Lamentablemente, los sitios web son muy propensos a ser atacados por los llamados ‘piratas informáticos’. Y los servidores de internet también tienden a recibir ataques, sin olvidar los riesgos creados por los propios empleados que desconocen los temas de ciberseguridad o usan inadecuadamente los recursos o no protegen sus accesos como su usuario y contraseña brindados de forma adecuada. Siempre hay un eslabón débil en la cadena, y debes asegurarte que éste no se rompa y origine un problemas.

Los servidores web, por su estructura, abren una ventana entre tu red y el mundo por medio del internet. El cuidado que tengas con el mantenimiento, la actualización y la codificación de tu página web definirá el tamaño de esa ventana de forma segura. Lo recomendable es que, ante un buen trabajo de análisis interno, establezcas el grado de seguridad web que deseas tener para evitar ser víctima de la ciberdelincuencia.

Hay que enfatizar que la seguridad web puede ser relativa y siempre está acompañada de dos componentes: uno interno y uno público. Puedes creer que tu empresa no tendrá problemas de ataques cibernéticos porque tienes pocos recursos de valor financiero en la red, porque no eres grande o tu sitio web no es considerado “controvertido”.

Incluso puede que no te preocupes porque tienes un software de protección (como un antivirus). Sin embargo, debes ser cuidadoso en el sentido que quizá consideres que solo necesitas fortalecer tus medidas de seguridad, si tu empresa maneja accesos al sistema financieros y permites usar tarjetas bancarias o trabajas con información de tus clientes como su documento nacional de identidad para acceder a ciertos servicios de tu sitio web, pero la realidad es que puedes sufrir un ataque en cualquier momento. Por ejemplo, tu sitio web puede ser atacado por un programa se instala por internet de forma oculta sin tu permiso en tu Laptop, PC o movil de tipo ransomware (secuestro digital) que encripte (cifre) todos tus datos y archivos de tu computadora para que no tengas acceso a ellos a menos que pagues dinero y te brinde la clave para desencriptar (descifrar) y puedas acceder a tu información.

O te confías porque tienes un equipo de soporte especializado en tecnologías de la información, pero ¿qué pasa si tu presupuesto es limitado o tus colaboradores no están listos ante nuevas formas de ataque?, ¿qué pasa si tu equipo desconoce qué es un programa malware o ransomware, y sus acciones desafían la protección de tu red? y evitar ser atacado o accedido de manera irregular por medio de internet.

¿Qué es seguridad en la web y por qué es tan importante?

En pocas palabras, seguridad web son las medidas aplicadas para proteger una página web y garantizar que los datos no están expuestos ante los cibercriminales. En este sentido, la seguridad web es un proceso continuo y una parte esencial de administrar un sitio web.

La ciberseguridad es importante porque los sitios web desprotegidos están expuestos a sufrir situaciones como:

• Hackear tu web alterando su informacion y funcionamiento, poniendo mensajes o imagenes ofensivo o exito como muestra de haber tenido exito lograrlo, convertor tu servidor web como emisor de correo no deseado (SPAM), trayendo como consecuenta se que penalize tu nombre de dominio de tu pagina web.
• Robo de información guardada en el servidor web, accediendo al registro de venta de ecommerce, entre otros.
• Explotación de datos personales –desde direcciones de correo electrónico hasta información de pagos– de los visitantes para utilizarlos inadecuadamente (robo de identidad, extorsiones, abuso de confianza, estafas, etc.).
• Redireccionamiento a páginas web externas maliciosas.
• Mostrar anuncios no deseados.
• Engañar a los bots y rastreadores de los motores de búsqueda para hacer SEO de “sombrero negro” (Black Hat SEO), cuyo objetivo es atraer tráfico a sitios web que no siguen las mejores prácticas de internet.
• Utilizar las computadoras de los visitantes de tu pagina para hacer minería de criptomonedas, poniendo lenta tu web y las computadoras de tus visitantes.
• Recibir ataques DDoS que pueden poner muy lenta la carga o acceso a tu página o hacer que deje de funcionar de manera inesperada, haciéndola inaccesible para los visitantes.
• Realizar descargas de software malicioso, etc.

¿Cómo hacer que un sitio web sea seguro?

Si te preocupa la vulnerabilidad de tus visitantes (y de tu empresa) evitando correr riesgos, puedes aplicar acciones de seguridad web como:

1. Instalar un certificado de seguridad (SSL).
2. Proteger tu página con un Firewall de Aplicaciones Web.
3. Utilizar un servicio o programa de escáner web.
4. Actualizar el software de tu sitio web con frecuencia, los servicios de hosting lo brindan dentro de su servicio.
5. Utilizar contraseñas fuertes.
6. Limitar el acceso de los usuarios y los permisos de cambio en tu sitio web.
7. Cambiar los ajustes preestablecidos de tu CMS (Content Management System), ya sea WordPress, Magento, PrestaShop, Drupal, Joomla u otro.
8. Realizar copias de seguridad de tu página web (Muy importante).

1. Instalar un certificado de seguridad.

Los certificados de seguridad son una medida básica para proteger la información que recolectas en tu página web, como emails o números de tarjetas bancarias. Pero ojo: los certificados SSL solo protegen los datos en tránsito, es decir, los que van desde el navegador de tus visitantes hacia tu servidor, por eso es mucho mejor si incluyes otras de las medidas que explicamos a continuación.

2. Proteger tu página con un Firewall de Aplicaciones Web.

Un Firewall <<también conocido como cortafuegos>> es un sistema (ya sea hardware o software) que actúa como un ‘guardia de seguridad’, que deja pasar (o no) los datos que fluyen entre dos redes (por ejemplo, entre tu sitio web e internet).

Los cortafuegos existen para impedir que los sistemas no autorizados puedan conectarse a tu página web y, por lo tanto, obtengan los datos que compartes a través de ella. Entre sus ventajas, los Firewall de Aplicaciones Web incluyen:

• Filtrar y monitorear el tráfico HTTP entre tu sitio web e internet, para identificar cuando existan intentos de ataques como Cross-site scripting (que consiste en insertar código malicioso), SQL Injection (que hace vulnerable a la base de datos del servidor) o Denial-Of-Service (que imposibilita al servidor para realizar correctamente las peticiones de los usuarios).
• Establecer distintos niveles de seguridad entre los usuarios que tienen acceso a tu red.

3. Utilizar un escáner de seguridad de sitios web.

Un escáner de seguridad sirve para revisar tu sitio web cada determinado tiempo. Su objetivo es detectar malware o actividades sospechosas, así como descubrir si tu página está en las listas negras –también conocidas como blacklists– de los motores de búsqueda, lo cual podría conllevar a que tu sitio sea inaccesible o tus datos estén en riesgo.

4. Actualizar el software con frecuencia.

Es indispensable que actualices el software que ayuda a mantener tu página en línea, tan pronto como esté disponible cualquier complemento o renovación. ¿Por qué? Porque las actualizaciones no solo sirven para modernizar un software, sino también para implementar mejoras de seguridad o poner ‘parches’ a las vulnerabilidades anteriores del sistema.

Piensa que muchos ataques cibernéticos ocurren de forma automatizada, es decir, que los bots(programas de software) rastrean en internet las páginas web que no están actualizadas para explotarlas.

Aquí también entra la importancia del Firewall, porque éste pone un ‘parche digital’ a los agujeros de seguridad que puedan existir, tan pronto como apliques las actualizaciones.

5. Utilizar contraseñas fuertes.

¿Alguna vez has pensado que algo tan sencillo como las letras y los caracteres de tu contraseña puede tener un enorme impacto en tu sitio web?

Tal vez no lo sepas, pero las personas que se dedican a corregir y desinfectar páginas web atacadas por cibercriminales, necesitan iniciar sesión en tu sitio o servidor web. ¡Y te sorprendería saber la cantidad de personas que utilizan contraseñas débiles y están expuestas al hackeo de sus cuentas! Si esto ocurriera en tu caso, sería muy difícil que un especialista pueda ingresar a tu página web para arreglarla.

Estos son cinco tips para fortalecer la contraseña de tu cuenta (los cuales aplican prácticamente para cualquier contraseña online):

1. Procura que tu contraseña sea larga (8 caracteres o más).
2. Combina letras, números y símbolos.
3. No utilices una contraseña insegura como “contrasena123”, tu fecha de nacimiento o el numero de placa del auto.
4. Utiliza contraseñas aleatorias. Los programas que descifran contraseñas están diseñados para utilizar palabras encontradas en línea o en diccionarios.
5. Intenta que sea fácil de recordar para ti, pero prácticamente imposible de adivinar para otra persona.

6. Limitar el acceso de los usuarios y los permisos en tu sitio web.

En el portal tienen una explicación muy interesante sobre por qué deberías limitar los accesos y permisos a tu sitio web:

“Operar bajo el principio del menor privilegio, tal como su nombre lo indica, parte de la premisa de otorgar los permisos necesarios y suficientes a un usuario para desempeñar sus actividades, por un tiempo limitado, y con el mínimo de derechos necesarios para sus tareas.[…]”

Ellos explican que el “principio del menor privilegio” consiste en otorgar a cada persona los permisos o privilegios mínimos que necesita para realizar su trabajo, así no podrán realizar acciones prohibidas como acceder, obtener o modificar cierta información.

7. Cambiar los ajustes preestablecidos de tu CMS (Content Management System), ya sea WordPress, Drupal, Joomla u otro.

Los sistemas de gestión de contenido (CMS por sus siglas en inglés) son muy fáciles de usar, pero pueden ser vulnerables cuando dejas la configuración preestablecida de tu cuenta. Como mencionamos previamente, los bots trabajan automáticamente para atacar a los sitios desactualizados o fáciles de descifrar.

En este aspecto, es mejor que cambies los ajustes preestablecidos de los comentarios, los usuarios, la visibilidad de datos del usuario y los permisos de archivos.

8. Realiza copias de seguridad (backup) de tu página web.

En caso de que hayan hackeado tu sitio, las copias de seguridad te ayudarán a recuperar lo que existía antes del incidente. No lo pienses como una solución para ahorrarte otros métodos de seguridad, sino como una capa extra de seguridad cuando un pirata informático quiere robarse tus datos o falla tu servidor web.

Finalmente, queremos reiterar que los ataques cibernéticos ocurren cualquier día y en cualquier momento. Y pueden ser absolutamente notorios o aterradoramente silenciosos.

No dejes que tu página web se vea comprometida y tú te conviertas en víctima de la ciberdelincuencia. Las consecuencias pueden hacerte perder cosas tan importantes como tu reputación o tu misma inversión.

Si consideras necesario implementar medidas de proteccion a tu pagina web y/o red de tu empresa o si tu web a sido hackeada, comunicate para evaluar sin costo, y poder brindarte la recomendaciones o acciones a seguir.