Actualmente millones de páginas en Internet, servidores y equipos móviles son blancos de la ciber-delincuencia. Sin embargo, los sitios web son los más propensos a ser atacados por los llamados piratas informáticos. Es por ello que debemos comprender la importancia de este tema porque un error puede costar millones de pesos, la reputación o inclusive el fin de una organización.
Los servidores web sirven como puente entre la red y el mundo. El cuidado que se tenga en el mantenimiento, actualizaciones y la codificación del sitio crearán un lazo fuerte.
¿Qué es seguridad en la web?
Hoy en día no importa si un sitio web se encuentra en el centro de atención o si aún no lo está.
Los errores que un sitio web pueda llegar a presentar son muy importantes, ya que un software mal escrito genera problemas de protección, hoyos de seguridad o puertas traseras que pueden ser descubiertas por los “ciber-delincuentes” quienes trabajan día a día buscando esos errores que les facilitan a realizar un ataque exitoso:
Básicamente todos los programas tienen errores o al menos algunas debilidades. Ante ello se debe tener precaución y tener siempre a la mano expertos que ayuden a repeler cualquier forma de ataque.
El objetivo de los sitios web es ser cada vez más concurridos y tener mayores interacciones con millones de usuarios. Pero entre mayor es un sitio web, más probable es que se cometan errores y se generen esos agujeros por donde la inseguridad se infiltra.
Técnicamente, esa misma programación que aumenta el valor de tu sitio web en Internet, es decir, el que ayuda a que mejore la interacción con los usuarios, también permite ejecutar scripts o comandos SQL en tus servidores los cuales pueden tener debilidades o errores directos, lo cual representa un riesgo de seguridad web.
Un ciber-ataque a tu sitio web puede ser totalmente silencioso, ya que puede implicar la instalación oculta de un código malicioso que puede recopilar información de los visitantes y eso originar una fuerte pérdida de confianza entre la red.
La mayoría de los propietarios de las organizaciones desconocen esto, inclusive cuando su web se ha infectado y sus usuarios están en riesgo o sus visitantes están siendo objeto de ataques.
Esto es un círculo que se extiende y que muchas veces es descubierto años más tarde, cuando el daño ya fue hecho.
Se podría decir que el servidor más seguro es el que está apagado… o cuando un servidor es muy simple. Sin embargo obviamente eso no es factible para las organizaciones si lo que se busca es crecer y mejorar.
Puntos importantes para mantener un sitio seguro.
1 – Actualización.
Cuando se tiene un software obsoleto e inseguro muchas veces es como tener las ventanas abiertas a la ciber-delincuencia. He ahí la importancia de actualizar el sitio tan pronto como un nuevo plugin o la versión de CMS está disponible.
La mayoría de hacking en estos días es totalmente automático, existen robots escaneando cada sitio, buscando oportunidades de explotación.
2 – Las Contraseñas
Muchísimas cuentas usan contraseñas extremadamente sencillas, ya que se tiene mucha ignorancia ante estas circunstancias. Existen varias páginas en internet que lanzan listas de contraseñas más comunes, si revisas y la tuya se encuentra ahí o tiene características similares a algunas de ellas, prácticamente se garantiza que sitio tu será hackeado en algún momento.
Así que para crear una contraseña “fuerte” hay 3 requisitos fundamentales que siempre deben seguirse (CLU – Complejo, Largo, Unicos):
Complejo: Las contraseñas deben ser al azar.
Largo: Las contraseñas deben tener más de 12 caracteres de longitud.
Cuando se trata de sistemas de acceso en línea, hasta el más básico debería seguir lineamientos de seguridad como limitar el número de intentos de conexión fallidos.
Si hay un límite en el número de intentos de conexión fallidos, una contraseña de 12 caracteres se detendrá fácilmente cuando alguien no pueda adivinar en pocos intentos. Dicho esto, cuanto más larga sea la contraseña, mejor.
Único: No repita las contraseñas, hay personas que tienen la misma contraseña para muchas páginas pero cada contraseña que tiene debe ser única.
Si te estás preguntando “¿cómo se supone que voy a recordar 10 contraseñas aleatorias que son 12 caracteres de longitud?” La buena noticia es que no es necesario recordar todo.
Existen gestores de contraseñas como “LastPass” (en línea) y “KeePass 2” (sin conexión). Estas herramientas almacenan todas sus contraseñas en un formato cifrado y pueden fácilmente generar contraseñas aleatorias en el tecleo de un botón.
Así que ya puedes tener contraseñas seguras y guardadas en lugar de memorizar un par de contraseñar hackeables.
3 – Un Sitio = Un Servidor
Si se tiene un plan de web “ilimitado” de alojamiento y siempre existe la tentación de alojar numerosos sitios en un solo servidor. Por desgracia, esta es una de las peores prácticas de seguridad que se ven con frecuencia. Hosting muchos sitios en el mismo lugar crea una superficie de ataque muy grande.
No sólo puede este resultado hackear todos los sitios, al mismo tiempo, también hace que el proceso de limpieza sea mucho más lento y difícil. Los sitios infectados pueden continuar infectando uno al otro en un bucle sin fin.
4 – Acceso de Usuario Sensible
Esta regla sólo se aplica a los sitios que tienen varios accesos.
Es importante que cada usuario tenga un permiso adecuado que necesita para hacer su trabajo; si requiere permisos de escalada momentáneamente, otórguelo, y retire una vez que el trabajo esté completo. No está bien que muchas personas tengan un acceso privilegiado.
Por ejemplo, si una persona quiere escribir un post de invitado en un blog, el propietario debe de asegurarse de que la cuenta del invitado no tenga privilegios de administrador. La cuenta de la persona que ingrese sólo debe ser capaz de crear nuevos puestos y editar sus propios mensajes, porque no hay necesidad de que sean capaces de cambiar la configuración de la página web.
Inclusive si algo malo llegara a suceder se tendría la duda de quién fue el responsable, ya no se puede confiar al 100% ni en los invitados que pueden llegar a ser espías.
5 – Las Copias de Seguridad
Como todo en el mundo digital, todo puede perderse en un evento catastrófico. A menudo no soportamos lo suficiente, pero le agradecerá si usted toma algún tiempo para considerar las mejores soluciones de copia de seguridad web para su sitio web.
Hacer copias de seguridad de su sitio web es muy importante, pero el almacenamiento de estas copias de seguridad de su servidor web es un riesgo de seguridad importante. Estas copias de seguridad contienen invariablemente versiones no actualizados de su CMS y extensiones que están a disposición del público, dando a los hackers acceder fácilmente a su servidor.
Aunque siempre es mejor contar con la ayuda de un experto para garantizar una seguridad total el ser consciente de estos problemas propiciará a llevar a cabo estas medidas que son sencillas pero que disminuirán el riesgo de que un sitio sea hackeado.