Consejos de Seguridad Web y Trucos para Ti y Tu Hosting Web

Mientras los sitios web incluyen más y más de nuestra información personal y la de nuestros visitantes, se vuelve una prioridad muy importante mantener todo esto a resguardo. La seguridad web debe ser una preocupación principal de cada dueño de un sitio web – una brecha en la seguridad web puede costarte mucha cantidad de visitas y dañar tu negocio. Muchos de nosotros han oído de brechas masivas de datos – la más reciente es la filtración de la información de la seguridad social de la empresa Equifax (propietaria de Veraz entre otras).  También ha habido filtraciones de detalles de tarjetas de crédito de empresas como Target y Sony. Estas brechas tienen algo que las une – todas son sobre compañías masivas. Entonces, puede suceder que algunos pequeños negocios o propietarios de sitios web comiencen a pensar que no están en peligro. Esta es la parte donde se equivocan – de hecho, las brechas de datos se vuelven cada vez más comunes para pequeños sitios web. En 2011, el 18% de las brechas de datos sucedieron en pequeñas compañías [1]. En 2015, este número ha aumentado a 43%. Está claro que existe una tendencia a la alza, entonces ahora, con el año 2018 acercándose, este número podría estar bien arriba del 50%. Aún con todo esto en la cabeza, los propietarios de pequeños sitios web o negocios no sienten que están en peligro. Una entrevista realizada por una empresa de seguridad web denominada Manta ha revelado que solo el 13% de los propietarios de pequeños sitios web o negocios se sienten en riesgo de ser víctimas de una brecha de datos [2].

Los datos apuntan al hecho de que ahora, más que nunca, los propietarios deben tomar la seguridad web de manera seria.

De todas maneras, muchos de estos negocios no tienen los fondos adecuados para contratar compañías de seguridad o gente particular que pueda ayudarlos con esto. Por suerte, esto no significa que tu u otro propietario de sitios web están a la buena de Dios. Tanto tú como tu proveedor de Hosting Web pueden hacer lo suficiente para evitar la mayor cantidad de problemas de seguridad. En esta publicación voy a hablar acerca de herramientas de bajo coste o gratuitas que ayudaran a minimizar el riesgo de que tus datos o los de tus clientes sean robados.

Seguridad Web en las Contraseñas y la Autenticación

Una buena contraseña puede ser una de las medidas de seguridad web más obvias, pero no hay que negar que es muy importante. Cada una de las implementaciones de seguridad web en el servidor será en vano si tu contraseña resulta ser “contraseña”. Muchos proveedores de Hosting Web ven también este problema, no permitiendo a sus usuarios utilizar combinaciones de contraseñas simples u obvias. Una de las maneras más comunes, estoy seguro de que lo has experimentado, es pedir a los usuarios que utilicen mayúsculas y minúsculas, además de números. Esto hace que sea más difícil adivinar la contraseña.

¿Es la única letra mayúscula de tu contraseña la primera? ¿Y solo tienes uno o dos números al final? Si he adivinado esto correctamente – necesitas considerar una clave un poco más difícil.

Esto tiene que ser dicho, existe cierta dificultad en tener una contraseña difícil. La mente humana no puede memorizar una cantidad elevada de información. Entonces, con una contraseña difícil de romper, la puedes empezar a utilizar por todas partes – es difícil de adivinar, debe ser perfecta ¿cierto? No realmente – si está en todas partes, una sola filtración podría ser lo único necesario para derribar toda la pirámide de naipes.

Un servicio denominado “HaveIBeenPwned” busca justamente eso. Escribiendo tu cuenta de email puedes ver si fue parte de alguna gran brecha de datos que ha pasado recientemente. Si usaste la misma combinación de usuario y contraseña desde la brecha entonces es más que seguro que alguien pueda meterse fácilmente dentro de alguna de tus muchas cuentas.

Una contraseña fácil puede ser fácil de adivinar o hackear. ¡Contraseñas difíciles pueden ser difíciles de recordar o también pueden haber sido robadas de alguna filtración! ¿Qué debes hacer?

Debes realizar el esfuerzo de tener muchas claves difíciles y diferentes. Alternativamente, puedes usar software de encriptación de contraseñas como 1Password o LastPass. Estos programas encriptan de manera segura y almacenan muchas de tus contraseñas, preguntando solo por una “llave maestra”. Cuando existe solo una combinación con la que trabajar, puedes cambiar constantemente y usar diferentes símbolos.

En seguridad web de Hosting, de todas maneras, una contraseña difícil no es la frontera final. También debes realizar una configuración de una autenticación de dos factores. La idea es bastante simple: tu teléfono actúa como un dispositivo de identificación. Estos días los teléfonos inteligentes o smartphones se desbloquean con las huellas dactilares o con tu cara. Es muy difícil que un hacker ingrese a tu teléfono remotamente, es por ello que es un dispositivo decente para usar y asi poder hacer a tu Hosting Web seguro. Muchos Hostings tienen el sistema de autenticación de dos factores habilitado, ya sea en el área de clientes como en el acceso al cPanel.

Cada vez que quieres acceder (o cada vez que accedes desde una diferente dirección IP o dispositivo) el sitio web te pedirá que ingreses un código que se muestra en la Aplicación de tu teléfono. Si el sistema de autenticación de múltiples factores está habilitada incluso si un hacker sepa la contraseña el sistema no le permitirá acceder.

Seguridad Web Interna del Proveedor de Hosting Web

Al probar los mejores proveedores de Hosting Web, siempre me aseguro de probar como el proveedor maneja la información sensible de los usuarios. La prueba siempre se realiza en dos etapas. La primera, es intentar de replicar por fuerza bruta un intento de acceso. Estos intentos de accesos suceden cuando alguien (usualmente con la ayuda de algún software) intenta adivinar la contraseña. Puede llevar muchos intentos. Asegúrate de elegir un proveedor de Hosting Web que bloquea a estas personas al intentar adivinar tus detalles de acceso. En ocasiones se realiza bloqueando la dirección IP por un periodo de tiempo luego de múltiples intentos incorrectos. No todos los sistemas de Hosting tienen un sistema como este – solo para asegurarse, siempre recomiendo que las personas elijan aquel que lo hace.

Otra de las cosas que pruebo es algo que siempre imagine que hacen algunos enojados conocidos. Esto es intentar de adivinar tu contraseña pretendiendo ser el propietario de la cuenta. Muchos de estos sistemas de Hosting te preguntan por tu información de cobro, o información relacionada con una tarjeta de identificación. Una medida así es suficientemente buena para asegurar que la cuenta se mantiene en las manos de su seguro propietario. De todas maneras no todos los servicios de Hosting lo usan. Con algunos, solo necesitas conocer la URL del sitio web y responder a una pregunta de seguridad. ¿Es eso suficiente? Creo que no – y si no, entonces no recomendaría usar un Hosting que da tu información tan fácil.
Los mejores proveedores de Hosting Web del mercado están aquí

Filtros de Correo Electrónico y SPAM

La suplantación de identidad (phishing) o los virus secuestradores de información (ransomware) son dos de las mayores preocupaciones de seguridad web de cada propietario de sitio web. En el phishing, puedes ser engañado por un sitio web o una carta muy convincente que intentara revelar detalles importantes de tu información. El ransomware es relativamente nuevo – y mucho mas terrorífico para muchos. Durante este proceso la información de los sitios web y a veces la que se encuentra en dispositivos completos son bloqueados y no puedes ganar mas acceso a ellos sino realizando un pago de rescate previo. Muchas veces estos problemas ocurren al abrir correo electrónico malicioso o descargar archivos infectados. Estas cosas son afectadas por el factor humano: entonces si quieres evitar que sucedan estas cosas, no abras enlaces que parezcan sospechosos y no escribas información confidencial a menos que estés 100% seguro de que el sitio web es legítimo.

Muchas de estas cosas pueden ser evitadas teniendo un buen escáner de contenidos. Muchos proveedores de Hosting ofrecerán un software anti-spam (como SmapAssassin de Apache) que bloquea cualquier email sospechosos que se dirija hacia tu correo. Otro lugar donde puedes obtener muchos enlaces maliciosos es la sección de comentarios. Si tu sitio web permite comentarios – existe una gran chance de que muchos robots intenten completarla con contenido dañino. Introducir el sistema de identificación ReCAPTCHA es una buena manera de evitarlo. Muchas veces ni siquiera preguntara a tus visitantes para que escriban o seleccionen más que una pequeña cajita – y te salvara a ti y a tus visitantes de mucho tiempo y problemas.

Escáneres de Malware y Virus

Puedes ser un genio en evitar enlaces maliciosos o evitando el spam en los comentarios – pero puede suceder que e alguna momento tengas un virus. Puede ser una pieza de mal software o un ataque directo. Necesitas una manera de encontrar virus una vez que están adentro. Para ello, existen escáneres de sitios web.

Estos escáneres trabajan de manera muy similar al software anti virus, inspeccionando cada archivo a tu disposición y buscando aquellos que pueden ser dañinos. Muchos de los proveedores hacen esto en el servidor – asegúrate de preguntar si lo hacen. Para seguridad web adicional puedes obtener un escáner por separado, como SiteLock, Sucuri o CodeGuard.

Tal software de seguridad para servidores de Hosting Web estará constantemente escaneando tus archivos, buscando cualquier cambio del que tengas que preocuparte. Solo para el calmo de corazón, algo como esto puede probarse muy útil.

Protección contra DDoS

Los ataques de Denegacion de Servicio Distribuida (DDoS)  son quizás los más peligrosos que hay por ahí. Esto fue lo que puso fuera de servicio a los servidores web de Sony durante un mes en 2011 y cerro a la BBC por tres horas en 2015. El proceso es bastante simple: muchas computadoras infectadas forman una red que intenta enviar muchos pedidos de conexión a un servidor específico. Estos pedidos comienzan a ralentizar los servidores o los detienen completamente

Defenderse de dichos ataques puede ser muy difícil – ahora, es bastante más fácil. Servicios de protección contra DDoS como CloudFlare se encargan de escanear cada visitante, verificando su legitimidad. Si es una computadora infectada realizando un ataque DDoS no se le permite el acceso.

Tal medida de seguridad es una buena manera de evitar el cierre de tu sitio web luego de un ataque dirigido. Puede consumir un poco del tiempo de tu visitante pero te ayudará masivamente.

Certificados SSL

Un certificado SSL es esencial si quieres implementar cualquier tipo de comercio electrónico. Este certificado provee conexión encriptada entre el navegador web del visitante y el servidor web. Esto significa que no hay información de usuario sensible almacenada directamente en tu servidor. Antes de SSL, vender algo a través de un sitio web podía ser desastroso. Al preguntar los detalles de la tarjeta de crédito de alguien lo almacenabas dentro de tu servidor. Ahora imagina que alguien lo hackea – cada pieza de información acerca de las tarjetas de crédito de los clientes puede ser robada, culpándote a ti por la brecha.

Un certificado SSL elimina esa posibilidad, encriptando cada pieza de información sensible que lo atraviesa. Puedes ver cual sitio web es seguro – en el lugar al lado del nombre de la URL, deberías ver un candado verde, que indica que ningún dato importante del usuario se deja en el servidor. ¿Ves? ¡Ya lo tenemos! También lo deberías tú. Muchos proveedores de Hosting Web lo ofrecen de manera gratuita con una compra o lo recargan mediante cierta suma de dinero – de cualquier manera, es esencial implementarlo.

Resguardos

Ahora – cada medida de seguridad mencionada hasta aquí puede ser de ayuda. En este momento, vale recordar que aun los más avanzados sistemas de seguridad pueden fallar. Esto es porque es muy importante tener un control de daños. El mejor control de daños es un buen resguardo. Es más o menos una captura de tu sitio web en un momento determinado. Si algo va mal, puedes volver una página. Los sitios web proveedores de Hosting más seguros ofrecen sistemas de resguardos diarios completamente gratis. Algunos de ellos pueden pedir un pago para poder restaurar tu sitio web a un momento en el pasado. Cuando elijas un proveedor de servicios de Hosting Web asegúrate de averiguar todo acerca de los sistemas que implementan. Luego de que tu sitio web cae la última cosa que querrías oír será acerca de cargos inesperados.

De todas maneras, existe una cosa extra que puedes hacer para volver todo más seguro. Esto es bastante simple – regularmente deberías almacenar toda la información de tu sitio web en un disco rígido externo y guardarlo de manera segura en tus manos. Aun en un caso horripilante de que tu proveedor de servicios de Hosting Web pierda todos tus datos, todavía tendrás todo contigo. Uno de los mejores consejos aquí es no confiar en nadie – sí, ¡ni siquiera en tu proveedor de Hosting Web!

Seguridad Web – Conclusión

En el mundo donde los ataques contra pequeños sitios web y empresas aumentan cada día más, ¿deberías estar preocupado? Absolutamente. Pero no hay que entrar en pánico. Existen muchas maneras de asegurar la seguridad de la web de tu sitio y tus negocios. Implementando todas las cosas mencionadas anteriormente, puedes evitar la mayor parte de los problemas comunes. Y teniendo resguardos sólidos, no perderás nada, incluso si algo va mal. Asegúrate de tener en cuenta la seguridad web ¡y sufrirás menos problemas!

Referencias
1. https://www.symantec.com/content/dam/symantec/docs/infographics/istr-attackers-strike-large-business-en.pdf
2. https://www.manta.com/resources/small-business-trends/small-business-owners-protecting-cyber-attack/
3. https://www.csoonline.com/article/2130877/data-breach/the-16-biggest-data-breaches-of-the-21st-century.html

 

Administrador de contenidos en mejorhostingweb.es desde el comienzo del sitio. Amante de la tecnología y redactor de los artículos del blog. Con muchos años de experiencia en el mundo de las TI. Entusiasta de internet, los videojuegos y las nuevas tecnologías.

    Recibir publicaciones por email: