VULNERABILIDADES PELIGROSAS PARA SU SITIO WEB

Transcripción

1 VULNERABILIDADES PELIGROSAS PARA SU SITIO WEB SABER ES PODER: GUÍA DE SYMANTEC SOBRE PROTECCIÓN DE SITIOS WEB

2 ÍNDICE 3 Una falsa sensación de seguridad puede salir cara 4 Qué hacer para protegerse 5 Efectos nocivos de las vulnerabilidades en su sitio web 6 La batalla es más feroz de lo que imagina 7 Las empresas pequeñas tampoco están a salvo 8 También para los clientes saber es poder 9 p. 2

3 VULNERABILIDADES PELIGROSAS PARA SU SITIO WEB En el año 2012, Symantec realizó análisis de vulnerabilidades en más de 1400 sitios web al día y, en más de la mitad de ellos, se encontraron vulnerabilidades sin resolver que alguien podría aprovechar para llevar a cabo un ataque. De hecho, la cuarta parte de los sitios web vulnerables ya estaban infectados con código dañino (malware) que podría llegar a provocar infecciones en los equipos de los visitantes o motivar la inclusión del sitio web en una lista negra. Estas cifras demuestran que millones de sitios web legítimos corren a diario el riesgo de sufrir un grave ataque y caer en manos de los cibercriminales. Sin embargo, según el estudio de Symantec «Las vulnerabilidades y su desconocimiento en las empresas», un tercio de los encuestados dan por sentado que sus sitios web son muy seguros, aunque nunca los han analizado para detectar posibles vulnerabilidades o infecciones. 1 Tendría la impresión de que su dinero está a buen recaudo si su banco revelara por error los datos de la mitad de sus cuentas? El problema es que numerosas empresas no son conscientes del riesgo que suponen sus sitios web para el negocio, ni saben lo vulnerables que pueden llegar a ser si no se implantan sistemas de seguridad y supervisión adecuados. Por qué son tan peligrosas las vulnerabilidades Por qué los cibercriminales atacan los sitios web? Porque saben que en Internet se mueve mucho dinero. En el año 2002, las ventas del comercio electrónico ascendieron a millones de euros y, solo 10 años después, la cifra alcanzó los millones. Hoy en día, en 2013, utilizan Internet aproximadamente 2700 millones de personas, lo que equivale a casi la mitad de la población mundial 2, y eso permite a los hackers hacerse con una gran cantidad datos personales (y dinero) infectando sitios web. Lo primero que tiene que averiguar es por qué su empresa y su sitio web resultan atractivos para los cibercriminales. Es fundamental conocer las vulnerabilidades basadas en la tecnología y en los procesos, pero además tiene que comprender qué riesgo suponen y qué probabilidad existe de que alguien las aproveche. Cuanto menos sepa, más fácil se lo pone a los hackers El interés que despierta un sitio web en los cibercriminales no solo depende de lo que pueden conseguir al atacarlo: también influye la forma de alcanzar el objetivo. Los sitios web y los servidores en los que se basan presentan numerosas vulnerabilidades y la mayoría de los propietarios no son conscientes de ellas, con lo que a los hackers les resulta muy fácil aprovecharlas. Por un lado, el alojamiento de sitios web es algo muy sencillo: basta pagar a una empresa que se ocupe de publicar su sitio web. Pero, por el otro, se trata de un proceso muy complejo en el que intervienen varias capas de software y hardware que deben funcionar a la perfección para que la seguridad esté garantizada. Como parece que no entraña grandes dificultades, se tiende a dar por sentado que todo funciona bien. Al mismo tiempo, dado que los detalles técnicos no están al alcance de cualquiera, con frecuencia se cae en la tentación de mirar para otro lado y esperar que alguien se ocupe de ellos. p. 3

4 UNA FALSA SENSACIÓN DE SEGURIDAD PUEDE SALIR CARA Uno de los peligros a los que más se exponen los sitios web es a sufrir un ataque de secuencias de comandos entre sitios. Sin embargo, a las empresas encuestadas por Symantec les parece el menos probable; en cambio, lo que más temor les inspira son los ataques de fuerza bruta, que intentan acceder a los servidores en los que se alojan los sitios web. Aunque en realidad este tipo de ataque es menos frecuente, es lo que se suele ver en la televisión y el cine, con lo que resulta más fácil imaginárselo. 3 Pero no se engañe: la mayoría de los ataques contra empresas no son obra de hackers expertos, sino de botnets que se dedican a analizar miles de sitios web para detectar vulnerabilidades. También hay que recordar que la información errónea es tan peligrosa como la ignorancia, pues no solo impide encontrar las auténticas vulnerabilidades del sitio web sino que, además, lleva a la empresa a malgastar el dinero destinando recursos de forma equivocada. Dónde están sus puntos débiles? «Si se sabe aprovechar, basta una sola vulnerabilidad en una aplicación para poner gravemente en peligro a una empresa», según el informe sobre las amenazas para la seguridad de los sitios web (WSTR) de Symantec. 4 En 2012 se detectaron 5291 vulnerabilidades, mientras que el año anterior la cifra había sido de 4989, 5 así que no son en absoluto infrecuentes. Todas ellas constituyen una amenaza igualmente importante para la empresa, por lo que resulta vital conocer los tipos más habituales a los que se enfrenta su sitio web. En 2012, se hicieron públicas 5291 vulnerabilidades, frente a las 4989 vulnerabilidades de 2011 p. 4

5 QUÉ HACER PARA PROTEGERSE Vulnerabilidad Qué es Qué hacer para protegerse Servidores sin actualizar con las últimas revisiones El año pasado, el porcentaje de nuevas vulnerabilidades descubiertas fue de solo el 6 %, pero los ataques procedentes de sitios web infectados aumentaron en un 30 %. «En la mayoría de los casos, los ataques se deben a que no se han aplicado las revisiones necesarias para solucionar vulnerabilidades conocidas desde hace tiempo», según el estudio de Symantec. Al igual que ocurre con los equipos domésticos, si el servidor del sitio web no se mantiene actualizado y no se instalan las últimas revisiones, podría constituir un riesgo. Todos los certificados Symantec Extended Validation o Pro SSL incluyen evaluaciones periódicas de vulnerabilidad sin coste adicional, que se llevan a cabo de forma automática y le avisarán cada vez que se encuentre una vulnerabilidad sin resolver. Accesos de personas no autorizadas Si se utilizan contraseñas poco seguras, se revelan los nombres de usuario de los administradores o no se modifica la configuración predeterminada del hardware de red y de los programas de uso habitual, será fácil que alguien se haga pasar por un usuario legítimo para atacar los sistemas. Exija que se usen contraseñas seguras e imponga controles estrictos de los accesos, preferentemente con un sistema de autenticación de dos factores. Asegúrese de que se comprueben todas las contraseñas y la configuración de todo nuevo hardware y software que se implante. Si no fueran suficientemente seguras, imponga que se cambien. En la medida de lo posible, conceda derechos de acceso de administrador únicamente a individuos de confianza con una trayectoria intachable, y solo para los sistemas a los que realmente necesiten acceder. Ataques de secuencias de comandos entre sitios Estos ataques consisten en inyectar código procedente de un sitio web perteneciente a «los malos» en otro (el de su empresa). Esto permite a los hackers ejecutar su propio código en su sitio web para atacar o infectar a los visitantes, o para engañarlos y lograr que revelen información valiosa (por ejemplo, contraseñas). Mantenga siempre actualizado el software del servidor web para resolver las vulnerabilidades que permitan ataques de este tipo. Si el servidor utiliza código personalizado, asegúrese de que todos los datos que se introduzcan se sometan a un proceso riguroso de validación. Lleve a cabo periódicamente análisis contra software malicioso en sus sitios web para descubrir si ha habido cambios o se ha añadido código inesperado. Ataques de fuerza bruta Como sugiere su nombre, estos ataques consisten simplemente en probar todas las contraseñas y opciones de cifrado posibles hasta descubrir el código que permite acceder a su sitio web. La situación más grave tiene lugar cuando los hackers han conseguido acceder a los datos cifrados y no se ha establecido un límite en el número de intentos de inicio de sesión. Este tipo de ataque es habitual: de hecho, en ciertos sitios web de grandes dimensiones, se han detectado 500 intentos de acceso por fuerza bruta a la hora. 6 Cambie periódicamente las contraseñas del servidor y del sistema de gestión de contenidos, además de cifrar todos los datos. Utilice métodos de cifrado actualizados, pues los algoritmos antiguos tienen puntos débiles que resulta fácil aprovechar. Si su sitio web tiene un portal de inicio de sesión para clientes, limite el número de veces que se puede intentar iniciar la sesión y bloquee a las personas que lo intenten demasiadas veces seguidas con distintas contraseñas. Por lo general, el software de servidor incluye esta función, pero compruebe que sea así. Vulnerabilidades de día cero Estas vulnerabilidades pasan inadvertidas hasta que alguien las aprovecha y lanza un ataque: ese momento en que se descubre el riesgo se denomina «día cero». El año pasado aumentó la frecuencia de este tipo de ataque, pues se descubrieron 14 nuevas vulnerabilidades de día cero. En el primer trimestre de 2013, Symantec ha encontrado 11 vulnerabilidades de día cero que afectaban a Oracle Java, Adobe Flash, Adobe Reader y Microsoft Internet Explorer. 7 Si su propia empresa se ocupa del alojamiento del sitio web, tiene que tomar medidas que reduzcan al mínimo las consecuencias en caso de que se produjera un ataque de este tipo. Compruebe que todas las aplicaciones estén actualizadas con las últimas revisiones de seguridad. No existen revisiones que permitan evitar los ataques de día cero, pero contar con las actualizaciones más recientes lo protegerá frente a las vulnerabilidades ya detectadas. Las evaluaciones de vulnerabilidad automáticas periódicas, como las que incluyen los certificados SSL de Symantec, ayudan a detectar lo antes posible los puntos débiles en cuanto sean descubiertos. p. 5

6 EFECTOS NOCIVOS DE LAS VULNERABILIDADES EN SU SITIO WEB Su sitio web es un vínculo entre usted y sus clientes, lo que significa que los hackers pueden aprovechar las vulnerabilidades principalmente de tres formas: 1. Para acceder a la información almacenada en su servidor y aprovechar las posibilidades que este ofrece. En los servidores web se almacena información de todo tipo, como datos de los clientes y contraseñas. Además, los hackers pueden usar los servidores infectados para distribuir código dañino (malware). En definitiva, estos ataques pueden dar lugar a fugas de datos, desconfianza entre los clientes y reducción de las ventas, por lo que es importantísimo realizar evaluaciones de vulnerabilidad periódicas. 2. Para espiar la información que circula entre su empresa y los internautas. Los sitios web transmiten información a los internautas (y viceversa) constantemente. Si no cuenta con certificados SSL actualizados que cifren los datos, tanto su empresa como los visitantes del sitio web corren el riesgo de sufrir un ataque interposición (man-in-the-middle). Muchos sitios web, como Facebook y Google, ya han implantado la de tecnología SSL Always-On, que garantiza el cifrado de toda comunicación que se establezca entre el sitio web y el servidor, independientemente de si el visitante ha pasado o no por una página de inicio de sesión Para instalar malware en los dispositivos de los internautas. Si un cibercriminal logra inyectar código JavaScript oculto o unas cuantas líneas de código que redirigen al usuario a otro sitio web capaz de instalar malware, todo internauta que visite su sitio web estará en peligro, y lo mismo ocurrirá con el dispositivo que use para ello. El código malicioso buscará vulnerabilidades en el equipo del visitante y, si encuentra una, descargará el malware. A partir de ese momento, los hackers podrán desde registrar las pulsaciones de teclas del usuario hasta acceder a sus archivos, pasando por bloquear el sistema o aprovecharlo para seguir distribuyendo malware. Para acceder a la información almacenada en su servidor y aprovechar las posibilidades que este ofrece Para espiar la información que circula entre su empresa y los internautas Para instalar malware en los dispositivos de los internautas p. 6

7 LA BATALLA ES MÁS FEROZ DE LO QUE IMAGINA Las vulnerabilidades de los sitios web son algo complejo y no siempre es fácil aprovecharlas. Sin embargo, existen bandas y cibercriminales emprendedores que desarrollan y venden kits de herramientas que tienen mucho éxito, pues incluyen información sobre vulnerabilidades conocidas y el código necesario para aprovecharlas. De este modo, los delincuentes con menos conocimientos técnicos solo tienen que comprar o robar estos kits de herramientas para atacar sitios web. Por ejemplo, en el año 2012, el kit Blackhole se utilizó para llevar a cabo el 41 % de los ataques realizados con kits de herramientas basados en web. Consecuencias tangibles Está muy bien hablar de vulnerabilidades en abstracto, pero no hay que olvidar que los efectos de un ataque basado en web son muy tangibles. Encontrará más información sobre el mecanismo del malware en nuestro libro blanco How Malware Works (Cómo funciona el malware) 9, pero tal vez le interese también conocer una serie de ejemplos reales recientes que demuestran lo peligrosas que pueden llegar a ser las vulnerabilidades: Ataques de inyección de SQL: según el reciente informe sobre ataques a aplicaciones web elaborado por Imperva, por término medio las aplicaciones web sufrieron ataques 12 días al mes. Sin embargo, en el peor caso registrado, a lo largo de un semestre se produjeron ataques en 176 días, lo que significa que la aplicación sufrió ataques prácticamente a diario. «La moraleja es que las empresas deberían definir sus medidas de seguridad en función del peor de los casos posibles, no del término medio», concluye el informe. 10 Datos sin cifrar: Kashmir Hill (periodista de Forbes) no solo consiguió encontrar una lista de viviendas con una marca de software de domótica en concreto, sino que también descubrió la manera de hackear el software y controlar los dispositivos electrónicos a distancia, y todo ello con solo realizar búsquedas en Google. No se necesitaba ningún nombre de usuario ni contraseña para acceder al sistema y, además, la lista de clientes estaba al alcance de los rastreadores de los motores de búsqueda, así que la encontró con facilidad y rapidez. 11 Ataques de día cero: en mayo de 2013 se reveló un ataque de día cero para el kernel de Linux que podía llegar a ser desastroso para los hosts web, pues exigía reiniciar todo el sistema, lo cual hizo que numerosos sitios web dejaran de estar disponibles sin previo aviso. 12 p. 7

8 LAS EMPRESAS PEQUEÑAS TAMPOCO ESTÁN A SALVO Aunque las empresas grandes pueden reportar mayores beneficios a los atacantes, eso no significa que las pequeñas estén a salvo. De hecho, según el estudio «Las vulnerabilidades y su desconocimiento en las empresas», realizado por Symantec, los propietarios de pequeñas empresas tienen menos información sobre la seguridad de sus sitios web que los de las más grandes. Este desconocimiento supone un riesgo considerable, como demuestran las estadísticas: casi un tercio de los ataques dirigidos que tuvieron lugar en el año 2012 afectaron a empresas de entre 1 y 250 empleados. 13 Los empleados y los procesos también constituyen una vulnerabilidad Para proteger la empresa frente a las vulnerabilidades, la tecnología por sí sola no es suficiente. Es necesario formar a los empleados acerca de los riesgos del phishing y la ingeniería social, pues solo así será posible evitar accesos no autorizados a los servidores y a los sistemas de gestión de contenidos. Además, hay que implantar procesos rigurosos para actualizar las contraseñas. Symantec cuenta con una completa gama de soluciones que ayudan a las empresas a gestionar sus certificados SSL de forma eficiente. Con ellas, los administradores de los sitios web tienen controlados los certificados y reciben avisos puntualmente cuando falta poco para que caduquen. Además, ciertos tipos de certificados también permiten gestionar los análisis contra software malicioso y las evaluaciones de vulnerabilidad automatizadas que ya hemos mencionado. Entre las herramientas que ofrece Symantec también se encuentra el Certificate Intelligence Center, que resulta muy útil en las empresas con numerosos certificados SSL, pues permite supervisar y automatizar su gestión. 9 % 2 % 3 % 5 % De a a a a 500 Aumento del 13 % 18 % en % 2012 De 1 a 250 empleados En 2012, casi un tercio de los ataques se dirigieron a empresas de entre 1 y 250 empleados. p. 8

9 TAMBIÉN PARA LOS CLIENTES SABER ES PODER Tal vez sus clientes y los visitantes de su sitio web no estén completamente al día en lo que se refiere a vulnerabilidades de sitios web, pero sí que saben que navegar por Internet constituye un riesgo importante para sus datos personales y sus dispositivos. Por lo tanto, buscarán indicios de que su empresa conoce los peligros y hace todo lo posible por garantizar su seguridad. Los certificados Extended Validation (EV) SSL, por ejemplo, someten a la empresa y a su sitio web a un riguroso proceso de autenticación que demuestra a los visitantes que el propietario es quien dice ser mediante un indicador muy claro: la barra de direcciones aparece de color verde. Se ha comprobado que este pequeño detalle puede marcar una gran diferencia a la hora de tranquilizar a los posibles clientes, pues en los sitios web protegidos con EV se ha registrado un aumento del 10 % o más en la tasa de click-through de los compradores. 14 Identified by Norton Alíese con el mejor En lo que se refiere a las vulnerabilidades de los sitios web, sin duda, saber es poder. Lo que marca la diferencia en la lucha contra los cibercriminales es elegir el mejor aliado posible para detectar las vulnerabilidades y protegerse de ellas. Symantec ofrece una completa gama de soluciones de seguridad para sitios web, como la tecnología EV, los distintos algoritmos de cifrado, las evaluaciones de vulnerabilidad y los análisis contra software malicioso. La prueba de nuestra eficacia está en los altos estándares de nuestra propia seguridad: por ejemplo, nuestros procesos de autenticación se someten a auditorías llevadas a cabo por KPMG y los centros de datos de nuestra infraestructura SSL y PKI garantizan una seguridad comparable a la que se exige para usos militares. Además, el servicio Web Site Anti-Malware Scan de Symantec, incluido en nuestros certificados SSL, realiza una comprobación externa y sirve de segunda barrera frente a los ataques. Gracias a esta función, ya no se arriesgará a que su sitio web acabe en la lista negra de algún motor de búsqueda. Si se alía con Symantec, contará con la ayuda de un gran experto del sector que le proporcionará todo lo necesario para garantizar la seguridad de su empresa y su sitio web. Para obtener más información sobre Symantec Website Security Solutions, visite El WSTR de Symantec también reveló que en 2012 aumentó el número de consumidores que visitan sitios web con distintivos de confianza como el sello Norton Secured, el más conocido de Internet. 15 Además, con la tecnología Symantec Seal-in-Search, los internautas saben si un sitio web es seguro antes incluso de acceder a él, porque los motores de búsqueda muestran el sello Norton Secured junto al nombre del sitio en los resultados de las búsquedas. De este modo, su empresa inspira más confianza entre los internautas, que visitarán su sitio web con la tranquilidad de que no correrán peligro en él. p. 9

10 REFERENCIAS 1. Evaluación de vulnerabilidad de Symantec - Se siente vulnerable? Pues debería, 2. The Internet: Then and Now (Internet, antes y ahora). WhoIsHostingThis?, 3. Evaluación de vulnerabilidad de Symantec - Se siente vulnerable? Pues debería, 4. Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013), 5. Evaluación de vulnerabilidad de Symantec - Se siente vulnerable? Pues debería, 6. WP Sites Under Attack Across the Globe!!! ( Ataques a sitios web de WP de todo el mundo!). Synthesis, Facebook implements Always-On SSL (Facebook adopta la tecnología SSL Always-On), Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute (Los minoristas sufren el doble de ataques de inyección de SQL que las demás empresas; por término medio, cada 26 minutos una aplicación sufre un ataque), Hacking Smart Homes (Hacking de casas inteligentes), How We Kept You Safe During Yesterday s Zero-Day Security Emergency (Cómo garantizamos su seguridad durante la emergencia de ayer debida a una vulnerabilidad de día cero). Synthesis, Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013), Online Trust Alliance, visitado el 10 de septiembre de Investigación sobre consumo internacional en Internet realizada por Symantec WSS International: Estados Unidos, Alemania y Reino Unido, julio de p. 10

11 ACERCA DE SYMANTEC Symantec ofrece una amplia gama de soluciones de seguridad para sitios web, como el mejor cifrado SSL del sector, la gestión de los certificados, la evaluación de vulnerabilidad y el análisis contra software malicioso. Además, el sello Norton Secured y la función Seal in Search de Symantec garantizan a los clientes que en su sitio web pueden realizar búsquedas, navegar y comprar sin ningún peligro. Para obtener más información, visite Vulnerabilidades Website Security peligrosas Threat para Report su sitio 2013 web

12 SÍGANOS Si desea los números de teléfono de algún país en particular, consulte nuestro sitio web. Para obtener información sobre productos, llame al: o Symantec España Symantec Spain S.L. Parque Empresarial La Finca Somosaguas, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación y el logotipo Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.