Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Symantec Knowledge Is Power WhitePaper CALA PDF
Symantec Knowledge Is Power WhitePaper CALA PDF
SABER ES PODER:
GUÍA DE SYMANTEC SOBRE PROTECCIÓN DE SITIOS WEB
ÍNDICE
Vulnerabilidades peligrosas para su sitio web 3
En el año 2012, Symantec realizó ¿Tendría la impresión de que su dinero está a buen
recaudo si su banco revelara por error los datos de la
análisis de vulnerabilidades en más mitad de sus cuentas?
de 1400 sitios web al día y, en más
El problema es que numerosas empresas no son conscien-
de la mitad de ellos, se encontraron tes del riesgo que suponen sus sitios web para el negocio,
vulnerabilidades sin resolver que al- ni saben lo vulnerables que pueden llegar a ser si no se
implantan sistemas de seguridad y supervisión adecuados.
guien podría aprovechar para llevar a
cabo un ataque. De hecho, la cuarta Por qué son tan peligrosas las vulnerabili-
parte de los sitios web vulnerables ya dades
estaban infectados con código dañi-
¿Por qué los cibercriminales atacan los sitios web?
no (malware) que podría llegar a pro- Porque saben que en Internet se mueve mucho dinero.
vocar infecciones en los equipos de En el año 2002, las ventas del comercio electrónico
ascendieron a 76 000 millones de euros y, solo 10 años
los visitantes o motivar la inclusión después, la cifra alcanzó los 175 500 millones. Hoy en
día, en 2013, utilizan Internet aproximadamente
del sitio web en una lista negra. Estas 2700 millones de personas, lo que equivale a casi la
cifras demuestran que millones de mitad de la población mundial2, y eso permite a los
hackers hacerse con una gran cantidad datos perso-
sitios web legítimos corren a diario nales (y dinero) infectando sitios web.
el riesgo de sufrir un grave ataque y
Lo primero que tiene que averiguar es por qué su
caer en manos de los cibercriminales. empresa y su sitio web resultan atractivos para los
cibercriminales. Es fundamental conocer las vulnerabi-
lidades basadas en la tecnología y en los procesos, pero
además tiene que comprender qué riesgo suponen y qué
Sin embargo, según el estudio de probabilidad existe de que alguien las aproveche.
Symantec «Las vulnerabilidades y su
desconocimiento en las empresas», Cuanto menos sepa, más fácil se lo pone a
un tercio de los encuestados dan por los hackers
sentado que sus sitios web son muy El interés que despierta un sitio web en los cibercrimi-
seguros, aunque nunca los han anali- nales no solo depende de lo que pueden conseguir al
atacarlo: también influye la forma de alcanzar el obje-
zado para detectar posibles vulnera- tivo. Los sitios web y los servidores en los que se basan
presentan numerosas vulnerabilidades y la mayoría de
bilidades o infecciones.1 los propietarios no son conscientes de ellas, con lo que
a los hackers les resulta muy fácil aprovecharlas.
5291 vulnerabilidades,
frente a las
4989 vulnerabilidades
de 2011
Servidores sin El año pasado, el porcentaje de nuevas Al igual que ocurre con los equipos domésticos, si
actualizar con vulnerabilidades descubiertas fue de solo el el servidor del sitio web no se mantiene actualizado
las últimas 6 %, pero los ataques procedentes de sitios web y no se instalan las últimas revisiones, podría
infectados aumentaron en un 30 %. «En la mayoría constituir un riesgo.
revisiones
de los casos, los ataques se deben a que no se han
aplicado las revisiones necesarias para solucionar Todos los certificados Symantec Extended Validation
vulnerabilidades conocidas desde hace tiempo», o Pro SSL incluyen evaluaciones periódicas de
según el estudio de Symantec. vulnerabilidad sin coste adicional, que se llevan a
cabo de forma automática y le avisarán cada vez que
se encuentre una vulnerabilidad sin resolver.
Accesos de Si se utilizan contraseñas poco seguras, se revelan Exija que se usen contraseñas seguras e imponga
personas no los nombres de usuario de los administradores o controles estrictos de los accesos, preferentemente
autorizadas no se modifica la configuración predeterminada del con un sistema de autenticación de dos factores.
hardware de red y de los programas de uso habitual, Asegúrese de que se comprueben todas las
será fácil que alguien se haga pasar por un usuario contraseñas y la configuración de todo nuevo
legítimo para atacar los sistemas. hardware y software que se implante. Si no fueran
suficientemente seguras, imponga que se cambien.
En la medida de lo posible, conceda derechos de
acceso de administrador únicamente a individuos de
confianza con una trayectoria intachable, y solo para
los sistemas a los que realmente necesiten acceder.
Ataques de Estos ataques consisten en inyectar código Mantenga siempre actualizado el software del
secuencias de procedente de un sitio web perteneciente a «los servidor web para resolver las vulnerabilidades
comandos entre malos» en otro (el de su empresa). Esto permite a que permitan ataques de este tipo. Si el servidor
los hackers ejecutar su propio código en su sitio utiliza código personalizado, asegúrese de que
sitios
web para atacar o infectar a los visitantes, o para todos los datos que se introduzcan se sometan a
engañarlos y lograr que revelen información valiosa un proceso riguroso de validación. Lleve a cabo
(por ejemplo, contraseñas). periódicamente análisis contra software malicioso
en sus sitios web para descubrir si ha habido
cambios o se ha añadido código inesperado.
Ataques de Como sugiere su nombre, estos ataques consisten Cambie periódicamente las contraseñas del
fuerza bruta simplemente en probar todas las contraseñas y servidor y del sistema de gestión de contenidos,
opciones de cifrado posibles hasta descubrir el además de cifrar todos los datos.
código que permite acceder a su sitio web.
Utilice métodos de cifrado actualizados, pues los
La situación más grave tiene lugar cuando los algoritmos antiguos tienen puntos débiles que
hackers han conseguido acceder a los datos resulta fácil aprovechar.
cifrados y no se ha establecido un límite en el
número de intentos de inicio de sesión. Si su sitio web tiene un portal de inicio de sesión
para clientes, limite el número de veces que
Este tipo de ataque es habitual: de hecho, en se puede intentar iniciar la sesión y bloquee a
ciertos sitios web de grandes dimensiones, se las personas que lo intenten demasiadas veces
han detectado 500 intentos de acceso por fuerza seguidas con distintas contraseñas. Por lo general,
bruta a la hora.6 el software de servidor incluye esta función, pero
compruebe que sea así.
Vulnerabilidades Estas vulnerabilidades pasan inadvertidas hasta Si su propia empresa se ocupa del alojamiento del
de día cero que alguien las aprovecha y lanza un ataque: ese sitio web, tiene que tomar medidas que reduzcan
momento en que se descubre el riesgo se denomina al mínimo las consecuencias en caso de que se
«día cero». El año pasado aumentó la frecuencia produjera un ataque de este tipo. Compruebe que
de este tipo de ataque, pues se descubrieron todas las aplicaciones estén actualizadas con las
14 nuevas vulnerabilidades de día cero. En el últimas revisiones de seguridad. No existen revisiones
primer trimestre de 2013, Symantec ha encontrado que permitan evitar los ataques de día cero, pero
11 vulnerabilidades de día cero que afectaban a contar con las actualizaciones más recientes lo
Oracle Java, Adobe Flash, Adobe Reader y Microsoft protegerá frente a las vulnerabilidades ya detectadas.
Internet Explorer.7
Las evaluaciones de vulnerabilidad automáticas
periódicas, como las que incluyen los certificados SSL
de Symantec, ayudan a detectar lo antes posible los
puntos débiles en cuanto sean descubiertos.
Su sitio web es un vínculo entre usted y sus clientes, lo que significa que los
hackers pueden aprovechar las vulnerabilidades principalmente de tres formas:
1. Para acceder a la información almacenada en su servidor y aprovechar las posibilidades que este ofrece.
En los servidores web se almacena información de todo tipo, como datos de los clientes y contraseñas.
Además, los hackers pueden usar los servidores infectados para distribuir código dañino (malware). En
definitiva, estos ataques pueden dar lugar a fugas de datos, desconfianza entre los clientes y reducción de las
ventas, por lo que es importantísimo realizar evaluaciones de vulnerabilidad periódicas.
2. Para espiar la información que circula entre su empresa y los internautas. Los sitios web transmiten
información a los internautas (y viceversa) constantemente. Si no cuenta con certificados SSL actualizados
que cifren los datos, tanto su empresa como los visitantes del sitio web corren el riesgo de sufrir un ataque
interposición (man-in-the-middle). Muchos sitios web, como Facebook y Google, ya han implantado la
de tecnología SSL Always-On, que garantiza el cifrado de toda comunicación que se establezca entre el sitio
web y el servidor, independientemente de si el visitante ha pasado o no por una página de inicio de sesión.8
3. Para instalar malware en los dispositivos de los internautas. Si un cibercriminal logra inyectar código
JavaScript oculto o unas cuantas líneas de código que redirigen al usuario a otro sitio web capaz de instalar
malware, todo internauta que visite su sitio web estará en peligro, y lo mismo ocurrirá con el dispositivo que
use para ello. El código malicioso buscará vulnerabilidades en el equipo del visitante y, si encuentra una,
descargará el malware. A partir de ese momento, los hackers podrán desde registrar las pulsaciones de teclas
del usuario hasta acceder a sus archivos, pasando por bloquear el sistema o aprovecharlo para seguir
distribuyendo malware.
Aunque las empresas grandes pue- Los empleados y los procesos también cons-
tituyen una vulnerabilidad
den reportar mayores beneficios
Para proteger la empresa frente a las vulnerabilidades,
a los atacantes, eso no significa la tecnología por sí sola no es suficiente. Es necesario for-
que las pequeñas estén a salvo. De mar a los empleados acerca de los riesgos del phishing
y la ingeniería social, pues solo así será posible evitar
hecho, según el estudio «Las vulne- accesos no autorizados a los servidores y a los sistemas
de gestión de contenidos. Además, hay que implantar
rabilidades y su desconocimiento en procesos rigurosos para actualizar las contraseñas.
las empresas», realizado por Syman-
tec, los propietarios de pequeñas Symantec cuenta con una completa gama de soluciones
que ayudan a las empresas a gestionar sus certificados
empresas tienen menos información SSL de forma eficiente. Con ellas, los administradores
sobre la seguridad de sus sitios web de los sitios web tienen controlados los certificados y
reciben avisos puntualmente cuando falta poco para que
que los de las más grandes. Este caduquen. Además, ciertos tipos de certificados también
permiten gestionar los análisis contra software malicioso
desconocimiento supone un riesgo y las evaluaciones de vulnerabilidad automatizadas que
considerable, como demuestran las ya hemos mencionado. Entre las herramientas que ofrece
Symantec también se encuentra el Certificate Intelligence
estadísticas: casi un tercio de los Center, que resulta muy útil en las empresas con numero-
ataques dirigidos que tuvieron lugar sos certificados SSL, pues permite supervisar y automati-
zar su gestión.
en el año 2012 afectaron a empre-
sas de entre 1 y 250 empleados.13
9% De 1 501 a 2 500
2% 1 001 a 1 500
3% 501 a 1 000
5% 251 a 500
Aumento del
13 %
De 1 a 250 empleados
31 % En 2012, casi un tercio de los
ataques se dirigieron a empresas
18 % de entre 1 y 250 empleados.
en 2011
2012
4. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/es
6. WP Sites Under Attack Across the Globe!!! (¡Ataques a sitios web de WP de todo el mundo!).
Synthesis, http://websynthesis.com/wp-bruce-force-protection/.
7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities.
9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf.
10. Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute
(Los minoristas sufren el doble de ataques de inyección de SQL que las demás empresas; por término medio, cada 26 minutos una
aplicación sufre un ataque), http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/.
12. How We Kept You Safe During Yesterday’s Zero-Day Security Emergency (Cómo garantizamos su seguridad durante la emergencia de ayer
debida a una vulnerabilidad de día cero). Synthesis, http://websynthesis.com/zero-day-linux-exploit/.
13. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/es
15. Investigación sobre consumo internacional en Internet realizada por Symantec WSS International: Estados Unidos, Alemania y Reino Unido,
julio de 2012.
Symantec
Symantec Website
Website Security
Security Solutions
Solutions
Vulnerabilidades peligrosas
Website Security para Report
Threat su sitio2013
web
SÍGANOS
Symantec España
Symantec Spain S.L. Parque Empresarial
La Finca – Somosaguas,
Edificio 13, oficina D1, 28223, Pozuelo de Alarcón,
Madrid, España
www.symantec.es/ssl