Revisión de Seguridad de su Página Web

Lamentablemente tenemos que comunicarle del alto riesgo de infección de su página web al ser el objetivo de los ciberdelincuentes la infección masiva de páginas web.

El ritmo de infección es alarmante, hay millones de páginas web infectadas, al ritmo de una página web infectada cada tres segundos, y más del 83% de ellas son páginas legítimas. En Microsa en las últimas semanas son muchas las peticiones de servicios de empresas cuyas páginas web han sido infectadas.

El gravísimo problema de estas infecciones de páginas web es que cualquier ordenador se infecta de virus simplemente visitando dichas páginas.

Con lo cual, nos encontramos que cualquier cliente, proveedor o curioso que visite una página web infectada se infecta su ordenador de virus con los consiguientes problemas de llamadas de quejas y disgustos. Y una página web diseñada para dar a conocer una empresa con sus productos y servicios y ser generadora de negocios, se ha convertido en una fuente de infección de ordenadores y generadora de reclamaciones y problemas.

 

¿Está su sitio web a salvo de hackers?

 hacked

El objetivo de los ciberdelincuentes es la distribución de virus para robar dinero o información o para atacar a otros ordenadores y cometer delitos, y a través de páginas web infectadas la infección de ordenadores es masiva.

El usuario es consciente del riesgo de infección cuando accede a una página web de dudosa reputación y lo evita, pero no se imagina que accediendo a una página web legítima podría llegar a infectarse. Los ciberdelincuentes se aprovechan de la confianza de los usuarios en páginas legítimas para distribuir sus virus.

Los ataques de infección de los ciberdelincuentes no van dirigidos, generalmente, a una determinada página sino que a través de herramientas lanzan el ataque a todas las páginas y las más vulnerables son infectadas.

Las páginas web se pueden infectar aprovechando vulnerabilidades o un mala configuración del software instalado. Al infectar la página web, además de la distribución de virus, puede ser utilizada para poner en marcha actividades delictivas como el alojamiento de sitios de phishing o transferir contenidos ilícitos, mientras que abusa del ancho de banda de la página web y hace a su titular responsable de estos actos.

Lo habitual es que un sitio web haya sido creado por un diseñador y no por un informático, y no haya considerado la seguridad del sitio web fundamental en la elección de plataforma, lenguaje de programación, etc., y por lo tanto no haya implementado ninguna medida adecuada de seguridad.

Por otro lado, es muy importante también el proveedor de Internet donde se tiene alojado el sitio web, ya que además de la seguridad de la aplicación web hay que revisar la seguridad de la plataforma que lo sustenta.

En Microsa, somos expertos en seguridad informática y apoyándonos en OWAP disponemos de una metodología de auditoría básica de seguridad de aplicaciones web a través de una serie de pruebas de vulnerabilidad que nos permite identificar las vulnerabilidades existentes en una aplicación web, detectar agujeros y debilidades en los sistemas de seguridad, siendo nuestra oferta muy especial de estos servicios profesionales la siguiente:

-       Auditoría básica de seguridad de un sitio web

• Analizar contenido del alojamiento y revisar si hubiese contenido inapropiado

• Análisis metadatos, lógico y antivírico

• Identificación de vulnerabilidades existentes CMS y complementos y recomendaciones para solucionarlas

• Análisis base de datos

• Detección de agujeros y debilidades en los sistemas de seguridad y recomendaciones de seguridad

Controlando y solucionando las vulnerabilidades detectadas en la auditoría básica de seguridad, su empresa puede reducir de forma significativa su nivel de exposición a las amenazas de seguridad de su página web.

Las principales vulnerabilidades de una aplicación/sitio web son:

  1. Inyección, método de infiltración de código, que se vale de una vulnerabilidad en el nivel de validación de las entradas. Se usa para realizar consultas y ejecutar comandos contra bases de datos, SO y LDAP.
  2. XSS o Cross-Site Scripting XSS, es un tipo de agujero de seguridad típico de las aplicaciones web, que permite a una tercera parte inyectar código JavaScript en páginas web vistas por el usuario, evitando medidas de control. Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web.
  3. Interrupción de la autenticación y administración de sesiones, un atacante puede secuestrar a la sesión activa y asumir la identidad de un usuario, realizado después cualquier acción que este pudiera hacer, como cambiar la contraseña, etc.
  4. Referencias de Objetos Directos Inseguros, sucede cuando se expone una referencia a la aplicación de objeto interno, como un archivo, directorio o base de datos de claves. Sin un control de accesos o de otro tipo de protección, los atacantes pueden manipular esas referencias para acceder a datos no autorizados.
  5. Falsificación de Solicitud Cross-Site (CSRF), contra a una aplicación web vulnerable, permite al atacante forzar al navegador de la víctima para generar solicitudes a la aplicación vulnerable que piensa que son peticiones legítimas de la víctima.
  6. La configuración errónea de Seguridad en los sistemas informáticos que alojan los servicios webs, las bases de datos y en los sistemas de protección. En muchas ocasiones se instalan con configuraciones por defecto o erróneas para el entorno a proteger. Todos estos ajustes se deben definir, implementar y mantener todo el software actualizado, incluyendo todas las librerías y demás.
  7. Cifrado de Almacenamiento Inseguro, en muchas ocasiones no se cifran adecuadamente los datos sensibles en los sitios webs (tarjetas de crédito, número de Seguro Social, credenciales de autenticación, etc.). Ante un ataque se pueden robar o modificar datos protegidos débilmente que buscan llevar a cabo el robo de identidad, fraudes con tarjetas de crédito, u otros delitos, como realizar una compra a cargo de un cliente con una dirección de envío distinta, etc.
  8. Fallo al restringir el acceso URL, con lo que en muchas ocasiones se pueden acceder a páginas ocultas sin las medidas adecuadas de control; así se pueden saltar páginas en secuencias (pedido, datos, pago, confirmación) etc.
  9. Insuficiente protección de la capa de transporte. Tan importante es la protección perimetral y de transporte como la seguridad en las aplicaciones web. Certificados caducados, algoritmos débiles, falta de antimalware en pasarela son errores muy comunes.
  10. Redirecciones sin validar, esto permitiría a un atacante usar nuestra aplicación web para redirigir a nuestros visitantes a páginas con malware o phishing.

MICROSA, como empresa de Servicios Integrales y experta en Seguridad Informática queda a su disposición para cualquier aclaración que crea oportuna y para que nos autorice a realizar nuestros servicios profesionales de Auditoría básica de seguridad de su página web.

Recomendamos hacer una revisión de seguridad del sitio web de forma periódica