Estar en Internet es clave para casi todo tipo de negocio. Nuestro sitio web nos mantiene en contacto con nuestros clientes, nos permite vender y comunicarnos. Sin embargo, también puede ser la puerta de entrada a atacantes, por lo que es necesario tomar medidas para proteger los datos sensibles y reforzar la seguridad.
Los ciberataques no solo pueden significar costos monetarios, por ejemplo por pérdida de ventas, sino que también impacta la reputación y credibilidad de la marca. Un sitio web con vulnerabilidades puede ser capturado por atacantes para mostrar información falsa o redirigir a los usuarios a otro lugar, haciendo que los clientes pierdan confianza en la compañía.
Ataques comunes
Estos son algunos de los ataques más comunes contra sitios web.
Filtración de información
Ocurre cuando un atacante accede a información confidencial. Puede ocurrir por accidente, pero los ciberatacantes también tratan de apuntar a sitios donde se guarda información sensible para robar esa base de datos, que luego se vende en el mercado negro. Entre la información de interés están los datos financieros, pero también podrían ser datos de salud, información de estudiantes, datos de contacto, bases de clientes, fotos, etc.
Este tipo de ataques ha afectado a empresas de telefonía, servicios de salud, la industria bancaria y otros, y pueden resultar en altos costos para la operación de la empresa, además de multas y sanciones.
Ataques de denegación de servicio (DDoS)
Este tipo de ataques buscan tumbar un sitio web sobrecargando los servidores que lo alojan. Los atacantes envían una inundación de tráfico al sitio web, en ocasiones desde diferentes fuentes (distribuido), haciendo que el servidor no pueda responder a todas las consultas, provocando la caída del sitio.
Inyecciones SQL y Cross-site Scripting (XSS)
Estos tipos de ataque buscan infiltrarse en el sitio web aprovechando vulnerabilidades existentes, para poder capturar datos de los usuarios que visitan la página. En los sitios que requieren acceso con login, como paneles de control, tiendas donde existen cuentas de clientes, etc, los atacantes podrían obtener las credenciales o información de pago de los usuarios, sin que estos se den cuenta.
En el caso de XSS, podrían redirigir a los usuarios a páginas falsas que simulan ser la real, para engañar a los usuarios y obtener su información privada, o hacerlos descargar archivos maliciosos.
En el caso de las inyecciones SQL, los atacantes buscan acceder a las bases de datos conectadas con el sitio web. Así podrían acceder a datos almacenados en el sitio, copiar información o destruirla.
Malware y ransomware
Aprovechando vulnerabilidades en un sitio web, los atacantes pueden usar el sitio para instalar software malicioso en los dispositivos de los visitantes, ya sea spyware, adware, troyanos, ransomware u otros. Estos malware pueden crear puertas traseras para dar acceso a los atacantes a tu negocio, pueden secuestrar dispositivos a cambio de un rescate, entre otras posibilidades.
Robo de contraseñas
Es importante mantener las contraseñas seguras, sobre todo para los accesos a los paneles de administración de un sitio web. No utilizar contraseñas por defecto o que sean fáciles de adivinar, y mantener un protocolo para el almacenamiento seguro de las mismas.
Mejores prácticas para mantener seguro un sitio web
Para poder protegerse de los ataques más comunes, es importante cumplir con las mejores prácticas para mantener a tu sitio web seguro. Para esto es importante contar con proveedores confiables que tengan el conocimiento necesario para mantener tu sitio web a salvo de los ataques.
Mantener los sistemas actualizados
Los sitios web usan distintos software para funcionar, desde el administradores de contenidos (Content Management System, CMS) como Prontus, Wordpress o Joomla, a los sistemas que utilizan los servidores que los alojan. Además hay que considerar si existen plugins, sistemas o aplicaciones especiales que estén conectadas con el sitio, que también necesitarán mantenerse actualizados.
Los desarrolladores de estos software regularmente lanzan mejoras de seguridad y parchan vulnerabilidades, por lo que es importante considerar la actualización constante dentro de la mantención de tu sitio web.
Utilizar SSL y HTTPS
Los certificados de seguridad SSL son algo básico con lo que todo sitio debe contar. Estos certificados buscan comprobar la propiedad del sitio, es decir, confirmar que el sitio web pertenece a quien dice. Deben ser gestionados con una autoridad certificadora e instalados en el servidor que aloja el sitio web.
Por otro lado, HTTPS o protocolo de transferencia de hipertexto seguro, es una herramienta de cifrado que permite transferir los datos de forma encriptada, para que en caso de que sean interceptados, los atacantes no puedan entenderlos.
Restringir permisos de administración
Solo entregar acceso a los paneles de control a las personas que los necesitan. Así será más fácil mantener control de quiénes pueden intervenir en el sitio. A su vez, es importante entregar solo los permisos que la persona requiere para realizar sus tareas en particular. De esta manera se evita que por error puedan intervenir elementos sensibles dentro del sitio web.
Prontus cuenta con un sistema de perfiles personalizable que permite entregar diferentes niveles de acceso, manteniendo separados los privilegios de administración. También se pueden activar o desactivar cuentas desde el panel de administración, para dar acceso solo a quienes realmente lo requieran.
Implementar autenticación de múltiples factores
La autenticación de múltiples factores agrega una capa extra de seguridad, al requerir una verificación adicional a la contraseña para acceder al panel de control. Esta segunda verificación suele ser una contraseña de un solo uso, que se envía por un canal separado, que puede ser una aplicación especial, un mensaje SMS o un email.
La idea es que aun si un atacante consigue las credenciales, no podrá entrar porque no tendrá esta segunda verificación de acceso. Prontus permite generar una segunda autentificación para mayor seguridad. Esta opción debe ser activada en la creación de usuarios dentro del CMS.
Contar con respaldos de los archivos
Aun con las mejores medidas de seguridad, puede ocurrir algún desastre imprevisto. Para ello es vital contar con respaldos, que nos permitan recuperar el sitio web tras un ciberataque o cualquier otro tipo de incidente. Los respaldos debieran ser parte de la mantención de tu sitio web.
Contar con Content Security Policy (CSP) bien configurada
Content Security Policy o CSP son políticas de seguridad que podemos configurar para proteger nuestro sitio web ante intentos de ciberataque del tipo XSS o Cross Site Scripting. Es una medida de protección que se activa en los servidores del sitio web, en el cual se acepta o rechaza determinados llamados que vienen desde fuera. Dependiendo del tipo de sitio web, la configuración de esta política será diferente.
Usar un firewall de aplicaciones (WAF)
Un firewall de aplicaciones web actúa como escudo entre las aplicaciones del sitio web y el resto de Internet. Monitorea el tráfico que quiere pasar, bloqueando los intentos de explotar vulnerabilidades. Para los sitios que manejan información sensible como datos financieros o personales, implementar un WAF puede mejorar la protección de los mismos.
Usar una CDN
Las redes de distribución de contenidos (CDN) normalmente se usan para mejorar la velocidad de respuesta de un sitio web que tenga muchos visitantes. Sin embargo, también pueden ser útiles para protegerse de ataques distribuidos de denegación de servicio (DDoS). Tanto la CDN como el WAF son servicios con costo adicional que se pueden agregar a tu sitio web dependiendo de su tamaño y requerimientos particulares.
Contar con un sitio bien desarrollado
La base de todo será el código con el que se programó tu sitio web. Para evitar vulneraciones, los desarrolladores deben velar por que el código esté bien construido, todas las entradas de datos sean validadas antes de ser enviadas a las bases de datos, y que el sistema opere sobre un ambiente seguro.