8 caracteres o más).
  2. Combina letras, números y símbolos.
  3. No utilices una contraseña insegura como “contrasena123”.
  4. Utiliza contraseñas aleatorias. Los programas que descifran contraseñas están diseñados para utilizar palabras encontradas en línea o en diccionarios.
  5. Intenta que sea fácil de recordar para ti, pero prácticamente imposible de adivinar para otra persona.

6. Limitar el acceso de los usuarios y los permisos en tu sitio web.

En el portal de welivesecurity tienen una explicación muy interesante sobre por qué deberías limitar los accesos y permisos a tu sitio web:

“Operar bajo el principio del menor privilegio, tal como su nombre lo indica, parte de la premisa de otorgar los permisos necesarios y suficientes a un usuario para desempeñar sus actividades, por un tiempo limitado, y con el mínimo de derechos necesarios para sus tareas.[…]”

Ellos explican que el “principio del menor privilegio” consiste en otorgar a cada persona los permisos o privilegios mínimos que necesita para realizar su trabajo, así no podrán realizar acciones prohibidas como acceder, obtener o modificar cierta información.

7. Cambiar los ajustes preestablecidos de tu CMS (Content Management System), ya sea WordPress, Drupal, Joomla u otro.

Los sistemas de gestión de contentido (CMS por sus siglas en inglés) son muy fáciles de usar, pero pueden ser vulnerables cuando dejas la configuración preestablecida de tu cuenta. Como mencionamos previamente, los bots trabajan automáticamente para atacar a los sitios desactualizados o fáciles de descifrar.

En este aspecto, es mejor que cambies los ajustes preestablecidos de los comentarios, los usuarios, la visibilidad de datos del usuario y los permisos de archivos.

8. Realiza copias de seguridad de tu página web.

En caso de que hayan hackeado tu sitio, las copias de seguridad te ayudarán a recuperar lo que existía antes del incidente. No lo pienses como una solución para ahorrarte otros métodos de seguridad, sino como una capa extra de seguridad cuando un pirata informático quiere robarse tus datos o falla tu servidor web.

Finalmente, queremos reiterar que los ataques cibernéticos ocurren cualquier día y en cualquier momento. Y pueden ser absolutamente notorios o aterradoramente silenciosos.

No dejes que tu página web se vea comprometida y tú te conviertas en víctima de la ciberdelincuencia. Las consecuencias pueden hacerte perder cosas tan importantes como tu reputación o tu misma inversión.

Imagen de Philipp Katzenberger vía Unsplash