Seguridad web: protege tu web en 5 pasos

Una pequeña fuga de datos ya puede desembocar en consecuencias muy graves para las empresas, como, por ejemplo, pérdidas de ventas, daños en la reputación, o denuncias. Muchos negocios, especialmente las tiendas online, gozan de la confianza de los clientes, que les revelan sus datos personales, sus datos bancarios y los relativos a las tarjetas de crédito. La protección de los mismos prima por encima de todo debido a los ciberataques, que están a la orden del día en el sector de los negocios online. También el RGPD atribuye a los responsables de las páginas web un deber de vigilancia. Además de los habituales controles de seguridad, las empresas pueden adoptar medidas de seguridad alternativas para proteger sus páginas web.

La promesa de muchos proveedores: crea tu página con unos pocos clics. Y, a decir verdad, hoy en día no es necesario tener profundos conocimientos en programación para crear una página web presentable en poco tiempo. El mercado conoce hoy numerosas aplicaciones para publicar blogs, tiendas o portales de noticias, pero todos estos gestores de contenidos, sistemas de eCommerce o software para foros también representan un gran riesgo para la seguridad. Y es que “código abierto” no significa solo que el código está disponible para todos los usuarios, sino también para hackers y otros ciberdelincuentes.

Una alternativa que permite crear cómodamente un sitio web sin tener que usar un sistema de gestión de contenidos es el diseño web modular. Con un programa que siga este principio, una página web puede componerse como en juego de construcción sin tener que preocuparse de complicados ajustes técnicos. Esto significa que también se delegan ciertas medidas de protección al proveedor del software. La diferencia radica en que en este caso son expertos los que se ocupan de estas tareas, de modo que los usuarios pueden dedicarse por completo y con total tranquilidad de conciencia a su proyecto.

Más del 35 % de todas las páginas web que se crean en el mundo se basan en el sistema de gestión de contenidos WordPress. Su comunidad, como las de Joomla o TYPO3, cuenta con numerosos miembros activos, cada uno de los cuales tiene la posibilidad de crear extensiones, plugins, módulos o plantillas y de ponerlos a disposición de la comunidad. Este enfoque es muy popular entre los usuarios, no en vano por su bajo coste, pero los CMS y sus extensiones son también muy atractivos para los cibercriminales, que han apuntado sus objetivos a los sistemas de uso más extendido. Los ciberdelincuentes buscan las debilidades de dichos sistemas y los pueden utilizar para ocasionar grandes daños: por medio de tácticas de phishing logran acceder, por ejemplo, a los datos sensibles de los clientes, como los datos de acceso o los bancarios, o cuelan troyanos y virus que los usuarios se descargan sin saberlo por medio de un método llamado drive by download, y utilizan la página para extender virus. En las empresas, los virus pueden provocar caídas del servidor que resultan en pérdidas de ventas.

Las graves consecuencias que se derivan de una deficiente seguridad web son:

• El uso fraudulento de los datos
• El robo de la identidad
• Daños en la reputación
• La pérdida de ventas
• Demandas legales

Las vulnerabilidades del sistema pueden solucionarse antes de que estos den lugar a consecuencias negativas, siempre y cuando se descubran antes que los cibercriminales. Así, los controles de seguridad son la primera medida que se puede llevar a cabo para aumentar la seguridad de las páginas web. A continuación, te presentamos algunos de los servicios gratuitos a los que puedes acceder para realizar un security check:

• virustotal
• WordPress Security Scan
• Sucuri SiteCheck

Para comprobar el grado de seguridad de una página web, la mayoría de proveedores de este tipo de servicios llevan a cabo la denominada prueba de penetración, en la que se simula un ataque perpetrado por un pirata informático, como, por ejemplo, un acceso no autorizado al sistema, para descubrir posibles puntos débiles.

Para dificultar la tarea a los hackers, lo conveniente es que las empresas tomen diferentes medidas de seguridad. A continuación, enumeramos cinco estrategias que pueden adoptarse sin que ello implique un gasto enorme de tiempo y de dinero.

La comunidad de Internet desarrolla soluciones de código abierto sin cesar, suele identificar bugs y fallos de seguridad con rapidez y los elimina aún más rápido. Pero solo es posible sacar provecho de la capacidad de reacción de la comunidad y el equipo de desarrolladores cuando se mantiene actualizado al sistema. En muchos CMS, las actualizaciones pueden automatizarse con ciertos plugins. Con el Easy Update Manager para WordPress se puede tener el sistema al día y contribuir a la seguridad del sitio web. Puesto que, tanto los plugins, como los complementos, constituyen programas autónomos, se ha de comprobar por separado que están actualizados.

No obstante, también deberás comprobar la actualidad de las versiones en tu página aunque la crearas sin la ayuda de un CMS. PHP y MySQL, por ejemplo, siempre deberían estar al día para no ofrecer ninguna puerta abierta a los intrusos.

Si, a pesar de haber llevado a cabo las correspondientes medidas de seguridad, los piratas informáticos han conseguido acceder al sistema, estos pueden causar perjuicios significativos, no solo en cuanto al espionaje o al uso indebido de datos, sino también a la reescritura o al borrado de bases de datos enteras para no dejar huellas. Por ello, es recomendable asegurar todos los contenidos relevantes con regularidad, ya que, bajo determinadas circunstancias, con una actualización estándar también es posible reescribir archivos de datos adaptados de manera individual: la realización periódica de copias de seguridad de todos los datos es, por este motivo, una obligación.

También para esto hay herramientas de apoyo: para WordPress cuentas con distintos plugins, pero también otros CMS se pueden equipar con extensiones que faciliten realizar copias completas de sitios web. Si trabajas sin CMS, puedes guardar el contenido del servidor en otro dispositivo o recurrir a una herramienta como rsync.

Utilizar datos de acceso seguros debería ser una obviedad, pero la realidad es muy diferente: al parecer y por bizarro que parezca, según las estadísticas, la contraseña favorita sigue siendo “123456”. Muchos usuarios, incluso, mantienen sin cambios los nombres de usuario sugeridos por el sistema, como “Admin” o “Administrador”. Si estos se combinan con contraseñas débiles, se convierten en un blanco fácil para los hackers. Tanto para los nombres de usuario, como para las contraseñas, no se recomienda emplear nombres obvios o muy sencillos, ni tampoco combinaciones muy evidentes. Una clave segura ha de estar compuesta por una secuencia casual de caracteres y ha de tener una cierta longitud. Para saber cómo se puede generar una contraseña sólida, lee nuestra guía y aprende a crear una contraseña segura.

Si quieres proteger tu página web de los ataques de piratas informáticos y otros ciberdelincuentes, lo más recomendable es que te informes acerca de los peligros y brechas de seguridad más actuales. En un primer momento, la comunidad es un buen referente. En la mayoría de los foros se encuentra mucha información sobre seguridad online. En ellos, muchas veces, se detectan por primera vez estos riesgos, se discuten y, en el mejor de los casos, se eliminan inmediatamente. Para informarte sobre los riesgos a los que te puedes enfrentar y sobre las herramientas de protección que más te interesan, échale un vistazo a la página web de Incibe (Instituto Nacional de Ciberseguridad) o a la de la OSI (Oficina de Seguridad del Internauta.

Mientras que HTTPS asegura el intercambio de datos sensibles, con ayuda de SSL (Secure Socket Layer), dicho intercambio de datos entre el servidor y el cliente se realiza de manera codificada. Así es como a los hackers les resulta imposible leer o captar los datos transmitidos. Este certificado puede adquirirse en varios sitios web, se incluye en los paquete de alojamiento web de muchos proveedores o se adquiere por un sobreprecio. Otra ventaja es que el visitante es capaz de reconocer el certificado de seguridad de la página web gracias al símbolo del candado que aparece en el navegador y en el protocolo de transferencia HTTPS, señales ambas que inspiran confianza en el cliente en potencia.

Para impedir que los hackers puedan llevar a cabo sus acciones, los administradores de páginas web deben comprobar con asiduidad su seguridad. La primera medida es llevar a cabo un control de la misma de manera constante. Los cibercriminales siempre encuentran nuevas vulnerabilidades y formas de sacar provecho de ellas. Por lo tanto, realizar las actualizaciones pertinentes disminuye el riesgo de que personas no autorizadas accedan a los contenidos privados. También puede ser buena idea recurrir al asesoramiento de expertos en informática acerca de las medidas de seguridad más adecuadas. Por último, también es importante sensibilizar al equipo con el que se trabaja, ya que los trabajadores inexpertos también constituyen un riesgo para la seguridad.