Pasos sencillos para tener

un sitio web seguro en 2016

1 9 0 5
2 0 1 6
3 1 2 7

GUÍA DE SEGURIDAD EN LOS SITIOS WEB

En el año 2013, las fugas de datos dejaron
al descubierto 384 millones de identidades,
lo que equivale a toda la población de
Europa Occidental.

Si su sitio web no está bien protegido frente

a los ataques de los hackers, además de
tener que lidiar con las protestas airadas
de los clientes, tal vez deba hacer frente a
sanciones por incumplir la normativa y se
gane una pésima imagen en los medios de
comunicación.
Por qué merece la pena tener un sitio
web bien protegido
El sitio web puede resultar muy útil para impulsar el crecimiento de la empresa,
pero también puede dañar gravemente el negocio. No queremos abrumarle con
estadísticas alarmantes y jerga técnica, pero sí insistimos en que conocer bien
los riesgos es tan importante como tener en cuenta las oportunidades. Para ello,
lo primero que tiene que saber es qué hacen los clientes en su sitio web:

4 Comprar algo
Se calcula que en Europa las ventas electrónicas pasarán de un 12,7 % a un 21,5 % de aquí al año 2018.
Las compras por Internet constituyen una parte vital de la economía, pero los clientes cada vez son más
prudentes y, antes de facilitar el número de su tarjeta de crédito, comprueban que las empresas hagan
todo lo posible por proteger sus datos.

4 Leer su blog
Según los especialistas en software de comercio electrónico de Selz, casi la mitad de los clientes leen
reseñas y blogs antes de hacer una compra por Internet. De hecho, el 13 % de los consumidores decla­
ran que han adquirido algo debido a una publicación en un blog.
Para que su blog reciba más visitas, no basta con publicar contenidos de calidad, sino que también es
imprescindible proteger bien el sitio web para que no acabe en las listas negras de Google y para que los
lectores no corran el riesgo de infectarse con software malicioso.

4 Escribir sus datos en una página de entrada

Con el marketing de atracción (también llamado inbound marketing), el coste por cliente potencial es un
61 % menor que con las técnicas tradicionales. Además, los profesionales que adoptan estrategias de
marketing de atracción logran una tasa de conversión que casi duplica la de los demás (el 12 en lugar
del 6 %).
En consecuencia, debe evitar a toda costa que la gente desconfíe de su sitio web y sea reacia a facilitar
sus datos de contacto en la página de entrada.

4 Realizar otro tipo de transacción, como concertar una cita

Los consumidores se han acostumbrado a la posibilidad de comprar de forma eficiente y sencilla a cual­
quier hora del día y cualquier día de la semana gracias a sitios web como Amazon, y ahora se esperan

1 9 0
disfrutar de esa misma comodidad al tratar con todo tipo de empresas.
Si permite a los internautas concertar una cita o llevar a cabo otro tipo de transacción no financiera en
su sitio web, podrán comunicarse con su empresa con un sistema que les resulta familiar y en cualquier
momento podrán convertirse en clientes.

3 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
4 Solicitar una versión de prueba gratuita
Según 37 Signals, «las empresas inteligentes saben que regalar versiones de prueba es un método
excelente para atraer a los clientes».
Las versiones gratuitas de aplicaciones para móviles u otro tipo de programas permiten a los potenciales
clientes utilizar la interfaz de usuario y probar las funciones para ver si se ajustan a sus exigencias.
Sin embargo, nadie cargará sus datos en su software si no garantiza la seguridad.

4 Descargar una aplicación

Según las previsiones de Gigaom, en el año 2018 los ingresos de los desarrolladores de la Unión
Europea ascenderán a 85 300 millones de dólares, lo cual no es de extrañar, pues los estudios de
comScore demuestran que ahora pasamos más tiempo usando aplicaciones en dispositivos móviles que
conectados a Internet en el ordenador de sobremesa.
Sin embargo, en el Informe de Symantec sobre las amenazas para la seguridad en Internet se señala que
hay delincuentes que se dedican a «introducir código malicioso dentro de aplicaciones legítimas» o a
«crear nuevas aplicaciones maliciosas que parecen contener funciones útiles».
Para proteger a sus clientes, es imprescindible recurrir a un sistema seguro de firma de código y a
tiendas legítimas.

4 Buscar información sobre su empresa o sus productos

«Ahora que la búsqueda de información en Internet desempeña un papel más importante en las compras
de gran envergadura, el 60 % de los consumidores empiezan por visitar un buscador para luego acceder al
sitio web del minorista», explica Toni White, CMO de finanzas de la venta al detalle en GE Capital.
Aunque un consumidor no vaya a interactuar con usted de forma activa en su sitio web, sí se hará una
opinión de su empresa en función de cómo se presente y qué actitud adopte con respecto a la seguridad.

4 Comunicarse con su empresa

Según los estudios de Forrester, el 44 % de los consumidores online aseguran que el hecho de tener a su
disposición una persona que responda a sus dudas durante una compra por Internet constituye una de las
funciones más importantes que puede ofrecer un sitio web.
Así, los servicios de asistencia online y los formularios de contacto resultan útiles para satisfacer o superar
las expectativas de los clientes, pero también exigen proteger los datos que se intercambian con estos
sistemas.

4 D
 onar dinero (por ejemplo, a organizaciones sin ánimo de lucro o campañas de
financiación colectiva)
Según un informe de Massolution, en 2016 se obtendrán más fondos a través del micromecenazgo que
mediante el capital de riesgo. En 2014 se obtuvieron de este modo 16 000 millones de dólares, y se calcula

1 9 0
que en 2015 se habrán conseguido 34 000 millones. En cuanto la recaudación de fondos para la caridad,
14 000 millones de personas realizaron donaciones en 2015.
Por lo tanto, no solo los sitios web de comercio electrónico tienen que inspirar confianza en las personas
que estén pensando si facilitar o no los datos de su tarjeta de crédito.

4 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
4 Compartir contenidos en las redes sociales
«El concepto de social proof o “demostración social” se refiere al hecho de que las personas tienden a imi­
tar las acciones de los demás porque dan por hecho que estas constituyen el comportamiento correcto»,
explica Ed Hallen, de Buffer.
Así, los contenidos que se publican en las redes sociales se pueden convertir en un instrumento de marketing
muy influyente, pero los consumidores tienen que confiar en su sitio web antes de compartirlo con sus ami­
gos, porque no quieren ser responsables de bloquear el ordenador de sus compañeros (o incluso algo peor).

4 Realizar transacciones bancarias por Internet

Cada vez se realizan más transacciones bancarias en línea, por lo que en 2014 las pérdidas producidas por
el fraude bancario aumentaron un 48 % con respecto a 2013. Pero esto no significa que deba pasar por
alto la tendencia a realizar transacciones bancarias por Internet.
En palabras de Richard Levy, director de marketing de MoneyGram en el Reino Unido: «La tecnología
digital ha hecho que aumenten las expectativas de los consumidores, que se han acostumbrado a marcas
como Amazon, y los servicios financieros tienen que ponerse a la altura».

Este año, adelántese a la competencia

Imaginemos que ha decidido empezar a correr este año. Será mucho más
probable que cumpla su propósito si contrae un compromiso firme. Por ejemplo,
inscribirse a una media maratón en mayo y entrenarse para ella es más eficaz
que limitarse a decir: «Voy a salir a correr de vez en cuando».

Con su sitio web ocurre algo parecido. Necesita fijarse un objetivo, diseñar un plan y hacerse una idea de
lo que se avecina. Aunque es cierto que nadie puede predecir el futuro, sí que es posible aprender algo del
pasado.
En el año 2014 ha habido dos grandes problemas de seguridad, Heartbleed y Shellshock, que han apro­
vechado vulnerabilidades presentes en el software de código abierto que constituye la base del comercio
electrónico y de la seguridad en Internet. En palabras de Anthony Caruana, de CSO Online: «Tal vez lo
más importante que hemos aprendido con Heartbleed es que ya no se puede confiar en algo solo porque
todavía no haya sufrido un ataque».
En materia de seguridad de sitios web, no se puede dar nada por sentado. Su principal motivación en 2016
debe ser lograr la suficiente capacidad de adaptación para afrontar los imprevistos.
Además, si mejora la seguridad, también aumentan las oportunidades. En 2014, Google anunció que asig­
naría un mejor posicionamiento a los sitios web que tuvieran todas las páginas protegidas con HTTPS en
lugar de solo aquellas donde se realizan transacciones: una práctica recomendada en materia de seguri­

1
dad que se denomina Always-On SSL. Google también da prioridad a los sitios web que brindan una buena
experiencia de usuario, así que si protege correctamente a los internautas, mejorará su posicionamiento
en los buscadores: todos salen ganando.
9 0

5 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
Los ciberdelincuentes pondrán a prueba
su fuerza de voluntad
Nunca es fácil cumplir un propósito de Año Nuevo y, cuando se trata de su sitio
web, puede tener la certeza de que los ciberdelincuentes harán todo lo posible
para echar por tierra sus mejores intenciones de garantizar la seguridad.
Veamos cuáles son los sistemas más frecuentes que utilizan los hackers para
atacar un sitio web que no esté bien protegido.

4 Suplantación de identidad o spoofing

Una práctica delictiva habitual consiste en clonar un sitio web popular para conseguir que los internautas
revelen sus contraseñas u otros datos confidenciales. Por eso es tan importante autenticar la identidad de
su empresa mediante los certificados SSL con Extended Validation: tal vez la barra de direcciones verde
sea lo único que diferencie el sitio web legítimo de su clon malicioso.

4 Captura de datos
Existen distintos tipos de programas maliciosos que los delincuentes tratan de inyectar en su sitio web,
cada uno de ellos con funciones diferentes. En ocasiones, el objetivo es infectar los equipos de los inter­
nautas para registrar pulsaciones de teclas y robar otros datos personales, mientras que otras veces los
hackers intentan infiltrarse en su servidor y su red. Recuerde que, cuantos más datos empresariales tenga
en la misma red que su servidor web, más información podrán robar los atacantes.

4 Ataques de abrevadero o watering hole

Tal vez el objetivo de los hackers sea infectar a sus clientes con software malicioso. Para ello, lanzan un
ataque watering hole, que aprovecha la popularidad de un sitio web legítimo como el suyo introduciendo
código dañino en el software que lo ejecuta. A continuación, cuando alguien visita el sitio web en cuestión,
se infecta. Se trata de un sistema perverso diseñado especialmente para pasar inadvertido.

Recomendaciones para que su sitio web

esté bien protegido en 2016
4 Controle el acceso a los servidores y certificados:
En una empresa grande como la suya, con varios servidores web y certificados SSL, hay más personas que
tienen acceso a datos confidenciales sobre la seguridad de los sitios web, lo cual implica un mayor riesgo

1 9 0
de ataques desde dentro.
Reduzca al mínimo el peligro que suponen los empleados malintencionados: controle el acceso a los siste­
mas y a los servidores, y modifique periódicamente las contraseñas, sobre todo cuando haya cambios de
personal en el equipo que gestiona la seguridad del sitio web. Asimismo, no olvide
implantar procesos y políticas para restringir el acceso, registrar los cambios y

3 1 2
proteger las claves de cifrado privadas.

6 I Pasos sencillos para tener un sitio web seguro en 2016 2 0 1 6

4 Cree un centro de seguridad o de confianza en el sitio web:
Para demostrar a los internautas que se toma en serio su seguridad, incluya en el sitio web una página en
la que explique las medidas que toma para protegerlos y lo que estas significan en la práctica.
El minorista John Lewis constituye un buen ejemplo en el Reino Unido. Explique a los internautas qué tipo
de datos se cifran y cómo se hace, y no olvide proporcionar información precisa. De este modo, sus clientes
estarán mejor protegidos y usted demostrará que se toma en serio la seguridad.

4 Muestre distintivos de confianza:

La gente está acostumbrada a buscar indicios visuales que demuestren que un sitio web es seguro. Por
ejemplo, en un estudio de mercado internacional sobre consumo en Internet realizado en julio de 2013, el
90 % de los encuestados declararon que era más probable que continuaran con una transacción online si
veían el sello Norton Secured.
Responda a las exigencias de los internautas: el sello Norton Secured, que puede mostrar en el sitio web si
instala certificados SSL de Symantec, es el distintivo de confianza más conocido en Internet y se visualiza
más de mil millones de veces al día en 170 países.

4 Elija una autoridad de certificación prestigiosa:

En la lucha contra los ciberdelincuentes, no todas las autoridades de certificación (o CA, por sus siglas en
inglés) son iguales en cuanto a su rigor, recursos y capacidad de adaptación.
Tenga en cuenta que es muy importante elegir bien la CA. No todos los certificados SSL (Secure Sockets
Layer o «capa de sockets seguros») se emiten con el mismo rigor, así que vale la pena comprobar el grado
de seguridad y las garantías de autenticación que ofrecen antes de poner en sus manos la protección de
sus clientes y la imagen de su marca.
No toda la tecnología SSL es igual de eficaz, porque no todas las autoridades de certificación son igual­
mente fiables. Por ello, es fundamental que las autoridades de certificación apliquen las prácticas reco­
mendadas para proteger las claves privadas y garanticen el riguroso cumplimiento de unas normas de
autenticación estrictas. Solo así conseguiremos que Internet sea un entorno seguro para todos.
Symantec, empresa fundada en 1995 con el nombre de VeriSign, es el proveedor de las mayores implanta­
ciones de certificados del mundo.
• Los servicios de validación de Symantec procesan por término medio más de 4500 millones de peticio­
nes al día y llevan más de ocho años funcionando de manera ininterrumpida.
• De las 100 instituciones financieras más importantes del mundo, 97 utilizan certificados SSL de Symantec,
al igual que el 75 % de los 500 sitios web de comercio electrónico más destacados de Norteamérica.
• La eficaz PKI de Symantec incluye sitios de recuperación en caso de desastre y centros de datos que

1 9 0
garantizan una seguridad comparable a la que se exige para usos militares. De este modo, los clientes
disfrutan de una solución insuperable en cuanto a la disponibilidad y la protección de los datos, con lo
que no tienen que preocuparse por nada.

7 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
4 Tenga siempre bajo control las fechas de renovación de los certificados SSL:
Si se le pasa la fecha de renovación de un certificado SSL, quien visite su sitio web verá una advertencia de
seguridad, lo cual es nefasto para el negocio: según un estudio de mercado sobre consumo en Internet rea-
lizado en Estados Unidos, el 91 % de los encuestados abandonan una transacción si aparece una página
de aviso del navegador que indique que la conexión no es segura.
Es fundamental contar con una persona encargada de las renovaciones y una herramienta específica para
supervisar y gestionar los certificados. Symantec ofrece toda una gama de herramientas de gestión de
certificados SSL, así que basta elegir la más adecuada según el tamaño y las exigencias de su empresa.

4 Fomente las buenas prácticas entre los empleados:

Según un estudio de Symantec realizado en colaboración con el Ponemon Institute, el 51 % de los emplea­
dos que trabajan para empresas sin una política de seguridad de datos bien definida consideran aceptable
copiar datos empresariales en sus ordenadores personales.
No solo importa la forma de recopilar en su sitio web los datos de los clientes, sino que también es fundamen-
tal cómo se almacenan y utilizan. Los empleados tienen que saber cómo garantizar el cumplimiento de las
normativas y, para ello, la directiva de la UE sobre protección de datos personales es un buen punto de partida.

4 Impida que los empleados muerdan el anzuelo:

Tiene que proteger el sitio web tanto de las amenazas externas como de las internas.
Explique a los empleados el riesgo que supone que los ciberdelincuentes accedan a los servidores web
y enséñeles a detectar las trampas que tienden para infectar la red, como los sitios web o mensajes de
correo electrónico maliciosos y las estrategias de ingeniería social en las redes sociales.
Symantec ofrece recursos online gratuitos además de programas de certificación y formación impartida
por instructores.

4 Fórmese sobre cuestiones de seguridad:

No infravalore la importancia de la información. Si se forma sobre cuestiones de seguridad, sabrá prote­
ger mejor su sitio web. Y, si bien es cierto que es imposible dominar todos los entresijos técnicos, resulta
crucial conocer las amenazas a las que se enfrenta.
Dicho de otro modo, conviene aliarse con un experto en seguridad como Symantec, pero antes que nada
tiene que saber por qué lo necesita.

4 Realice análisis contra software malicioso:

Según el informe del ISF (Foro de Seguridad de la Información) sobre las amenazas previstas en 2015,
«el hecho de que el hacktivismo y el software malicioso existan ya desde hace un tiempo no significa que
ahora sean menos peligrosos ni que podamos relajarnos, sino justo lo contrario».
El objetivo de los delincuentes es diseminar código malicioso e intentarán servirse de su sitio web legítimo

1
para ello, así que empiece cuanto antes a analizar el estado de su sitio web periódicamente y no pase por
alto ningún punto débil. Todos los certificados SSL de Symantec incluyen análisis diario contra software
malicioso, una función que consiste en comprobar las páginas públicas para proteger su empresa y a sus
9 0
clientes.

8 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
4 Realice evaluaciones de vulnerabilidad:
Los ciberdelincuentes buscan formas de entrar en su sitio web y, según las conclusiones del Informe de
Symantec sobre las amenazas para la seguridad en Internet, muchos se lo ponen fácil: en 2014, el 76 % de
los sitios web legítimos tenían una vulnerabilidad de carácter crítico.
Examine el estado de su sistema inmunitario y ocúpese de sus puntos débiles: muchos de los certificados
SSL de Symantec incluyen gratis la evaluación de vulnerabilidad.

4 Mantenga siempre al día sus servidores:

Según los estudios realizados por Symantec, más de dos tercios de los sitios web utilizados para distribuir
software malicioso son sitios legítimos infectados. El problema es que numerosas empresas no mantienen
actualizado el software de sus servidores.
Cuando el fabricante de un programa lanza una actualización o revisión, es porque ha desarrollado una so­
lución para una vulnerabilidad concreta. En consecuencia, si no actualiza los servidores, estará poniendo
en peligro innecesariamente su sitio web, pues éste tendrá una serie de vulnerabilidades que los atacantes
podrán aprovechar con facilidad.
Si quiere que su sitio web sea lo menos vulnerable posible, cada vez que salga una nueva revisión, prué­
bela e instálela de inmediato.

4 Utilice certificados SSL con Extended Validation:

Si quiere demostrar que es quien aparenta ser, instale certificados SSL con Extended Validation (EV), que
hacen que el internauta que visite su sitio web vea la barra de direcciones de color verde, como prueba de
que su empresa se ha sometido a un riguroso proceso de comprobación de identidad. De hecho, según un
estudio de consumo en Internet realizado por Symantec, esta barra verde hace que aumente la sensación
de seguridad del 60 % de los compradores.
Tras implantar los certificados SSL Secure Site Pro con EV de Symantec, Liberty Games (empresa que
vende por Internet productos con precios que van desde las 5 hasta las 35 000 libras esterlinas) logró un
aumento interanual de sus ingresos superior al 35 %.

4 Implante la tecnología Always-On SSL:

Si instala certificados SSL de una autoridad de certificación de confianza como Symantec y protege todo el
sitio web con el protocolo HTTPS, se cifrarán todas las interacciones de los internautas con su sitio web, y
no solo las páginas de inicio de sesión y de pago.
Esta medida de seguridad básica, que resulta muy fácil de implantar, autentica la identidad del sitio web
y cifra toda la información que se intercambie entre el sitio web y el usuario (incluidas las cookies), con lo
que impide que alguien no autorizado vea, manipule o utilice los datos.
Tal como explicamos en nuestro blog, si se limita a proteger las páginas de inicio de sesión y de pago,
no impedirá a los hackers robar las cookies donde se almacena la sesión del usuario para reproducir una
sesión y acceder a todo tipo de información confidencial.

1
Por eso, la Online Trust Alliance insta a adoptar el sistema llamado Always-On SSL en todos los sitios web,
y muchos nombres de prestigio como Google, Facebook y PayPal ya lo han hecho. No espere más para
9 0
seguir sus pasos.

9 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
Ahora ya sabe lo que tiene que hacer para
poner en perfecta forma su sitio web, pero
tal vez no tenga claro por dónde empezar
Lo más fácil es ponerse en contacto con un representante de Symantec. Al fin y al cabo, somos especial­
istas en cuidar la salud de la seguridad en Internet: por eso el 93 % de las empresas de la lista Fortune
500 y 97 de los 100 bancos más importantes de Estados Unidos utilizan nuestros productos.

1 9 0

10 I Pasos sencillos para tener un sitio web seguro en 2016

3 1
2 0 1 6
2
 Si desea los números de teléfono de algún
país en concreto, consulte nuestro sitio web.
Para obtener información sobre productos,
llame al 900 93 1298
o al (+41) 26 429 77 27

Symantec Spain S.L.

Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl

© 2016 Symantec Corporation. Reservados todos

los derechos. Symantec, el logotipo de Symantec, el
logotipo de la marca de comprobación y el logotipo
de Norton Secured son marcas comerciales o marcas
comerciales registradas en los Estados Unidos y en
otros países por Symantec Corporation o sus filiales.
Los demás nombres pueden ser marcas comerciales de
sus respectivos propietarios.

Simple Steps to a Secure Website in 2016