• Reducir  fuente
  • Aumentar  fuente
20 Jun 2016

La seguridad web, el elemento vital para preservar tu negocio y reputación online


yolanda ruiz rec2

Hemos propuesto a Yolanda Ruiz Hervás, profesional del marketing digital y la seguridad informática, con 16 años de experiencia en el sector, participar como firma invitada en ‘Un blog en Red’. En este artículo nos habla de ciberdelincuencia y de la necesidad de protegerse frente a ella. Su contenido resume la ponencia que preparó para el evento “Tu éxito online con el .es”, que se celebró en Madrid el pasado jueves. Este ciclo de conferencias, organizado por Host Europe con la colaboración de Red.es, contó con la participación de profesionales de prestigio que aportaron las claves para la creación desde cero de un proyecto online, con una web con la extensión española .es. La de Yolanda fue una de las ponencias más importantes del acto: 

Hace muchos años, nadie tenía la conciencia de instalar un antivirus en su ordenador. Había pocos virus, tardaban mucho en distribuirse y conseguían infectar a un número limitado de usuarios. Era más una demostración de fuerza que otra cosa.

Pero ese panorama cambió. Ya prácticamente no hay virus famosos (gusanos, troyanos u cualquier otro tipo de amenaza); no da tiempo. Cada día, se procesan en los diferentes centros de seguridad de instituciones, organismos y compañías más de 250.000 ejemplares nuevos. Ante este panorama, es muy complicado que haya uno que destaque.

El negocio del cibercrimen es más que una leyenda romántica: varios miles de hackers de “sombrero negro” –con malas intenciones, para que nos entendamos–, trabajan duramente para hacer que sus ejemplares de virus, gusanos, troyanos, phishing u otras amenazas lleguen al mayor número posible de víctimas, sin discriminar por países, sexo o cualquier otra seña de identidad.

¿Para qué? Para conseguir un beneficio económico que hoy en día se supone mueve más dinero que otros mercados sumergidos, como puede ser el negocio del narcotráfico, la prostitución o la venta de armas; tanto, que su volumen de negocio puede ser similar al Producto Interior Bruto de un país medio.

En ese afán por coleccionar víctimas a las que no roban grandes cantidades económicas, sino pequeñas cuantías para pasar desapercibidos, los cibercriminales hacen foco en sistemas operativos, dispositivos o sistemas mayoritariamente utilizados.

Todos los usuarios de Windows deberían tener un sistema de seguridad instalado, aunque todavía no todos lo tienen. Los usuarios de Mac siguen resistiéndose. Los que utilizamos smartphones con Android o con iOS estamos empezando a tomar conciencia de la necesidad de contar con algún sistema de defensa, aunque está costando.

Las empresas que tienen servidores en sus instalaciones saben que tienen que contar con firewall, con antivirus a nivel de servidor, que tienen que proteger el perímetro…

¿Y qué pasa con las páginas web? Se estima que más de un 80% de las infecciones de 2015 fueron causadas por navegar. Bueno, por navegar y visitar webs que contenían esas amenazas y que se descargaban al ordenador del usuario sin que éste fuera consciente. Y para que esto se produzca, alguien tiene que haber “colgado” un troyano de una web. Y para ello, tiene que haber podido acceder a ella. Y para eso, tiene que existir una brecha de seguridad.

Y es que las webs, el hosting donde las alojamos y sus conexiones con CRMs, ERPs u otros sistemas en la nube suelen ser las grandes olvidadas en nuestra lista de deberes para asegurar nuestros datos, preservar la integridad de nuestro negocio o marca y proteger a nuestros clientes.
La forma que tienen los ciberdelincuentes de entrar a nuestro site o de impedir el funcionamiento correcto de nuestra web son muchas y variadas: inyección de código aprovechando vulnerabilidades del sistema de base de datos, ataques de denegación de servicio (los famosos DDoS), colocar malware (virus, gusanos o troyanos), ataques de fuerza bruta, los llamados cross site scripting, etcétera.

En la mayoría de las ocasiones, las empresas encargan sus desarrollos web a otra empresa externa que contrata un servicio de hosting: en muchos casos, el más barato del mercado. Y no se repara mucho en si ofrece medidas de seguridad realmente fuertes o no.

Además, se suele utilizar una de las plataformas más asequibles, populares y sencillas: WordPress, Joomla o cualquier otro CMS (Content Management System o gestor de contenidos), que otorgue la facultad al usuario de actualizarla posteriormente. Pero se actualiza el contenido: no siempre se actualiza ni la plataforma en sí ni los plugins, módulos o extensiones de funcionalidad que se les agrega.

grafico yolanda ruiz hervas

% de ataques contra los diferentes componentes de un WordPress de 2015

Por otro lado, nos encontramos con el problema de la fortaleza de las contraseñas de acceso utilizadas, que muchas veces por comodidad o por desconocimiento son tan fáciles de adivinar que hasta parece mentira.

A esta receta hay que añadirle un ingrediente más: estas plataformas, precisamente por su popularidad, suelen ser el blanco de estos ataques cibernéticos masivos, que en su mayoría tienen como objetivo principal el hosting, los temas o plantillas de diseño de los gestores de contenido o CMS o los plugins o extensiones de funcionalidad.

Todo esto da como resultado que haya numerosas webs comprometidas de una u otra manera y, por lo tanto, marcas que tienen su reputación en entredicho, o que se enfrentan a multas elevadas por la falta de protección de datos o que ven interrumpida la continuidad de su negocio porque no pueden vender online, operar en Internet o utilizar el correo electrónico.

Aunque las últimas investigaciones apuntan a que pudiera ser una filtración interna por parte del responsable del mantenimiento informático del famoso caso de los Papeles de Panamá, también se ha especulado con la existencia de un agujero de seguridad en un plugin de wordpress de una de sus webs y una versión obsoleta y sin parchear de otro site montado con Drupal. Sea como fuere, el resultado, lo conocemos todos. Y está claro que no todos somos Mossack Fonseca, pero un simple acceso a los registros de nuestra web puede derivar en un problema más que serio.

foto-yolanda-ruiz-hervas

Nota sobre la autora: Yolanda Ruiz Hervás es socia consultora en Off-On. Además, es ex-directora de marketing internacional de Panda Security y exdirectora de Marketing y Ventas de ESET NOD32 Antivirus.

 



Los comentarios están cerrados.