Seguridad Web

por | Espacio Web, Herramientas, Servicios, Utilidades

Protege tu Web. Protege tu Empresa

SEGURIDAD WEB

Cuando iniciemos nuestro proyecto, nuestra página web, podemos contratar un proveedor externo, o bien utilizar nuestros propios servicios. G Suite es la Aplicación más moderna y elaborada para realizar cualquier tipo de Proyecto. Podrás utilizar todas las herramientas con tu propio Nombre de Dominio.

Tanto en un caso como en el otro, la responsabilidad final de la información publicada en la página web es nuestra, y las repercusiones legales, económicas y de reputación también serán nuestras o de nuestra organización.

La Protección del Sitio Web

Gestión Técnica

En primer lugar mantener la seguridad de la base de datos de nuestros clientes y de nuestra web, incluidos los documentos personales y privados que estén disponibles a través de cualquier medio.

Adoptar medidas que impidan que inserten un phishing (modificando nuestra web o copiándola con claros propósitos de fraude).

Cualquier otro ataque que altere o modifique los contenidos del portal web, bien sean recursos, productos o servicios.

Para ello será necesario implementar algunas medidas de seguridad imprescindibles en nuestra web:

  • CAPTCHA. Con toda seguridad nuestra web permitirá realizar comentarios, enviar documentos o realizar consultas o sugerencias. El sistema de captcha impide que una máquina pueda actuar como si fuera un usuario físico, e infectar de comentarios maliciosos o spam, nuestros servicios. La captcha impide que los robots automáticos logren su objetivo, ya que no pueden interpretar los mensajes y responder a las solicitudes de seguridad del cuadro de seguridad de nuestra captcha. Esto permite asegurar que en nuestra bandeja de entrada del correo, sólo lleguen mensajes de personales de usuarios.
  • METADATOS. A la hora de publicar documentos que permitan su descarga, manuales, documentación, instrucciones, etc., es importante utilizar alguna herramienta que elimine los metadatos que estos documentos guardan, ya que pueden proporcionar información a un posible atacante sobre nombres de usuarios, equipos, directorios, etc. Actualmente los principales productos de ofimática como G Suite incorporan con total confidencialidad estas tareas.
  • ACTUALIZACIÓN DEL GESTOR DE CONTENIDOS. Es habitual que actualmente las páginas web estén basadas en los llamados gestores de contenidos (CMS), como Joomla!, Drupal, WordPress, etc. Se trata de herramientas que facilitan enormemente el proceso de creación y actualización y mantenimiento de una página web. Si este es nuestro caso es fundamental que mantengamos el gestor de contenido correctamente actualizado. Además, el gestor de contenidos (CMS) puede hacer uso de algún complemento (o plugin). Es conveniente que dichos complementos sean ampliamente utilizados en internet, lo que garantiza su soporte y frecuente actualización frente a posibles incidencias de funcionalidad y seguridad.
  • CONTRASEÑAS SEGURAS. Independientemente del gestor, debemos asegurarnos de que las claves que dan acceso al panel de control de la página web mediante el que creamos y actualizamos los contenidos se generan cumpliendo unos criterios mínimos de seguridad (al menos 8 caracteres y mayúsculas, minúsculas, números o símbolos). También es importante que estas contraseñas sean cambiadas regularmente. Además de las contraseñas es recomendable también modificar los nombres de los usuarios que vienen por defecto, como por ejemplo el caso de los administradores.
  • REGISTROS. Para poder investigar cualquier incidente relacionado con nuestra página web o incluso poner los registros a disposición judicial si se diera el caso, es necesario guardar un registro de cualquier interacción con la página web. Cualquier servidor web dispone por defecto de ésta funcionalidad, por lo que su activación es sencilla. Si la gestión del servidor la llevamos nosotros, seremos nosotros los responsables de guardar esos registros durante un período de tiempo conveniente. Si por el contrario, la gestión del servidor es externa, este aspecto deberá estar reflejado en nuestro contrato con el proveedor, especificando el tipo de registros que se guardan, durante cuánto tiempo y la forma de acceso a dichos registros.
  • COPIAS DE SEGURIDAD. Como cualquier elemento de nuestra organización, y más si nuestra página web presta servicios críticos para nuestro negocio (comercio electrónico, medio de contacto habitual con clientes, catálogo de productos, tarifas, etc.), debemos diseñar e implementar una política de copias de seguridad que salvaguarde toda la información de nuestra página web. Si la página web la gestionamos nosotros mismos, deberán incorporarse a la política de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidándonos de las bases de datos asociadas si las hubiera. Las copias de Protege tu web Página 7 de 17 seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamente y que se pueden recuperar los datos. Si la página web es gestionada por un tercero, debemos incluir la realización de copias de seguridad periódicas de todos los elementos que conforman nuestro servicio web como parte de nuestro contrato con el proveedor. G Suite facilita enormemente esta tarea.
  • PRUEBAS. Si tenemos página web con una alta complejidad, puede ser importante disponer de dos entornos diferenciados que suelen recibir los nombres de producción y pruebas. Se trata de dos entornos iguales, con los mismos contenidos y la misma configuración. Esto nos permitirá aplicar parches (en el entorno de pruebas) y comprobar el correcto funcionamiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la página web visible para los usuarios (el entorno de producción). En el caso de que tengamos externalizada nuestra página web, no debemos delegar totalmente la seguridad del portal en el proveedor, puesto que el impacto de cualquier problema de seguridad recaerá siempre sobre nuestra organización. Por eso es altamente recomendable leer con detenimiento el contrato que hemos aceptado.
  • DESARROLLO. Debemos ser capaces de integrar el ámbito de la seguridad a la hora de desarrollar nuestra página web, tanto si lo hacemos nosotros como si contratamos este servicio a un tercero. Es necesario hacer hincapié en aspectos de seguridad tan importantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad. Este ámbito es aún más importante si vamos a gestionar datos de nuestros clientes a través de la página web. Un ejemplo de estas metodologías de desarrollo seguro es el proyecto OWASP [Open Web Application Security Project, OWASP [https://www.owasp.org/]], una metodología accesible que se encuentra muy bien documentada.
  • RED. Si el alojamiento de nuestra página web es interno, en instalaciones bajo nuestro control, debemos ubicar el servidor web en una subred aislada del resto de servidores internos de nuestra empresa. Para esto necesitamos crear una subred accesible desde el exterior y separada de nuestra red interna mediante segmentación de red. A esta subred se le llama DMZ o zona desmilitarizada. Desde la DMZ no se debe haber visibilidad de la red interna de nuestra organización. Es decir, si nos conectamos físicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa. De esta manera, en caso de que nuestra página web sea atacada, no será posible que este ataque afecte al resto de la organización. Para conseguirlo el tráfico entre la DMZ y la red interna de la empresa debería ser filtrado mediante un cortafuegos. Si la página web es alojada por un tercero, su ubicación no es un riesgo para el resto de nuestra infraestructura, ya que ésta estará albergada en la red de nuestro proveedor y no tendrá ninguna conexión directa con nuestra red corporativa.
  • CONEXIONES. Es posible que nuestra página web requiera conectarse a Internet para realizar sincronizaciones con otras páginas, redes sociales o por cualquier otra razón. Esto supone que la página web tendrá que establecer conexiones «hacia el exterior». Este tipo de comportamiento y de conexiones debe mantenerse bajo control, para así evitar que si el servidor que aloja la página web se ve comprometido, el atacante no será capaz de establecer conexiones al exterior, realizar ataques a otras empresas o utilizar nuestro sistema o nuestra página para fines ilegales. Tanto si la gestión de la página web la llevamos nosotros como si la lleva un tercero, las conexiones hacia el exterior desde nuestra página web deberán estar administradas y controladas por una política de conexiones apropiada en el firewall correspondiente, idealmente mediante una política de lista blanca (permitiendo sólo aquellas conexiones autorizadas). G Suite permite controlar muy bien todos estos elementos.
  • MONITORIZACIÓN. Para la detección de cualquier tipo de ataque que nuestra web pueda sufrir, es una buena práctica la monitorización tanto del tráfico recibido como del tráfico generado. De este modo no sólo se pueden detectar posibles ataques sino también otras situaciones en las que la web haya sido comprometida. Si la página web la gestionamos nosotros mismos, es necesario instalar en nuestra red (si no las tenemos aún) ciertas herramientas como un sistema de detección de intrusos o IDS. Este sistema de seguridad revisa el tráfico que se transmite a través de la red, identificando posibles comportamientos sospechosos: tráfico con patrones que responden a ataques, incremento excesivo de las comunicaciones o búsqueda de vulnerabilidades propias de los entornos web. Si la página web es gestionada por un tercero, debemos incluir ésta monitorización y supervisión del tráfico de red de nuestra página como parte del contrato de nivel de servicio con el proveedor. G Suite facilita enormemente estas tareas.
  • SISTEMA DE RESPALDO. Para evitar que un incidente nos deje sin página web, podemos disponer de un sistema de respaldo de nuestra página web que nos permita ofrecer al usuario un conjunto de funcionalidades mínimas en caso de que falle la página web principal. Si la página web la gestionamos nosotros, podemos consultar con un proveedor externo o habilitar un servidor con menor potencia que se mantenga en modo pasivo hasta que sea necesario. Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central, pero sí aquellas que nos permitan dar una respuesta y un punto de contacto con nuestros clientes.
  • AUDITORIA. Es recomendable que antes de publicar nuestra página web en Internet llevemos a cabo un análisis técnico de seguridad o auditoría técnica, tanto de nuestra página web como del servidor que la contiene. Esto es especialmente importante si nuestra página web no es meramente informativa, sino que va a gestionar datos de nuestros clientes.

Como parte de esta auditoría técnica, se deben llevar a cabo una serie de pruebas que incluyen, entre otras:

  • Análisis de visibilidad externa: Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor, el gestor de contenidos usado y los complementos utilizados. Se evalúa si es necesario que dichos complementos y funcionalidades estén habilitados y si no lo es, se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio.
  • Contenido del directorio web: Cualquier archivo o información almacenados en el directorio de nuestra web, es susceptible de ser accedido desde Internet, aunque no esté directamente enlazado desde nuestra página web. Es recomendable que el contenido del directorio donde se aloja nuestra página web, ya sea propio o de un tercero, sea revisado frecuentemente y que se evite almacenar en él cualquier información sensible.
  • Búsqueda de vulnerabilidades propias de los entornos y lenguajes de programación utilizados para crear la página web. A la hora de realizar esta búsqueda de vulnerabilidades, se puede utilizar la metodología OWASP entre otras. Entre las posibles vulnerabilidades que puede tener un portal, las más típicas son:
    • Cross-Site Scripting o XSS: La ejecución de un ataque de XSS, consiste en el envío de un código malicioso como parte de una petición aparentemente legítima. Los puntos de entrada más habituales son los formularios en línea. Una vez ejecutado el XSS, el atacante puede ser capaz de cambiar configuraciones de usuarios, secuestrar cuentas, envenenar cookies, exponer conexiones seguras, acceder a sitios restringidos y hasta instalar publicidad en la web víctima del ataque.
    • Inyección de SQL: Un ataque de inyección de SQL consiste en la ejecución de un comando malicioso de acceso o modificación de una base de datos como parte de una petición a una página web. Una Protege tu web Página 11 de 17 deficitaria validación de los datos de entrada en la web puede permitir la realización de consultas no autorizadas a la base de datos.

Estos análisis técnicos deben ser realizados por profesionales de la seguridad en sistemas informáticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestión de nuestro sitio web.

 

Enviar comentario