Clicky

Tu sitio web será hackeado ¿Puedes controlarlo?

Hackear sitio web

Sigue estos consejos y serás capaz de mantener tu sitio Web, los datos y la empresa a salvo de la gran mayoría de los ataques

No se debe ignorar la realidad: miles de sitios web son atacados todos los días y te puede pasar a ti. Tu sitio web probablemente está siendo atacado en este momento y que ni siquiera lo sabes. Aunque suena desalentador, utilizando los sistemas y procedimientos adecuados podrás estar tranquilo sabiendo que te has preparado para una crisis cibernética. En este artículo se proporcionará un resumen de las mejores prácticas para minimizar el riesgo, y para la recuperación de tu sitio web en caso de producirse una intrusión.

¿Por qué los hackers se interesan en mi sitio?

Incluso las organizaciones de bajo perfil se enfrentan al riesgo de ser hackeadas. Muchos ataques de piratas informáticos están automatizados, y no están necesariamente identificándote como un objetivo, pero tu sitio web pueden pasar a estar en la lista negra de la piratería informática.

Hay varias razones por las que los piratas informáticos pueden dirigirse a tu sitio, pero se dividen sobre todo dentro de las siguientes categorías.

Ruptura o interrupción

Romper o poner fuera de línea tu sitio web, corromper o destruir datos. Esto podría hacerse por mero vandalismo, causar daños a tu negocio, o para demostrar que tu sitio no está bien organizado. Desfiguración y denegación de servicio (DoS) son las formas más comunes de interrupción.

Abuso

El uso de tu servidor web para ayudar en las actividades de los hackers. Esto puede incluir:

Granjas de enlaces: la creación de páginas o la incrustación de enlaces en tu sitio web con el fin de generar tráfico y mejorar la clasificación de los motor de búsqueda para otros sitios web

spamDistribución de malware: la reprogramación de tu sitio web para que infecte a los ordenadores de los visitantes con el malware desarrollado por el hacker

SPAM: el uso de tu sitio web como fuente de spam o de tráfico de correo electrónico

Potencia de cálculo y ancho de banda: utilización de la capacidad no usada en el servidor web para hacer el trabajo para el hacker (como la piratería a otros sitios web), al tiempo que ayuda a mantener la identidad del hacker oculta

Robo

El acceso o el robo de datos privados: comerciales, financieros o de inteligencia. Este suele ser el motivo detrás de los ataques a las grandes corporaciones o gobiernos. Si bien es el tipo de ataque que recibe más atención de los medios, puede ser la menor de tus preocupaciones si no realizas comercio electrónico en tu sitio web.

Salvo en el caso de los ataques de interrupción, los hackers tienen un incentivo para mantener sus ataques invisibles para propietarios de sitios web, por lo que es necesario supervisar periódicamente tu sitio web para detectar actividad inusual.

¿Cómo puedes protegerte?

Es imposible cubrir en un solo artículo todos los posibles escenarios y amenazas de seguridad. Cada caso es único y las medidas de seguridad tienen que ser equilibradas contra el impacto en el rendimiento del sistema y la experiencia del usuario. Las siguientes son las mejores prácticas para la protección contra las amenazas más comunes. Piensa en ellas como consejos de sentido común, similares a las que sigues todos los días para proteger tu casa o tu billetera.

Si estás preocupado por la seguridad de tu sitio web, o ha sido hackeado en varias ocasiones, es posible que necesites la ayuda de un experto que pueda realizar evaluaciones de seguridad, pruebas de penetración y el endurecimiento de tu sitio web.

La comprensión de las vulnerabilidades comunes arrojará luz sobre cómo protegerse contra ellas. La mayoría de las vulnerabilidades caen dentro de las siguientes categorías. Se enumeran en orden de dificultad para que los hackers puedan explotarlas.

Medidas de seguridad básicas

Por desgracia, la mayoría de los ataques ocurren porque los dueños no siguen las medidas de seguridad básicas. Imagina dejar tu ordenador portátil en una cafetería, abierto y desbloqueado, con tu tarjeta de crédito junto a él, junto con una hoja donde tienes anotados tus códigos PIN y SSN. Muy a menudo, puede ser tan fácil para los hackers entrar en tu sitio web. Unas medidas de seguridad que se deben considerar son:

Cuentas y permisos

Cada usuario del sitio web debe tener su propia cuenta. No compartas cuentas entre varios usuarios.

Establece permisos de acceso para cada usuario. No es necesario que cada usuario pueda ser un superadministrador. Incluso los usuarios que se conectan a la página web sobre una base diaria puede que no tengan que ser un súper administrador.

Desactiva las cuentas que no estén en uso.

pasword

Las contraseñas

No dejes la contraseña por defecto en cualquier cuenta. Utiliza diferentes contraseñas para diferentes cuentas.

Sé que ya sabes esto pero, repite conmigo: debo de usar contraseñas que sean difíciles de adivinar. Desafortunadamente la mayoría de la gente no utiliza contraseñas seguras. Comprueba esta lista de las contraseñas más comunes y por favor mantente alejado de cualquier cosa parecida a ellas!

Piensa en tus contraseñas en dos grupos: las que necesitas memorizar y las que no. En el primer grupo está probablemente tu correo electrónico, tarjeta de débito, y las contraseñas de Facebook. La lista es probablemente corta. Estas son las contraseñas que necesitas, incluso si no estás en tu propio ordenador. No seas perezoso, escribe contraseñas complejas. Aquí hay un truco: piensa en una frase u oración (no una combinación de palabras sin sentido), de 5 o 6 palabras de largo, y la colocas en una forma coherente que utilice mayúsculas, minúsculas, números y símbolos. Por ejemplo: "Buenos dias! cafe con/2 azucares, sin crema". Voila, es una contraseña muy segura. Y pensaste que era de 8 caracteres de longitud. Cuanto más singular la hagas, más segura será. Lee este blog sobre contraseñas seguras y sencillas.

Las contraseñas que no necesitas recordar son aquellas que se pueden guardar y consultar cuando sea necesario. Esto puede incluir las contraseñas de tus sitios web. La sabiduría convencional dicta que debes memorizar tus contraseñas, pero es simplemente poco práctico cuando se tienen decenas de cuentas. No las escribas en un cuaderno o en una hoja de cálculo de Excel. En su lugar, se un profesional y trabaja con un gestor de contraseñas como KeePass o 1Password. No sólo vas a ser capaz de organizar tus contraseñas y mantenerlas seguros, también podrás utilizar el programa para generar largas cadenas de caracteres aleatorios para usar en aquellas contraseña que no necesitas recordar.

Con el fin de aumentar la seguridad de tu sitio web, es posible que desees considerar la autenticación de dos factores. Además de requerir una contraseña, la autenticación de dos factores genera un código único, perecedero, que se envía a la dirección de correo electrónico o al teléfono móvil del usuario, como una capa adicional de seguridad para autenticar la identidad del usuario. La mayoría de los servidores modernos y sistemas de gestión de contenidos (CMS) incluyen esta funcionalidad.

Copias de seguridad

Recuerda la regla 3-2-1 de copias de seguridad: tres copias de sus datos, almacenados en al menos dos dispositivos diferentes y al menos una copia localizada fuera del sitio. Para tu sitio web, esto significa: configurar una copia de seguridad diaria automática del sitio web, y descargar la base de datos y los archivos de página web periódicamente. Una copia de seguridad por sí misma no puede evitar una intrusión de hackers, pero es esencial para la recuperación.

Repositorio de código

Tu desarrollador web debe establecer y utilizar un repositorio de código. Esto tiene varios beneficios y, en el caso de la seguridad, puede ser una herramienta muy útil para detectar y corregir los cambios en los archivos que necesitan ser restaurados después de un ataque.

seguridad SSL

SSL

SSL (Secure Socket Layer) es una tecnología que encripta la conexión entre tu página web y el navegador del usuario. Configura SSL y hazla funcionar en todo tu sitio, para visitantes y administradores por igual. Comunicaciones no seguras pueden exponer las credenciales de usuario y otra información crítica, así como abrir una vía para los ataques. Mira este vídeo sobre SSL y lee por qué es importante para tu sitio web en la optimización de motores de búsqueda.

Hosting (Alojamiento)

El alojamiento se puede comparar con el espacio de oficinas. El alojamiento compartido es como el espacio compartido, y tener tu propio servidor es como tener tu propia oficina. El espacio compartido es fácil y barato, pero su seguridad depende de que todos los miembros del espacio compartido sean disciplinados en seguir las reglas de seguridad. La diferencia con el alojamiento compartido es que no sabes quienes son los otros miembros del servidor, y no puedes ver lo que están haciendo. Así que si te están poniendo en riesgo, no lo sabrás hasta que sea demasiado tarde.

Por otro lado, tener tu propia oficina es más costoso y requiere más trabajo, pero ofrece un mayor control.

Si la seguridad de tu sitio web es importante para ti, no elijas un alojamiento compartido. Elije una empresa de alojamiento de buena reputación que mantenga el software del servidor al día, cuente con la capacidad técnica para defenderse de los ataques y proporcione un servicio fiable de copias de seguridad. Son recomendables Linode y Amazon Web Services, yo uso OVH y todavía no he tenido ningín problema de hackers en ninguno de mis sitios.

Configuración y ajustes

Todos los sistemas que realizan funciones en tu sitio web tienen conjuntos de ajustes recomendados que se deben seguir: proteger directorios, establecer permisos de archivo correctos, los tiempos de espera que se permiten y revisar la configuración de intentos, lo que permite x-frame-options y configuración CORS, sólo por mencionar algunos. Es importante que estos ajustes se configuren con seguridad, y no sólo en mente el rendimiento o la comodidad.

Fuerza bruta

En un ataque de fuerza bruta los piratas informáticos intentan invadir para adivinar posibles contraseñas. Este método se basa en que tratan de forma automática miles de contraseñas diferentes en una sucesión muy rápida.

Comúnmente este tipo de ataques son detenidos por el establecimiento de un tiempo de espera en el medio de registro de intentos, y el bloqueo de direcciones IP o cuentas que han superado una serie de intentos fallidos.

Por lo general esta funcionalidad es opcional en los sistemas de gestión de contenidos y sistemas operativos, pero se pueden añadir y activarlas con facilidad.

Software anticuado

Los hackers intentan explotar vulnerabilidades conocidas que se encuentran en el software obsoleto. La cura: mantener el software del sitio web al día. Esto incluye todos los componentes: el sistema de gestión de contenidos, bases de datos, lenguajes de programación y sistemas operativos.

Este es un tipo muy común de ataque. Los hackers pueden llegar fácilmente a miles de páginas web que tienen un componente común obsoleto y obtener acceso fácilmente. Tu sitio web está, probablemente, siendo "pinchado" ahora por los scripts automatizados de hackers que intentan encontrar vulnerabilidades conocidas que pueden explotar.

Vulnerabilidades en el software personalizado

Cuando un desarrollador ha construido tu sitio web, normalmente habrá una o más piezas de software a medida en forma de plugins obtenidos a partir de 3ªs partes o desarrollados específicamente para tu sitio web.

Este software personalizado puede crear nuevas vulnerabilidades de seguridad si no se desarrolla siguiendo las mejores prácticas del lenguaje de programación, sistema de gestión de contenidos y el sistema operativo.

Los tipos más comunes de vulnerabilidades son de inyección y ruptura de la autenticación. En el caso de la inyección, el software vulnerable no puede validar correctamente la entrada del usuario. Los hackers pueden explotar que la falta de entrada o 'inyectar' su propio código y potencialmente obtener acceso a toda el sistema. En el caso de ruptura de la autenticación, el software no valida adecuadamente los permisos de acceso de los usuarios y proporciona acceso a archivos restringidos o no autorizados a la información de los usuarios.

Con el fin de evitar este tipo de ataques, asegúrate de que cualquier software de terceras partes está desarrollado por programadores acreditados, se obtiene de la fuente original, y no tiene ninguna vulnerabilidad conocida. En el caso de programas de usuario, asegúrate de que tu desarrollador siga las mejores prácticas de seguridad.

Este tipo de ataque puede no ser el más común, ya que está limitado al número de sitios web que contienen la misma vulnerabilidad. Sin embargo, dado suficiente incentivo, los piratas informáticos pueden dedicar tiempo y esfuerzo tratando de identificar las vulnerabilidades de software a medida y explotarlas.

Ingeniería social

Cuando ninguno de los anteriores tipos de ataques dio resultados, los hackers recurren a la ingeniería social: recolectando o reteniendo información en base a la información pública, o mediante la manipulación de las personas para que revelen información.

Un ejemplo común de ingeniería social es el phishing: el hacker envía un correo electrónico, que se ve exactamente igual como los que recibes de tu banco, con una oferta o una alerta de seguridad, que te solicitará que inicies sesión en tu cuenta bancaria en línea. Al hacer clic en el enlace llegas a un sitio web que se ve exactamente como el de tu banco, pero que realmente es un imitador organizado por el hacker. Intenta introducir tu nombre de usuario y contraseña, y la primera vez que no funciona, intenta una segunda vez y funciona. El hacker tiene ahora tu nombre de usuario y contraseña.

ingeniería socialOtro ejemplo: recibes una llamada de tu compañía de tarjeta de crédito diciendo que desea comprobar alguna actividad sospechosa en tu tarjeta de crédito. Antes de proceder se te pedirá que confirmes tu fecha de nacimiento y el número de seguro social o el Documento Nacional de Identidad. La llamada no es realmente de tu banco, y les has proporcionado algunas piezas de información que pueden utilizar para llamar al banco y hacerse pasar por ti.

Los piratas informáticos más sofisticados utilizan la ingeniería social, y afirman que con la ingeniería social se obtiene un éxito de penetración del 100%. Si estás interesado en este tema, recomendamos el libro "Ghost in the Wires" de Kevin Mitnick.

¿Cómo puedes protegerte contra la ingeniería social? A diferencia de otros tipos de ataque, esta vulnerabilidad se debe a la interacción humana y no puede ser fijada parcheando el software. Sin embargo, hay algunos principios que puedes seguir para protegerte a ti mismo:

Educarse y estar alerta: ser consciente de cómo operan los piratas informáticos, o qué comportamientos aparentemente inofensivas pueden ser utilizados para socavar tu seguridad es la primera línea de defensa contra intrusiones. Y educar a las personas que te rodean: compañeros de trabajo, empleados, amigos y familiares - muchas veces son ellos los que, sin saberlo, ayudan a los piratas informáticos a reconstruir la información que utilizan para atacar.

Ejerce un nivel saludable de escepticismo y paranoia cuando se trata de la entrega de información. Pregunta por qué debes proporcionar en la farmacia tu código postal, número de teléfono o fecha de nacimiento en la compra de goma de mascar. No seas tímido: no respondas a las preguntas o cuelga esa llamada telefónica de un agresivo vendedor de teléfonos o tarjetas de crédito empleado en la compañía que hace demasiadas preguntas.

Ten cuidado con la información que compartes en las redes sociales. El hecho de que se te pida que introduzcas tu dirección y fecha de nacimiento no significa que tengas que compartirla con todo el mundo. Todavía puedes compartir las fotos de tus vacaciones, lindos gatos, e increíble comida para el almuerzo, pero no debes documentar cada movimiento que hagas.

¿Qué hacer si por desgracia eres hackeado?

El único seguro contra la pérdida de datos es hacer copias de seguridad con frecuencia. Si recuerdas sólo una cosa de este artículo debe ser la importancia de tener copias de seguridad de tu sitio web.

Además de la recuperación de datos, tendrás que limpiar tu sitio web, eliminar cualquier tipo de malware y tratar de identificar y corregir la vulnerabilidad que se utilizó para acceder al sitio. Aquí hay algunos pasos básicos para tomar después de producirse un hackeo:

Si es posible, poner el sitio fuera de línea: bloquear todos los usuarios, excepto el root o super usuario administrador, mientras se limpia von seguridad y se recupera después del hackeo.

Escanea el código malicioso: si tienes un repositorio de código del sitio web, puedes ser capaz de encontrar fácilmente los archivos que han sido modificados o añadidos a tu sitio web. Si no lo tienes, deberás hacer una exploración del código. Para un sitio web basado en PHP utiliza Look for Bad Guys y JAMSS. Este proceso es tedioso, ya que puedes obtener una gran cantidad de falsos positivos, y puede ser necesario inspeccionar manualmente cada directorio para eliminar los archivos sospechosos.

Al recuperar archivos desde tu copia de seguridad o de copias de software recién descargado, ten en cuenta que ambos procesos sólo se hará cargo de los archivos modificados, y no van a eliminar todos los archivos agregados.

Después de cambiar todas las contraseñas y hacer una revisión de todas las cuentas, debes buscar la actualización de todo el software del sitio y realizar una revisión de cualquier software personalizado para buscar cualquier vulnerabilidad.

Puedes ser capaz de encontrar información sobre cómo y por quién fue realizado el ataque mirando en los registros del servidor y los archivos que han sido añadidos o modificados. En algunos casos, puede ser necesaria ayuda profesional para encontrar más información.

Sigue estos consejos y serás capaz de mantener tu sitio Web, los datos y la empresa a salvo de la gran mayoría de los ataques.

Jesus_Caceres