Cómo conseguir seguridad en páginas web

El menor de los descuidos puede desembocar en consecuencias muy graves para las empresas, como por ejemplo, pérdidas de ventas, daños en la reputación, o la tramitación de procesos civiles. Muchos negocios, especialmente las tiendas online, gozan de la confianza de los clientes, que les revelan sus datos personales, sus datos bancarios y los relativos a las tarjetas de crédito. La protección de los mismos prima por encima de todo debido a los ciberataques, que están a la orden del día en el sector de los negocios online. Además de los habituales controles de seguridad, las empresas pueden adoptar medidas de seguridad alternativas para proteger sus páginas web.

Sistemas abiertos incluso para los hackers

Muchas empresas permiten acceder a sus páginas web con tan solo unos clics. A decir verdad, hoy en día no es necesario tener amplios conocimientos sobre programación para crear una página web en un breve período de tiempo. En el caso de los blogs, de las tiendas o de las páginas de noticias, el mercado actual ofrece numerosas aplicaciones web. Los gestores de contenidos, los sistemas eCommerce o el software para foros también representan un riesgo elevado para la seguridad. La denominación "código abierto" no solo significa que el código está disponible para todos los usuarios, sino que se convierte en un sistema abierto para hackers y otros ciberdelincuentes.

Del código fuente al fraude mediante tarjetas de crédito

Tan solo en 2015 se crearon 2,62 millones de páginas web en todo el mundo con el software de código abierto Joomla. Su comunidad, de rasgos similares a la de WordPress o TYPO3, cuenta con casi 500.000 miembros activos y cada uno de ellos tiene la posibilidad de crear extensiones, plugins, módulos o plantillas y de ponerlos a disposición de la comunidad. Este enfoque es especialmente popular entre los usuarios, sin olvidar que otro de los motivos de su popularidad es la reducción de gastos que conlleva.

Sin embargo, los CMS y sus plugins son también son muy populares entre los hackers, que tienen fijación por los sistemas más amplios. Los ciberdelincuentes hacen visibles las debilidades de dichos sistemas, lo que puede ocasionar daños considerables. Esto se traduce en ataques de phishing a los datos sensibles de los clientes, como por ejemplo los datos de acceso o los relativos a los pagos, aunque también hace referencia al uso de troyanos y virus a través de lo que se conoce como "drive by download", una técnica consistente en la descarga oculta de elementos dañinos o malware cuando se visitan páginas web infectadas con dichas amenazas. Por ejemplo, en el caso de las empresas, los virus pueden provocar caídas del servidor y los llamados downtimes, en los cuales la página no está disponible, lo que ocasiona pérdidas de ventas.

Las consecuencias que se derivan de una deficiente seguridad en las páginas web son:

  • uso indebido de datos
  • robo de la identidad
  • daños en la reputación
  • pérdida de productividad
  • quejas

Primer paso para obtener páginas web seguras: realizar controles de seguridad

Las vulnerabilidades del sistema pueden solucionarse antes de que estos den lugar a consecuencias negativas. Para ello, lo recomendable es descubrirlas antes de que los ciberdelincuentes aprovechen estas fugas en la seguridad para sus fines. Los controles de seguridad son la primera medida que se puede llevar a cabo para aumentar la seguridad de las páginas web. A continuación, te presentamos algunos de los servicios gratuitos a los que puedes acceder para que tus páginas se conviertan en páginas web seguras:

Para detectar el grado de seguridad de una página, la mayoría de proveedores de este tipo de servicios llevan a cabo la denominada prueba de penetración, en la que se simula un ataque perpetrado por un pirata informático, como por ejemplo un acceso no autorizado al sistema, para descubrir posibles debilidades en el sistema.

5 consejos para obtener seguridad en páginas web

Para dificultarle la tarea a los hackers, lo conveniente es que las empresas tomen diferentes medidas de seguridad. A continuación, aparece una lista detallada de 5 medidas que se pueden adoptar sin que ello implique un gasto enorme de tiempo y de dinero.

1. Centrarse en la actualidad

La comunidad de Internet desarrolla soluciones de código abierto sin cesar, identifica la presencia de bugs y de fallos de seguridad con brevedad y los elimina de una manera todavía más breve. La rápida capacidad de reacción de dicha comunidad y del equipo de desarrolladores hace que los sistemas estén siempre actualizados. En el caso de muchos CMS, las actualizaciones pueden automatizarse a través de los plugins correspondientes. Con el Easy Update Manager para WordPress o con la extensión SP Upgrade para Joomla se puede tener el sistema al día y contribuir a proteger las páginas web. Puesto que tanto los plugins como los complementos funcionan de manera independiente, la actualidad de los mismos debe comprobarse por separado. 

2. Realizar copias de seguridad con regularidad

Si, a pesar de haber llevado a cabo las correspondientes medidas de seguridad, los piratas informáticos han conseguido acceder al sistema, estos pueden causar perjuicios significativos, no solo en cuanto al espionaje o al uso indebido de datos, sino también a la reescritura o al borrado de bases de datos enteras para no dejar huellas. Por ello, es recomendable asegurar todos los contenidos relevantes con regularidad, ya que bajo determinadas circunstancias, con una actualización estándar también es posible reescribir archivos de datos adaptados de manera individual: la realización periódica de copias de seguridad de todos los datos es, por este motivo, una obligación. Para ello, el mercado pone a disposición los plugins correspondientes: para WordPress, por ejemplo, se puede emplear el plugin BackUpWordPress y, para Joomla, las extensiones Easy Joomla Backup o LazyDbBackup.

3. Datos de acceso seguros

La importancia que tiene la seguridad en lo que respecta a los datos de acceso, es evidente. Sin embargo, la realidad gana otro color en el día a día, ya que para muchos la mejor contraseña sigue siendo la secuencia numérica "123456" e incluso la palabra "contraseña". Además, muchos usuarios emplean los nombres de usuario que sugiere el sistema, tales como "Admin" o "Administrador". Si estos se combinan con contraseñas débiles, se convierten en un blanco fácil para los hackers. Tanto para los nombres de usuario como para las contraseñas, no se recomienda emplear nombres obvios o muy sencillos ni tampoco combinaciones muy evidentes. Para saber cómo se puede generar una contraseña sólida, lee nuestra guía y aprende a crear una contraseña segura.

4. Mantente informado

Si quieres proteger tu página web de los ataques de piratas informáticos y de otros ciberdelincuentes, lo más recomendable es que te informes acerca de los peligros y fallos de seguridad más actuales. Lo primero es recurrir a la comunidad correspondiente. En la mayoría de foros se encuentra mucha información sobre cómo obtener páginas seguras. En ellos, muchas veces se reconocen estos riesgos por primera vez, se discuten y, en el mejor de los casos, se eliminan inmediatamente. Para informarte sobre los riesgos a los que te puedes enfrentar y sobre las herramientas de protección que más te interesan, échale un vistazo a la página web del Incibe (Instituto Nacional de Ciberseguridad) o a la de la OSI (Oficina de Seguridad del Internauta).

5. HTTPS y certificado SSL

Mientras que HTTPS asegura el intercambio de datos sensibles, con ayuda de SSL (Secure Socket Layer), dicho intercambio de datos entre el servidor y el cliente se realiza de manera codificada. Así es como a los hackers les resulta imposible leer o captar los datos transmitidos. Para ello se puede adquirir, por ejemplo, GeoTrust, un certificado apto para más de una página web. Muchos proveedores de servicios de alojamiento web, por su parte, ofrecen el certificado ya incluido en el pack de alojamiento web o a través de un pago adicional. Otra ventaja es que el visitante es capaz de reconocer el certificado de seguridad de la página web a través del símbolo del candado que aparece en el navegador y en el protocolo de transferencia HTTPS, por medio de los cuales se consigue infundir la confianza en los clientes potenciales.

Haz que los hackers no tengan ninguna oportunidad

Para impedir que los hackers puedan llevar a cabo sus acciones, los administradores de páginas web deben comprobar con asiduidad su seguridad. La primera medida es llevar a cabo un control de la misma de manera constante. Los ciberdelincuentes siempre encuentran nuevas debilidades y formas de sacar provecho de ellas. Por lo tanto, realizar las actualizaciones pertinentes disminuye el riesgo de que personas no autorizadas accedan a los contenidos privados. También puede ser buena idea recurrir al asesoramiento de expertos en informática para obtener asesoramiento acerca de las medidas de seguridad más adecuadas. Por último, también es importante sensibilizar al equipo con el que se trabaja, ya que los trabajadores inexpertos también constituyen un riesgo para la seguridad.

Tags: Seguridad / SSL / Protección de Datos