VULNERABILIDADES PELIGROSAS PARA SU SITIO WEB p. 2 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web Vulnerabilidades peligrosas para su sitio web 3 Una falsa sensacin de seguridad puede salir cara 4 Qu hacer para protegerse 5 Efectos nocivos de las vulnerabilidades en su sitio web 6 La batalla es ms feroz de lo que imagina 7 Las empresas pequeas tampoco estn a salvo 8 Tambin para los clientes saber es poder 9 NDICE p. 3 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web En el ao 2012, Symantec realiz anlisis de vulnerabilidades en ms de 1400 sitios web al da y, en ms de la mitad de ellos, se encontraron vulnerabilidades sin resolver que al- guien podra aprovechar para llevar a cabo un ataque. De hecho, la cuarta parte de los sitios web vulnerables ya estaban infectados con cdigo dai- no (malware) que podra llegar a pro- vocar infecciones en los equipos de los visitantes o motivar la inclusin del sitio web en una lista negra. Estas cifras demuestran que millones de sitios web legtimos corren a diario el riesgo de sufrir un grave ataque y caer en manos de los cibercriminales. Sin embargo, segn el estudio de Symantec Las vulnerabilidades y su desconocimiento en las empresas, un tercio de los encuestados dan por sentado que sus sitios web son muy seguros, aunque nunca los han anali- zado para detectar posibles vulnera- bilidades o infecciones. 1 Tendra la impresin de que su dinero est a buen recaudo si su banco revelara por error los datos de la mitad de sus cuentas? El problema es que numerosas empresas no son conscien- tes del riesgo que suponen sus sitios web para el negocio, ni saben lo vulnerables que pueden llegar a ser si no se implantan sistemas de seguridad y supervisin adecuados. Por qu son tan peligrosas las vulnerabili- dades Por qu los cibercriminales atacan los sitios web? Porque saben que en Internet se mueve mucho dinero. En el ao 2002, las ventas del comercio electrnico ascendieron a 76 000 millones de euros y, solo 10 aos despus, la cifra alcanz los 175 500 millones. Hoy en da, en 2013, utilizan Internet aproximadamente 2700 millones de personas, lo que equivale a casi la mitad de la poblacin mundial 2 , y eso permite a los hackers hacerse con una gran cantidad datos perso- nales (y dinero) infectando sitios web. Lo primero que tiene que averiguar es por qu su empresa y su sitio web resultan atractivos para los cibercriminales. Es fundamental conocer las vulnerabi- lidades basadas en la tecnologa y en los procesos, pero adems tiene que comprender qu riesgo suponen y qu probabilidad existe de que alguien las aproveche. Cuanto menos sepa, ms fcil se lo pone a los hackers El inters que despierta un sitio web en los cibercrimi- nales no solo depende de lo que pueden conseguir al atacarlo: tambin influye la forma de alcanzar el obje- tivo. Los sitios web y los servidores en los que se basan presentan numerosas vulnerabilidades y la mayora de los propietarios no son conscientes de ellas, con lo que a los hackers les resulta muy fcil aprovecharlas. Por un lado, el alojamiento de sitios web es algo muy sencillo: basta pagar a una empresa que se ocupe de publicar su sitio web. Pero, por el otro, se trata de un proceso muy complejo en el que intervienen varias capas de software y hardware que deben funcionar a la perfeccin para que la seguridad est garantizada. Como parece que no entraa grandes dificultades, se tiende a dar por sentado que todo funciona bien. Al mismo tiempo, dado que los detalles tcnicos no estn al alcance de cualquiera, con frecuencia se cae en la tentacin de mirar para otro lado y esperar que alguien se ocupe de ellos. VULNERABILIDADES PELIGROSAS PARA SU SITIO WEB p. 4 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web Uno de los peligros a los que ms se exponen los sitios web es a sufrir un ataque de secuencias de comandos entre sitios. Sin embargo, a las empresas encuestadas por Symantec les parece el menos probable; en cambio, lo que ms temor les inspira son los ataques de fuerza bruta, que intentan acceder a los servidores en los que se alojan los sitios web. Aunque en realidad este tipo de ataque es menos frecuente, es lo que se suele ver en la televisin y el cine, con lo que resulta ms fcil imagi- nrselo. 3 Pero no se engae: la mayora de los ataques contra empresas no son obra de hackers expertos, sino de botnets que se dedican a analizar miles de sitios web para detectar vulnerabilidades. Tambin hay que recordar que la informacin errnea es tan peligrosa como la ignorancia, pues no solo impide encontrar las autnticas vulnerabilidades del sitio web sino que, adems, lleva a la empresa a malgastar el dinero destinando recursos de forma equivocada. Dnde estn sus puntos dbiles? Si se sabe aprovechar, basta una sola vulnerabilidad en una aplicacin para poner gravemente en peligro a una empresa, segn el informe sobre las amenazas para la seguridad de los sitios web (WSTR) de Symantec. 4 En 2012 se detectaron 5291 vulnerabilidades, mientras que el ao anterior la cifra haba sido de 4989, 5 as que no son en absoluto infrecuentes. Todas ellas constituyen una amenaza igualmente importante para la empresa, por lo que resulta vital conocer los tipos ms habituales a los que se enfrenta su sitio web. UNA FALSA SENSACIN DE SEGURIDAD PUEDE SALIR CARA En 2012, se hicieron pblicas 5291 vulnerabilidades, frente a las 4989 vulnerabilidades de 2011 p. 5 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web QU HACER PARA PROTEGERSE Vulnerabilidad Qu es Qu hacer para protegerse Servidores sin actualizar con las ltimas revisiones El ao pasado, el porcentaje de nuevas vulnerabilidades descubiertas fue de solo el 6 %, pero los ataques procedentes de sitios web infectados aumentaron en un 30 %. En la mayora de los casos, los ataques se deben a que no se han aplicado las revisiones necesarias para solucionar vulnerabilidades conocidas desde hace tiempo, segn el estudio de Symantec. Al igual que ocurre con los equipos domsticos, si el servidor del sitio web no se mantiene actualizado y no se instalan las ltimas revisiones, podra constituir un riesgo. Todos los certificados Symantec Extended Validation o Pro SSL incluyen evaluaciones peridicas de vulnerabilidad sin coste adicional, que se llevan a cabo de forma automtica y le avisarn cada vez que se encuentre una vulnerabilidad sin resolver. Accesos de personas no autorizadas Si se utilizan contraseas poco seguras, se revelan los nombres de usuario de los administradores o no se modifica la configuracin predeterminada del hardware de red y de los programas de uso habitual, ser fcil que alguien se haga pasar por un usuario legtimo para atacar los sistemas. Exija que se usen contraseas seguras e imponga controles estrictos de los accesos, preferentemente con un sistema de autenticacin de dos factores. Asegrese de que se comprueben todas las contraseas y la configuracin de todo nuevo hardware y software que se implante. Si no fueran suficientemente seguras, imponga que se cambien. En la medida de lo posible, conceda derechos de acceso de administrador nicamente a individuos de confianza con una trayectoria intachable, y solo para los sistemas a los que realmente necesiten acceder. Ataques de secuencias de comandos entre sitios Estos ataques consisten en inyectar cdigo procedente de un sitio web perteneciente a los malos en otro (el de su empresa). Esto permite a los hackers ejecutar su propio cdigo en su sitio web para atacar o infectar a los visitantes, o para engaarlos y lograr que revelen informacin valiosa (por ejemplo, contraseas). Mantenga siempre actualizado el software del servidor web para resolver las vulnerabilidades que permitan ataques de este tipo. Si el servidor utiliza cdigo personalizado, asegrese de que todos los datos que se introduzcan se sometan a un proceso riguroso de validacin. Lleve a cabo peridicamente anlisis contra software malicioso en sus sitios web para descubrir si ha habido cambios o se ha aadido cdigo inesperado. Ataques de fuerza bruta Como sugiere su nombre, estos ataques consisten simplemente en probar todas las contraseas y opciones de cifrado posibles hasta descubrir el cdigo que permite acceder a su sitio web. La situacin ms grave tiene lugar cuando los hackers han conseguido acceder a los datos cifrados y no se ha establecido un lmite en el nmero de intentos de inicio de sesin. Este tipo de ataque es habitual: de hecho, en ciertos sitios web de grandes dimensiones, se han detectado 500 intentos de acceso por fuerza bruta a la hora. 6 Cambie peridicamente las contraseas del servidor y del sistema de gestin de contenidos, adems de cifrar todos los datos. Utilice mtodos de cifrado actualizados, pues los algoritmos antiguos tienen puntos dbiles que resulta fcil aprovechar. Si su sitio web tiene un portal de inicio de sesin para clientes, limite el nmero de veces que se puede intentar iniciar la sesin y bloquee a las personas que lo intenten demasiadas veces seguidas con distintas contraseas. Por lo general, el software de servidor incluye esta funcin, pero compruebe que sea as. Vulnerabilidades de da cero Estas vulnerabilidades pasan inadvertidas hasta que alguien las aprovecha y lanza un ataque: ese momento en que se descubre el riesgo se denomina da cero. El ao pasado aument la frecuencia de este tipo de ataque, pues se descubrieron 14 nuevas vulnerabilidades de da cero. En el primer trimestre de 2013, Symantec ha encontrado 11 vulnerabilidades de da cero que afectaban a Oracle Java, Adobe Flash, Adobe Reader y Microsoft Internet Explorer. 7 Si su propia empresa se ocupa del alojamiento del sitio web, tiene que tomar medidas que reduzcan al mnimo las consecuencias en caso de que se produjera un ataque de este tipo. Compruebe que todas las aplicaciones estn actualizadas con las ltimas revisiones de seguridad. No existen revisiones que permitan evitar los ataques de da cero, pero contar con las actualizaciones ms recientes lo proteger frente a las vulnerabilidades ya detectadas. Las evaluaciones de vulnerabilidad automticas peridicas, como las que incluyen los certificados SSL de Symantec, ayudan a detectar lo antes posible los puntos dbiles en cuanto sean descubiertos. p. 6 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web 1. Para acceder a la informacin almacenada en su servidor y aprovechar las posibilidades que este ofrece. En los servidores web se almacena informacin de todo tipo, como datos de los clientes y contraseas. Adems, los hackers pueden usar los servidores infectados para distribuir cdigo daino (malware). En definitiva, estos ataques pueden dar lugar a fugas de datos, desconfianza entre los clientes y reduccin de las ventas, por lo que es importantsimo realizar evaluaciones de vulnerabilidad peridicas. 2. Para espiar la informacin que circula entre su empresa y los internautas. Los sitios web transmiten informacin a los internautas (y viceversa) constantemente. Si no cuenta con certificados SSL actualizados que cifren los datos, tanto su empresa como los visitantes del sitio web corren el riesgo de sufrir un ataque interposicin (man-in-the-middle). Muchos sitios web, como Facebook y Google, ya han implantado la de tecnologa SSL Always-On, que garantiza el cifrado de toda comunicacin que se establezca entre el sitio web y el servidor, independientemente de si el visitante ha pasado o no por una pgina de inicio de sesin. 8 3. Para instalar malware en los dispositivos de los internautas. Si un cibercriminal logra inyectar cdigo JavaScript oculto o unas cuantas lneas de cdigo que redirigen al usuario a otro sitio web capaz de instalar malware, todo internauta que visite su sitio web estar en peligro, y lo mismo ocurrir con el dispositivo que use para ello. El cdigo malicioso buscar vulnerabilidades en el equipo del visitante y, si encuentra una, descargar el malware. A partir de ese momento, los hackers podrn desde registrar las pulsaciones de teclas del usuario hasta acceder a sus archivos, pasando por bloquear el sistema o aprovecharlo para seguir distribuyendo malware. EFECTOS NOCIVOS DE LAS VULNERABILIDADES EN SU SITIO WEB Su sitio web es un vnculo entre usted y sus clientes, lo que significa que los hackers pueden aprovechar las vulnerabilidades principalmente de tres formas: Para acceder a la informacin almacenada en su servidor y aprovechar las posibilidades que este ofrece Para espiar la informacin que circula entre su empresa y los internautas Para instalar malware en los dispositivos de los internautas p. 7 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web Las vulnerabilidades de los sitios web son algo complejo y no siempre es fcil aprovecharlas. Sin embargo, existen bandas y cibercriminales emprendedores que desarrollan y venden kits de herramientas que tienen mucho xito, pues incluyen informacin sobre vulnerabilidades conocidas y el cdigo necesario para aprovecharlas. De este modo, los delincuentes con menos conocimien- tos tcnicos solo tienen que comprar o robar estos kits de herramientas para atacar sitios web. Por ejemplo, en el ao 2012, el kit Blackhole se utiliz para llevar a cabo el 41 % de los ataques realizados con kits de he- rramientas basados en web. Consecuencias tangibles Est muy bien hablar de vulnerabilidades en abstracto, pero no hay que olvidar que los efectos de un ataque basado en web son muy tangibles. Encontrar ms informacin sobre el mecanismo del malware en nuestro libro blanco How Malware Works (Cmo funciona el malware) 9 , pero tal vez le interese tambin conocer una serie de ejemplos reales recientes que demuestran lo peligrosas que pueden llegar a ser las vulnerabilidades: Ataques de inyeccin de SQL: segn el reciente informe sobre ataques a aplicaciones web elaborado por Imperva, por trmino medio las aplicaciones web sufrie- ron ataques 12 das al mes. Sin embargo, en el peor caso registrado, a lo largo de un semestre se produjeron ataques en 176 das, lo que significa que la aplicacin sufri ataques prcticamente a diario. La moraleja es que las empresas deberan definir sus medidas de seguridad en funcin del peor de los casos posibles, no del trmino medio, concluye el informe. 10 Datos sin cifrar: Kashmir Hill (periodista de Forbes) no solo consigui encontrar una lista de viviendas con una marca de software de domtica en concreto, sino que tambin descubri la manera de hackear el software y controlar los dispositivos electrnicos a distancia, y todo ello con solo realizar bsquedas en Google. No se necesitaba ningn nombre de usuario ni contrasea para acceder al sistema y, adems, la lista de clientes estaba al alcance de los rastreadores de los motores de bsqueda, as que la encontr con facilidad y rapidez. 11 Ataques de da cero: en mayo de 2013 se revel un ataque de da cero para el kernel de Linux que poda llegar a ser desastroso para los hosts web, pues exiga reiniciar todo el sistema, lo cual hizo que numerosos sitios web dejaran de estar disponibles sin previo aviso. 12 LA BATALLA ES MS FEROZ DE LO QUE IMAGINA p. 8 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web Aunque las empresas grandes pue- den reportar mayores beneficios a los atacantes, eso no significa que las pequeas estn a salvo. De hecho, segn el estudio Las vulne- rabilidades y su desconocimiento en las empresas, realizado por Syman- tec, los propietarios de pequeas empresas tienen menos informacin sobre la seguridad de sus sitios web que los de las ms grandes. Este desconocimiento supone un riesgo considerable, como demuestran las estadsticas: casi un tercio de los ataques dirigidos que tuvieron lugar en el ao 2012 afectaron a empre- sas de entre 1 y 250 empleados. 13 Los empleados y los procesos tambin cons- tituyen una vulnerabilidad Para proteger la empresa frente a las vulnerabilidades, la tecnologa por s sola no es suficiente. Es necesario for- mar a los empleados acerca de los riesgos del phishing y la ingeniera social, pues solo as ser posible evitar accesos no autorizados a los servidores y a los sistemas de gestin de contenidos. Adems, hay que implantar procesos rigurosos para actualizar las contraseas.
Symantec cuenta con una completa gama de soluciones que ayudan a las empresas a gestionar sus certificados SSL de forma eficiente. Con ellas, los administradores de los sitios web tienen controlados los certificados y reciben avisos puntualmente cuando falta poco para que caduquen. Adems, ciertos tipos de certificados tambin permiten gestionar los anlisis contra software malicioso y las evaluaciones de vulnerabilidad automatizadas que ya hemos mencionado. Entre las herramientas que ofrece Symantec tambin se encuentra el Certificate Intelligence Center, que resulta muy til en las empresas con numero- sos certificados SSL, pues permite supervisar y automati- zar su gestin. LAS EMPRESAS PEQUEAS TAMPOCO ESTN A SALVO 251 a 500 501 a 1 000 1 001 a 1 500 De 1 501 a 2 500 De 1 a 250 empleados En 2012, casi un tercio de los ataques se dirigieron a empresas de entre 1 y 250 empleados.
De 1 a 250 empleados En 2012, casi un tercio de los ataques se dirigieron a empresas de entre 1 y 250 empleados.
18 % en 2011 Aumento del 13 % 31 % 31 % 9 % 3 % 2 % 5 % 2012 p. 9 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web Tal vez sus clientes y los visitantes de su sitio web no estn completamente al da en lo que se refiere a vulnera- bilidades de sitios web, pero s que saben que navegar por Internet cons- tituye un riesgo importante para sus datos personales y sus dispositivos. Por lo tanto, buscarn indicios de que su empresa conoce los peligros y hace todo lo posible por garantizar su seguridad. Los certificados Extended Validation (EV) SSL, por ejem- plo, someten a la empresa y a su sitio web a un riguroso proceso de autenticacin que demuestra a los visitantes que el propietario es quien dice ser mediante un indica- dor muy claro: la barra de direcciones aparece de color verde. Se ha comprobado que este pequeo detalle puede marcar una gran diferencia a la hora de tranquilizar a los posibles clientes, pues en los sitios web protegidos con EV se ha registrado un aumento del 10 % o ms en la tasa de click-through de los compradores. 14 El WSTR de Symantec tambin revel que en 2012 au- ment el nmero de consumidores que visitan sitios web con distintivos de confianza como el sello Norton Secured, el ms conocido de Internet. 15 Adems, con la tecnologa Symantec Seal-in-Search, los internautas saben si un sitio web es seguro antes incluso de acceder a l, porque los motores de bsqueda muestran el sello Norton Secured junto al nombre del sitio en los resultados de las bsque- das. De este modo, su empresa inspira ms confianza entre los internautas, que visitarn su sitio web con la tranquilidad de que no corrern peligro en l. Alese con el mejor En lo que se refiere a las vulnerabilidades de los sitios web, sin duda, saber es poder. Lo que marca la diferencia en la lucha contra los cibercriminales es elegir el mejor aliado posible para detectar las vulnerabilidades y prote- gerse de ellas. Symantec ofrece una completa gama de soluciones de seguridad para sitios web, como la tecnologa EV, los dis- tintos algoritmos de cifrado, las evaluaciones de vulnera- bilidad y los anlisis contra software malicioso. La prueba de nuestra eficacia est en los altos estndares de nuestra propia seguridad: por ejemplo, nuestros procesos de autenticacin se someten a auditoras llevadas a cabo por KPMG y los centros de datos de nuestra infraestructura SSL y PKI garantizan una seguridad comparable a la que se exige para usos militares. Adems, el servicio Web Site Anti-Malware Scan de Symantec, incluido en nuestros certificados SSL, realiza una comprobacin externa y sirve de segunda barrera frente a los ataques. Gracias a esta funcin, ya no se arriesgar a que su sitio web acabe en la lista negra de algn motor de bsqueda. Si se ala con Symantec, contar con la ayuda de un gran experto del sector que le proporcionar todo lo necesario para garantizar la seguridad de su empresa y su sitio web. Para obtener ms informacin sobre Symantec Website Security Solutions, visite www.symantec.es/ssl TAMBIN PARA LOS CLIENTES SABER ES PODER Identied by Norton p. 10 Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web 1. Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera, https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf 2. The Internet: Then and Now (Internet, antes y ahora). WhoIsHostingThis?, http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#. 3. Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera, https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf 4. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013), https://www.symantec-wss.com/es 5. Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera, https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf 6. WP Sites Under Attack Across the Globe!!! (Ataques a sitios web de WP de todo el mundo!). Synthesis, http://websynthesis.com/wp-bruce-force-protection/. 7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities. 8. Facebook implements Always-On SSL (Facebook adopta la tecnologa SSL Always-On), http://www.symantec.com/connect/blogs/facebook-implements-always-ssl. 9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf. 10. Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute (Los minoristas sufren el doble de ataques de inyeccin de SQL que las dems empresas; por trmino medio, cada 26 minutos una aplicacin sufre un ataque), http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/. 11. Hacking Smart Homes (Hacking de casas inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes. 12. How We Kept You Safe During Yesterdays Zero-Day Security Emergency (Cmo garantizamos su seguridad durante la emergencia de ayer debida a una vulnerabilidad de da cero). Synthesis, http://websynthesis.com/zero-day-linux-exploit/. 13. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013), https://www.symantec-wss.com/es 14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html, visitado el 10 de septiembre de 2013. 15. Investigacin sobre consumo internacional en Internet realizada por Symantec WSS International: Estados Unidos, Alemania y Reino Unido, julio de 2012. REFERENCIAS Symantec Website Security Solutions Website Security Threat Report 2013 ACERCA DE SYMANTEC Symantec ofrece una amplia gama de soluciones de seguridad para sitios web, como el mejor cifrado SSL del sector, la gestin de los certificados, la evaluacin de vulnerabilidad y el anlisis contra software malicioso. Adems, el sello Norton Secured y la funcin Seal in Search de Symantec garantizan a los clientes que en su sitio web pueden realizar bsquedas, navegar y comprar sin ningn peligro. Para obtener ms informacin, visite www.symantec.es/ssl Symantec Website Security Solutions Vulnerabilidades peligrosas para su sitio web SGANOS Si desea los nmeros de telfono de algn pas en particular, consulte nuestro sitio web. Para obtener informacin sobre productos, llame al: 900 931 298 o +41 26 429 7727