VULNERABILIDADES

PELIGROSAS PARA SU SITIO WEB

SABER ES PODER:
GUÍA DE SYMANTEC SOBRE PROTECCIÓN DE SITIOS WEB
ÍNDICE
Vulnerabilidades peligrosas para su sitio web 3

Una falsa sensación de seguridad puede salir cara 4

Qué hacer para protegerse 5

Efectos nocivos de las vulnerabilidades en su sitio web 6

La batalla es más feroz de lo que imagina 7

Las empresas pequeñas tampoco están a salvo 8

También para los clientes saber es poder 9

Symantec Website Security Solutions

p. 2 Vulnerabilidades peligrosas para su sitio web
Vulnerabilidades peligrosas para
su sitio web
En el año 2012, Symantec realizó
análisis de vulnerabilidades en más
de 1400 sitios web al día y, en más
de la mitad de ellos, se encontraron
vulnerabilidades sin resolver que al-
guien podría aprovechar para llevar a
cabo un ataque. De hecho, la cuarta
parte de los sitios web vulnerables ya
estaban infectados con código dañi-
no (malware) que podría llegar a pro-
vocar infecciones en los equipos de
los visitantes o motivar la inclusión
del sitio web en una lista negra. Estas
cifras demuestran que millones de
sitios web legítimos corren a diario
el riesgo de sufrir un grave ataque y
caer en manos de los cibercriminales.
Sin embargo, según el estudio de
Symantec «Las vulnerabilidades y su
desconocimiento en las empresas»,
un tercio de los encuestados dan por
sentado que sus sitios web son muy
seguros, aunque nunca los han anali-
zado para detectar posibles vulnera-
bilidades o infecciones.1
p. 3
¿Tendría la impresión de que su dinero está a buen
recaudo si su banco revelara por error los datos de la
mitad de sus cuentas?
El problema es que numerosas empresas no son conscien-
tes del riesgo que suponen sus sitios web para el negocio,
ni saben lo vulnerables que pueden llegar a ser si no se
implantan sistemas de seguridad y supervisión adecuados.
Por qué son tan peligrosas las vulnerabili-
dades
¿Por qué los cibercriminales atacan los sitios web?
Porque saben que en Internet se mueve mucho dinero.
En el año 2002, las ventas del comercio electrónico
ascendieron a 76 000 millones de euros y, solo 10 años
después, la cifra alcanzó los 175 500 millones. Hoy en
día, en 2013, utilizan Internet aproximadamente
2700 millones de personas, lo que equivale a casi la
mitad de la población mundial2, y eso permite a los
hackers hacerse con una gran cantidad datos perso-
nales (y dinero) infectando sitios web.
Lo primero que tiene que averiguar es por qué su
empresa y su sitio web resultan atractivos para los
cibercriminales. Es fundamental conocer las vulnerabi-
lidades basadas en la tecnología y en los procesos, pero
además tiene que comprender qué riesgo suponen y qué
probabilidad existe de que alguien las aproveche.
Cuanto menos sepa, más fácil se lo pone a
los hackers
El interés que despierta un sitio web en los cibercrimi-
nales no solo depende de lo que pueden conseguir al
atacarlo: también influye la forma de alcanzar el obje-
tivo. Los sitios web y los servidores en los que se basan
presentan numerosas vulnerabilidades y la mayoría de
los propietarios no son conscientes de ellas, con lo que
a los hackers les resulta muy fácil aprovecharlas.
Por un lado, el alojamiento de sitios web es algo muy
sencillo: basta pagar a una empresa que se ocupe de
publicar su sitio web. Pero, por el otro, se trata de un
proceso muy complejo en el que intervienen varias
capas de software y hardware que deben funcionar a
la perfección para que la seguridad esté garantizada.
Como parece que no entraña grandes dificultades, se
tiende a dar por sentado que todo funciona bien. Al
mismo tiempo, dado que los detalles técnicos no están
al alcance de cualquiera, con frecuencia se cae en la
tentación de mirar para otro lado y esperar que alguien
se ocupe de ellos.
Symantec Website Security Solutions
Vulnerabilidades peligrosas para su sitio web
Una falsa sensación de seguridad puede
salir cara
Uno de los peligros a los que más se exponen los sitios ¿Dónde están sus puntos débiles?
web es a sufrir un ataque de secuencias de comandos
entre sitios. Sin embargo, a las empresas encuestadas
«Si se sabe aprovechar, basta una sola vulnerabilidad en
por Symantec les parece el menos probable; en cambio,
una aplicación para poner gravemente en peligro a una
lo que más temor les inspira son los ataques de fuerza
empresa», según el informe sobre las amenazas para la
bruta, que intentan acceder a los servidores en los que
seguridad de los sitios web (WSTR) de Symantec.4
se alojan los sitios web. Aunque en realidad este tipo de
ataque es menos frecuente, es lo que se suele ver en la
televisión y el cine, con lo que resulta más fácil imagi- En 2012 se detectaron 5291 vulnerabilidades, mientras
nárselo.3 Pero no se engañe: la mayoría de los ataques que el año anterior la cifra había sido de 4989,5 así que
contra empresas no son obra de hackers expertos, sino no son en absoluto infrecuentes. Todas ellas constituyen
de botnets que se dedican a analizar miles de sitios web una amenaza igualmente importante para la empresa, por
para detectar vulnerabilidades. lo que resulta vital conocer los tipos más habituales a los
que se enfrenta su sitio web.
También hay que recordar que la información errónea
es tan peligrosa como la ignorancia, pues no solo impide
encontrar las auténticas vulnerabilidades del sitio web
sino que, además, lleva a la empresa a malgastar el
dinero destinando recursos de forma equivocada.

En 2012, se hicieron públicas

5291 vulnerabilidades,
frente a las

4989 vulnerabilidades
de 2011

Symantec Website Security Solutions

p. 4 Vulnerabilidades peligrosas para su sitio web
Qué hacer para protegerse
Vulnerabilidad Qué es
Servidores sin El año pasado, el porcentaje de nuevas
actualizar con vulnerabilidades descubiertas fue de solo el
las últimas 6 %, pero los ataques procedentes de sitios web
infectados aumentaron en un 30 %. «En la mayoría
revisiones
de los casos, los ataques se deben a que no se han
aplicado las revisiones necesarias para solucionar
vulnerabilidades conocidas desde hace tiempo»,
según el estudio de Symantec.
Accesos de Si se utilizan contraseñas poco seguras, se revelan
personas no los nombres de usuario de los administradores o
autorizadas no se modifica la configuración predeterminada del
hardware de red y de los programas de uso habitual,
será fácil que alguien se haga pasar por un usuario
legítimo para atacar los sistemas.
Ataques de Estos ataques consisten en inyectar código
secuencias de procedente de un sitio web perteneciente a «los
comandos entre malos» en otro (el de su empresa). Esto permite a
los hackers ejecutar su propio código en su sitio
sitios
web para atacar o infectar a los visitantes, o para
engañarlos y lograr que revelen información valiosa
(por ejemplo, contraseñas).
Ataques de Como sugiere su nombre, estos ataques consisten
fuerza bruta simplemente en probar todas las contraseñas y
opciones de cifrado posibles hasta descubrir el
código que permite acceder a su sitio web.
La situación más grave tiene lugar cuando los
hackers han conseguido acceder a los datos
cifrados y no se ha establecido un límite en el
número de intentos de inicio de sesión.
Este tipo de ataque es habitual: de hecho, en
ciertos sitios web de grandes dimensiones, se
han detectado 500 intentos de acceso por fuerza
bruta a la hora.6
Vulnerabilidades Estas vulnerabilidades pasan inadvertidas hasta
de día cero que alguien las aprovecha y lanza un ataque: ese
momento en que se descubre el riesgo se denomina
«día cero». El año pasado aumentó la frecuencia
de este tipo de ataque, pues se descubrieron
14 nuevas vulnerabilidades de día cero. En el
primer trimestre de 2013, Symantec ha encontrado
11 vulnerabilidades de día cero que afectaban a
Oracle Java, Adobe Flash, Adobe Reader y Microsoft
Internet Explorer.7
p. 5
Qué hacer para protegerse
Al igual que ocurre con los equipos domésticos, si
el servidor del sitio web no se mantiene actualizado
y no se instalan las últimas revisiones, podría
constituir un riesgo.
Todos los certificados Symantec Extended Validation
o Pro SSL incluyen evaluaciones periódicas de
vulnerabilidad sin coste adicional, que se llevan a
cabo de forma automática y le avisarán cada vez que
se encuentre una vulnerabilidad sin resolver.
Exija que se usen contraseñas seguras e imponga
controles estrictos de los accesos, preferentemente
con un sistema de autenticación de dos factores.
Asegúrese de que se comprueben todas las
contraseñas y la configuración de todo nuevo
hardware y software que se implante. Si no fueran
suficientemente seguras, imponga que se cambien.
En la medida de lo posible, conceda derechos de
acceso de administrador únicamente a individuos de
confianza con una trayectoria intachable, y solo para
los sistemas a los que realmente necesiten acceder.
Mantenga siempre actualizado el software del
servidor web para resolver las vulnerabilidades
que permitan ataques de este tipo. Si el servidor
utiliza código personalizado, asegúrese de que
todos los datos que se introduzcan se sometan a
un proceso riguroso de validación. Lleve a cabo
periódicamente análisis contra software malicioso
en sus sitios web para descubrir si ha habido
cambios o se ha añadido código inesperado.
Cambie periódicamente las contraseñas del
servidor y del sistema de gestión de contenidos,
además de cifrar todos los datos.
Utilice métodos de cifrado actualizados, pues los
algoritmos antiguos tienen puntos débiles que
resulta fácil aprovechar.
Si su sitio web tiene un portal de inicio de sesión
para clientes, limite el número de veces que
se puede intentar iniciar la sesión y bloquee a
las personas que lo intenten demasiadas veces
seguidas con distintas contraseñas. Por lo general,
el software de servidor incluye esta función, pero
compruebe que sea así.
Si su propia empresa se ocupa del alojamiento del
sitio web, tiene que tomar medidas que reduzcan
al mínimo las consecuencias en caso de que se
produjera un ataque de este tipo. Compruebe que
todas las aplicaciones estén actualizadas con las
últimas revisiones de seguridad. No existen revisiones
que permitan evitar los ataques de día cero, pero
contar con las actualizaciones más recientes lo
protegerá frente a las vulnerabilidades ya detectadas.
Las evaluaciones de vulnerabilidad automáticas
periódicas, como las que incluyen los certificados SSL
de Symantec, ayudan a detectar lo antes posible los
puntos débiles en cuanto sean descubiertos.
Symantec Website Security Solutions
Vulnerabilidades peligrosas para su sitio web
Efectos nocivos de las vulnerabilidades
en su sitio web

Su sitio web es un vínculo entre usted y sus clientes, lo que significa que los
hackers pueden aprovechar las vulnerabilidades principalmente de tres formas:

1. Para acceder a la información almacenada en su servidor y aprovechar las posibilidades que este ofrece.
En los servidores web se almacena información de todo tipo, como datos de los clientes y contraseñas.
Además, los hackers pueden usar los servidores infectados para distribuir código dañino (malware). En
definitiva, estos ataques pueden dar lugar a fugas de datos, desconfianza entre los clientes y reducción de las
ventas, por lo que es importantísimo realizar evaluaciones de vulnerabilidad periódicas.

2. Para espiar la información que circula entre su empresa y los internautas. Los sitios web transmiten
información a los internautas (y viceversa) constantemente. Si no cuenta con certificados SSL actualizados
que cifren los datos, tanto su empresa como los visitantes del sitio web corren el riesgo de sufrir un ataque
interposición (man-in-the-middle). Muchos sitios web, como Facebook y Google, ya han implantado la
de tecnología SSL Always-On, que garantiza el cifrado de toda comunicación que se establezca entre el sitio
web y el servidor, independientemente de si el visitante ha pasado o no por una página de inicio de sesión.8

3. Para instalar malware en los dispositivos de los internautas. Si un cibercriminal logra inyectar código
JavaScript oculto o unas cuantas líneas de código que redirigen al usuario a otro sitio web capaz de instalar
malware, todo internauta que visite su sitio web estará en peligro, y lo mismo ocurrirá con el dispositivo que
use para ello. El código malicioso buscará vulnerabilidades en el equipo del visitante y, si encuentra una,
descargará el malware. A partir de ese momento, los hackers podrán desde registrar las pulsaciones de teclas
del usuario hasta acceder a sus archivos, pasando por bloquear el sistema o aprovecharlo para seguir
distribuyendo malware.

Para acceder a Para espiar la Para instalar malware

la información información que circula en los dispositivos de
almacenada en su entre su empresa y los los internautas
servidor y aprovechar internautas
las posibilidades que
este ofrece

Symantec Website Security Solutions

p. 6 Vulnerabilidades peligrosas para su sitio web
La batalla es más feroz de lo que imagina
Las vulnerabilidades de los sitios
web son algo complejo y no siempre
es fácil aprovecharlas. Sin embargo,
existen bandas y cibercriminales
emprendedores que desarrollan y
venden kits de herramientas que
tienen mucho éxito, pues incluyen
información sobre vulnerabilidades
conocidas y el código necesario para
aprovecharlas. De este modo, los
delincuentes con menos conocimien-
tos técnicos solo tienen que comprar
o robar estos kits de herramientas
para atacar sitios web. Por ejemplo,
en el año 2012, el kit Blackhole se
utilizó para llevar a cabo el 41 % de
los ataques realizados con kits de he-
rramientas basados en web.
p. 7
Consecuencias tangibles
Está muy bien hablar de vulnerabilidades en abstracto,
pero no hay que olvidar que los efectos de un ataque
basado en web son muy tangibles. Encontrará más
información sobre el mecanismo del malware en nuestro
libro blanco How Malware Works (Cómo funciona el
malware)9, pero tal vez le interese también conocer una
serie de ejemplos reales recientes que demuestran lo
peligrosas que pueden llegar a ser las vulnerabilidades:
• Ataques de inyección de SQL: según el reciente
informe sobre ataques a aplicaciones web elaborado por
Imperva, por término medio las aplicaciones web sufrie-
ron ataques 12 días al mes. Sin embargo, en el peor
caso registrado, a lo largo de un semestre se produjeron
ataques en 176 días, lo que significa que la aplicación
sufrió ataques prácticamente a diario. «La moraleja
es que las empresas deberían definir sus medidas de
seguridad en función del peor de los casos posibles, no
del término medio», concluye el informe.10
• Datos sin cifrar: Kashmir Hill (periodista de Forbes)
no solo consiguió encontrar una lista de viviendas con
una marca de software de domótica en concreto, sino
que también descubrió la manera de hackear el software
y controlar los dispositivos electrónicos a distancia, y
todo ello con solo realizar búsquedas en Google. No se
necesitaba ningún nombre de usuario ni contraseña
para acceder al sistema y, además, la lista de clientes
estaba al alcance de los rastreadores de los motores de
búsqueda, así que la encontró con facilidad y rapidez.11
• Ataques de día cero: en mayo de 2013 se reveló un
ataque de día cero para el kernel de Linux que podía
llegar a ser desastroso para los hosts web, pues exigía
reiniciar todo el sistema, lo cual hizo que numerosos
sitios web dejaran de estar disponibles sin previo aviso.12
Symantec Website Security Solutions
Vulnerabilidades peligrosas para su sitio web
Las empresas pequeñas tampoco están
a salvo
Aunque las empresas grandes pue-
den reportar mayores beneficios
a los atacantes, eso no significa
que las pequeñas estén a salvo. De
hecho, según el estudio «Las vulne-
rabilidades y su desconocimiento en
las empresas», realizado por Syman-
tec, los propietarios de pequeñas
empresas tienen menos información
sobre la seguridad de sus sitios web
que los de las más grandes. Este
desconocimiento supone un riesgo
considerable, como demuestran las
estadísticas: casi un tercio de los
ataques dirigidos que tuvieron lugar
en el año 2012 afectaron a empre-
sas de entre 1 y 250 empleados.13
9%
2%
3%
5%
Aumento del
13 %
31 %
18 %
en 2011
2012
p. 8
Los empleados y los procesos también cons-
tituyen una vulnerabilidad
Para proteger la empresa frente a las vulnerabilidades,
la tecnología por sí sola no es suficiente. Es necesario for-
mar a los empleados acerca de los riesgos del phishing
y la ingeniería social, pues solo así será posible evitar
accesos no autorizados a los servidores y a los sistemas
de gestión de contenidos. Además, hay que implantar
procesos rigurosos para actualizar las contraseñas.
Symantec cuenta con una completa gama de soluciones
que ayudan a las empresas a gestionar sus certificados
SSL de forma eficiente. Con ellas, los administradores
de los sitios web tienen controlados los certificados y
reciben avisos puntualmente cuando falta poco para que
caduquen. Además, ciertos tipos de certificados también
permiten gestionar los análisis contra software malicioso
y las evaluaciones de vulnerabilidad automatizadas que
ya hemos mencionado. Entre las herramientas que ofrece
Symantec también se encuentra el Certificate Intelligence
Center, que resulta muy útil en las empresas con numero-
sos certificados SSL, pues permite supervisar y automati-
zar su gestión.
De 1 501 a 2 500
1 001 a 1 500
501 a 1 000
251 a 500
De 1 a 250 empleados
En 2012, casi un tercio de los
ataques se dirigieron a empresas
de entre 1 y 250 empleados.
Symantec Website Security Solutions
Vulnerabilidades peligrosas para su sitio web
También para los clientes saber es poder
Tal vez sus clientes y los visitantes de
su sitio web no estén completamente
al día en lo que se refiere a vulnera-
bilidades de sitios web, pero sí que
saben que navegar por Internet cons-
tituye un riesgo importante para sus
datos personales y sus dispositivos.
Por lo tanto, buscarán indicios de
que su empresa conoce los peligros y
hace todo lo posible por garantizar su
seguridad.
Los certificados Extended Validation (EV) SSL, por ejem-
plo, someten a la empresa y a su sitio web a un riguroso
proceso de autenticación que demuestra a los visitantes
que el propietario es quien dice ser mediante un indica-
dor muy claro: la barra de direcciones aparece de color
verde. Se ha comprobado que este pequeño detalle puede
marcar una gran diferencia a la hora de tranquilizar a los
posibles clientes, pues en los sitios web protegidos con EV
se ha registrado un aumento del 10 % o más en la tasa de
click-through de los compradores.14
Identified by Norton
El WSTR de Symantec también reveló que en 2012 au-
mentó el número de consumidores que visitan sitios web
con distintivos de confianza como el sello Norton Secured,
el más conocido de Internet.15 Además, con la tecnología
Symantec Seal-in-Search, los internautas saben si un sitio
web es seguro antes incluso de acceder a él, porque los
motores de búsqueda muestran el sello Norton Secured
junto al nombre del sitio en los resultados de las búsque-
das. De este modo, su empresa inspira más confianza
entre los internautas, que visitarán su sitio web con la
tranquilidad de que no correrán peligro en él.
p. 9
Alíese con el mejor
En lo que se refiere a las vulnerabilidades de los sitios
web, sin duda, saber es poder. Lo que marca la diferencia
en la lucha contra los cibercriminales es elegir el mejor
aliado posible para detectar las vulnerabilidades y prote-
gerse de ellas.
Symantec ofrece una completa gama de soluciones de
seguridad para sitios web, como la tecnología EV, los dis-
tintos algoritmos de cifrado, las evaluaciones de vulnera-
bilidad y los análisis contra software malicioso. La prueba
de nuestra eficacia está en los altos estándares de nuestra
propia seguridad: por ejemplo, nuestros procesos de
autenticación se someten a auditorías llevadas a cabo por
KPMG y los centros de datos de nuestra infraestructura
SSL y PKI garantizan una seguridad comparable a la que
se exige para usos militares.
Además, el servicio Web Site Anti-Malware Scan de
Symantec, incluido en nuestros certificados SSL, realiza
una comprobación externa y sirve de segunda barrera
frente a los ataques. Gracias a esta función, ya no se
arriesgará a que su sitio web acabe en la lista negra de
algún motor de búsqueda.
Si se alía con Symantec, contará con la ayuda de un gran
experto del sector que le proporcionará todo lo necesario
para garantizar la seguridad de su empresa y su sitio web.
Para obtener más información sobre Symantec Website
Security Solutions, visite www.symantec.es/ssl
Symantec Website Security Solutions
Vulnerabilidades peligrosas para su sitio web
Referencias
1. Evaluación de vulnerabilidad de Symantec - ¿Se siente vulnerable? Pues debería,
https://www.symantec-wss.com/campaigns/14601/cala/assets/VA-WhitePaper-CALA.pdf

2. The Internet: Then and Now (Internet, antes y ahora). WhoIsHostingThis?,

http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.

3. Evaluación de vulnerabilidad de Symantec - ¿Se siente vulnerable? Pues debería,

https://www.symantec-wss.com/campaigns/14601/cala/assets/VA-WhitePaper-CALA.pdf

4. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/es

5. Evaluación de vulnerabilidad de Symantec - ¿Se siente vulnerable? Pues debería,

https://www.symantec-wss.com/campaigns/14601/cala/assets/VA-WhitePaper-CALA.pdf

6. WP Sites Under Attack Across the Globe!!! (¡Ataques a sitios web de WP de todo el mundo!).
Synthesis, http://websynthesis.com/wp-bruce-force-protection/.

7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities.

8. Facebook implements Always-On SSL (Facebook adopta la tecnología SSL Always-On),

http://www.symantec.com/connect/blogs/facebook-implements-always-ssl.

9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf.

10. Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute
(Los minoristas sufren el doble de ataques de inyección de SQL que las demás empresas; por término medio, cada 26 minutos una
aplicación sufre un ataque), http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/.

11. Hacking Smart Homes (Hacking de casas inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes.

12. How We Kept You Safe During Yesterday’s Zero-Day Security Emergency (Cómo garantizamos su seguridad durante la emergencia de ayer
debida a una vulnerabilidad de día cero). Synthesis, http://websynthesis.com/zero-day-linux-exploit/.

13. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/es

14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html, visitado el 10 de septiembre de 2013.

15. Investigación sobre consumo internacional en Internet realizada por Symantec WSS International: Estados Unidos, Alemania y Reino Unido,
julio de 2012.

Symantec Website Security Solutions

p. 10 Vulnerabilidades peligrosas para su sitio web
ACERCA DE SYMANTEC
Symantec ofrece una amplia gama de soluciones de seguridad para sitios
web, como el mejor cifrado SSL del sector, la gestión de los certificados, la
evaluación de vulnerabilidad y el análisis contra software malicioso. Además,
el sello Norton™ Secured y la función Seal in Search de Symantec garantizan
a los clientes que en su sitio web pueden realizar búsquedas, navegar y
comprar sin ningún peligro.

Para obtener más información, visite www.symantec.es/ssl

Symantec
Symantec Website
Website Security
Security Solutions
Solutions
Vulnerabilidades peligrosas
Website Security para Report
Threat su sitio2013
web
 SÍGANOS

Si desea los números de teléfono de algún país en

particular, consulte nuestro sitio web.

Para obtener información sobre productos, llame al:

900 931 298 o +41 26 429 7727

Symantec España
Symantec Spain S.L. Parque Empresarial
La Finca – Somosaguas,
Edificio 13, oficina D1, 28223, Pozuelo de Alarcón,
Madrid, España

www.symantec.es/ssl