Seguridad web: protege tu web en 5 pasos

Una pequeña fuga de datos ya puede desem­bo­car en co­n­se­cue­n­cias muy graves para las empresas, como, por ejemplo, pérdidas de ventas, daños en la repu­tación, o denuncias. Muchos negocios, es­pe­cia­l­me­n­te las tiendas online, gozan de la confianza de los clientes, que les revelan sus datos pe­r­so­na­les, sus datos bancarios y los relativos a las tarjetas de crédito. La pro­te­c­ción de los mismos prima por encima de todo debido a los ci­ber­ata­ques, que están a la orden del día en el sector de los negocios online. También el RGPD atribuye a los re­s­po­n­sa­bles de las páginas web un deber de vi­gi­la­n­cia. Además de los ha­bi­tua­les controles de seguridad, las empresas pueden adoptar medidas de seguridad al­te­r­na­ti­vas para proteger sus páginas web.

La promesa de muchos pro­vee­do­res: crea tu página con unos pocos clics. Y, a decir verdad, hoy en día no es necesario tener profundos co­no­ci­mie­n­tos en pro­gra­ma­ción para crear una página web pre­se­n­ta­ble en poco tiempo. El mercado conoce hoy numerosas apli­ca­cio­nes para publicar blogs, tiendas o portales de noticias, pero todos estos gestores de co­n­te­ni­dos, sistemas de eCommerce o software para foros también re­pre­se­n­tan un gran riesgo para la seguridad. Y es que “código abierto” no significa solo que el código está di­s­po­ni­ble para todos los usuarios, sino también para hackers y otros ci­be­r­de­li­n­cue­n­tes.

Una al­te­r­na­ti­va que permite crear có­mo­da­me­n­te un sitio web sin tener que usar un sistema de gestión de co­n­te­ni­dos es el diseño web modular. Con un programa que siga este principio, una página web puede co­m­po­ne­r­se como en juego de co­n­s­tru­c­ción sin tener que preo­cu­par­se de co­m­pli­ca­dos ajustes técnicos. Esto significa que también se delegan ciertas medidas de pro­te­c­ción al proveedor del software. La di­fe­re­n­cia radica en que en este caso son expertos los que se ocupan de estas tareas, de modo que los usuarios pueden dedicarse por completo y con total tra­n­qui­li­dad de co­n­cie­n­cia a su proyecto.

Más del 35 % de todas las páginas web que se crean en el mundo se basan en el sistema de gestión de co­n­te­ni­dos WordPress. Su comunidad, como las de Joomla o TYPO3, cuenta con numerosos miembros activos, cada uno de los cuales tiene la po­si­bi­li­dad de crear ex­te­n­sio­nes, plugins, módulos o pla­n­ti­llas y de ponerlos a di­s­po­si­ción de la comunidad. Este enfoque es muy popular entre los usuarios, no en vano por su bajo coste, pero los CMS y sus ex­te­n­sio­nes son también muy atra­c­ti­vos para los ci­be­r­cri­mi­na­les, que han apuntado sus objetivos a los sistemas de uso más extendido. Los ci­be­r­de­li­n­cue­n­tes buscan las de­bi­li­da­des de dichos sistemas y los pueden utilizar para ocasionar grandes daños: por medio de tácticas de phishing logran acceder, por ejemplo, a los datos sensibles de los clientes, como los datos de acceso o los bancarios, o cuelan troyanos y virus que los usuarios se descargan sin saberlo por medio de un método llamado drive by download, y utilizan la página para extender virus. En las empresas, los virus pueden provocar caídas del servidor que resultan en pérdidas de ventas.

Las graves co­n­se­cue­n­cias que se derivan de una de­fi­cie­n­te seguridad web son:

• El uso frau­du­le­n­to de los datos
• El robo de la identidad
• Daños en la repu­tación
• La pérdida de ventas
• Demandas legales

Las vu­l­ne­ra­bi­li­da­des del sistema pueden so­lu­cio­nar­se antes de que estos den lugar a co­n­se­cue­n­cias negativas, siempre y cuando se descubran antes que los ci­be­r­cri­mi­na­les. Así, los controles de seguridad son la primera medida que se puede llevar a cabo para aumentar la seguridad de las páginas web. A co­n­ti­nua­ción, te pre­se­n­ta­mos algunos de los servicios gratuitos a los que puedes acceder para realizar un security check:

• vi­ru­s­to­tal
• WordPress Security Scan
• Sucuri SiteCheck

Para comprobar el grado de seguridad de una página web, la mayoría de pro­vee­do­res de este tipo de servicios llevan a cabo la de­no­mi­na­da prueba de pe­ne­tra­ción, en la que se simula un ataque pe­r­pe­tra­do por un pirata in­fo­r­má­ti­co, como, por ejemplo, un acceso no au­to­ri­za­do al sistema, para descubrir posibles puntos débiles.

Para di­fi­cu­l­tar la tarea a los hackers, lo co­n­ve­nie­n­te es que las empresas tomen di­fe­re­n­tes medidas de seguridad. A co­n­ti­nua­ción, enu­me­ra­mos cinco es­tra­te­gias que pueden adoptarse sin que ello implique un gasto enorme de tiempo y de dinero.

La comunidad de Internet de­sa­rro­lla so­lu­cio­nes de código abierto sin cesar, suele ide­n­ti­fi­car bugs y fallos de seguridad con rapidez y los elimina aún más rápido. Pero solo es posible sacar provecho de la capacidad de reacción de la comunidad y el equipo de de­sa­rro­lla­do­res cuando se mantiene ac­tua­li­za­do al sistema. En muchos CMS, las ac­tua­li­za­cio­nes pueden au­to­ma­ti­zar­se con ciertos plugins. Con el Easy Update Manager para WordPress se puede tener el sistema al día y co­n­tri­buir a la seguridad del sitio web. Puesto que, tanto los plugins, como los co­m­ple­me­n­tos, co­n­s­ti­tu­yen programas autónomos, se ha de comprobar por separado que están ac­tua­li­za­dos.

No obstante, también deberás comprobar la ac­tua­li­dad de las versiones en tu página aunque la crearas sin la ayuda de un CMS. PHP y MySQL, por ejemplo, siempre deberían estar al día para no ofrecer ninguna puerta abierta a los intrusos.

Si, a pesar de haber llevado a cabo las co­rre­s­po­n­die­n­tes medidas de seguridad, los piratas in­fo­r­má­ti­cos han co­n­se­gui­do acceder al sistema, estos pueden causar pe­r­jui­cios si­g­ni­fi­ca­ti­vos, no solo en cuanto al espionaje o al uso indebido de datos, sino también a la re­es­cri­tu­ra o al borrado de bases de datos enteras para no dejar huellas. Por ello, es re­co­me­n­da­ble asegurar todos los co­n­te­ni­dos re­le­va­n­tes con re­gu­la­ri­dad, ya que, bajo de­te­r­mi­na­das ci­r­cu­n­s­ta­n­cias, con una ac­tua­li­za­ción estándar también es posible re­es­cri­bir archivos de datos adaptados de manera in­di­vi­dual: la rea­li­za­ción periódica de copias de seguridad de todos los datos es, por este motivo, una obli­ga­ción.

También para esto hay he­rra­mie­n­tas de apoyo: para WordPress cuentas con distintos plugins, pero también otros CMS se pueden equipar con ex­te­n­sio­nes que faciliten realizar copias completas de sitios web. Si trabajas sin CMS, puedes guardar el contenido del servidor en otro di­s­po­si­ti­vo o recurrir a una he­rra­mie­n­ta como rsync.

Utilizar datos de acceso seguros debería ser una obviedad, pero la realidad es muy diferente: al parecer y por bizarro que parezca, según las es­ta­dí­s­ti­cas, la co­n­tra­se­ña favorita sigue siendo “123456”. Muchos usuarios, incluso, mantienen sin cambios los nombres de usuario sugeridos por el sistema, como “Admin” o “Ad­mi­ni­s­tra­dor”. Si estos se combinan con co­n­tra­se­ñas débiles, se co­n­vie­r­ten en un blanco fácil para los hackers. Tanto para los nombres de usuario, como para las co­n­tra­se­ñas, no se re­co­mie­n­da emplear nombres obvios o muy sencillos, ni tampoco co­m­bi­na­cio­nes muy evidentes. Una clave segura ha de estar compuesta por una secuencia casual de ca­ra­c­te­res y ha de tener una cierta longitud. Para saber cómo se puede generar una co­n­tra­se­ña sólida, lee nuestra guía y aprende a crear una co­n­tra­se­ña segura.

Si quieres proteger tu página web de los ataques de piratas in­fo­r­má­ti­cos y otros ci­be­r­de­li­n­cue­n­tes, lo más re­co­me­n­da­ble es que te informes acerca de los peligros y brechas de seguridad más actuales. En un primer momento, la comunidad es un buen referente. En la mayoría de los foros se encuentra mucha in­fo­r­ma­ción sobre seguridad online. En ellos, muchas veces, se detectan por primera vez estos riesgos, se discuten y, en el mejor de los casos, se eliminan in­me­dia­ta­me­n­te. Para in­fo­r­mar­te sobre los riesgos a los que te puedes enfrentar y sobre las he­rra­mie­n­tas de pro­te­c­ción que más te interesan, échale un vistazo a la página web de Incibe (Instituto Nacional de Ci­be­r­se­gu­ri­dad) o a la de la OSI (Oficina de Seguridad del In­te­r­nau­ta.

Mientras que HTTPS asegura el in­te­r­ca­m­bio de datos sensibles, con ayuda de SSL (Secure Socket Layer), dicho in­te­r­ca­m­bio de datos entre el servidor y el cliente se realiza de manera co­di­fi­ca­da. Así es como a los hackers les resulta imposible leer o captar los datos tra­n­s­mi­ti­dos. Este ce­r­ti­fi­ca­do puede ad­qui­ri­r­se en varios sitios web, se incluye en los paquete de alo­ja­mie­n­to web de muchos pro­vee­do­res o se adquiere por un so­bre­pre­cio. Otra ventaja es que el visitante es capaz de reconocer el ce­r­ti­fi­ca­do de seguridad de la página web gracias al símbolo del candado que aparece en el navegador y en el protocolo de tra­n­s­fe­re­n­cia HTTPS, señales ambas que inspiran confianza en el cliente en potencia.

Para impedir que los hackers puedan llevar a cabo sus acciones, los ad­mi­ni­s­tra­do­res de páginas web deben comprobar con asiduidad su seguridad. La primera medida es llevar a cabo un control de la misma de manera constante. Los ci­be­r­cri­mi­na­les siempre en­cue­n­tran nuevas vu­l­ne­ra­bi­li­da­des y formas de sacar provecho de ellas. Por lo tanto, realizar las ac­tua­li­za­cio­nes pe­r­ti­ne­n­tes disminuye el riesgo de que personas no au­to­ri­za­das accedan a los co­n­te­ni­dos privados. También puede ser buena idea recurrir al ase­so­ra­mie­n­to de expertos en in­fo­r­má­ti­ca acerca de las medidas de seguridad más adecuadas. Por último, también es im­po­r­ta­n­te se­n­si­bi­li­zar al equipo con el que se trabaja, ya que los tra­ba­ja­do­res in­e­x­pe­r­tos también co­n­s­ti­tu­yen un riesgo para la seguridad.