Continuando con la primera parte de Principales Ataques de Seguridad en Sitios Web…
6. Denegación de servicio distribuida (DDoS)
El ataque DDoS por sí solo no permite que el pirata informático malintencionado viole la seguridad, pero dejará el sitio fuera de línea de forma temporal o permanente. La Encuesta de riesgos de seguridad de TI de Kaspersky Lab de 2017 concluyó que un solo ataque DDoS cuesta a las pequeñas empresas 123.000 dólares y a las grandes, 2,3 millones de dólares en promedio.
El ataque DDoS tiene como objetivo abrumar el servidor web del objetivo con solicitudes, haciendo que el sitio no esté disponible para otros visitantes. Una botnet suele crear una gran cantidad de solicitudes, que se distribuyen entre los equipos previamente infectados. Además, los ataques DDoS se suelen utilizar junto con otros métodos; el objetivo del primero es distraer a los sistemas de seguridad mientras se explota una vulnerabilidad.
La protección de tu sitio contra un ataque DDoS generalmente tiene múltiples facetas. En primer lugar, debe mitigar el tráfico máximo mediante el uso de una red de entrega de contenido (CDN), un equilibrador de carga y recursos escalables. En segundo lugar, también debe implementar un firewall de aplicaciones web en caso de que el ataque DDoS oculte otro método de ataque cibernético, como una inyección o XSS.
7. Ataque de man-in-the-middle
Los ataques man-in-the-middle son comunes entre los sitios que no han encriptado sus datos mientras viajan desde el usuario a los servidores. Como usuario, puede identificar un riesgo potencial examinando si la URL del sitio web comienza con un HTTPS, donde la «S» implica que los datos se están cifrando.
Los atacantes utilizan el tipo de ataque man-in-the-middle para recopilar información (a menudo confidencial). El perpetrador intercepta los datos mientras se transfieren entre dos partes. Si los datos no están encriptados, el atacante puede leer fácilmente detalles personales, de inicio de sesión u otros detalles confidenciales que viajan entre dos ubicaciones en Internet.
Una forma sencilla de mitigar el ataque man-in-the-middle es instalar un certificado de Capa de sockets seguros (SSL) en tu sitio. Este certificado cifra toda la información que viaja entre las partes para que el atacante no la entienda fácilmente. Por lo general, la mayoría de los proveedores de alojamiento modernos ya cuentan con un certificado SSL con su paquete de alojamiento.
8. Ataque de fuerza bruta
Un ataque de fuerza bruta es un método muy sencillo para acceder a la información de inicio de sesión de una aplicación web. También es uno de los más fáciles de mitigar, especialmente desde el lado del usuario.
El agresor intenta adivinar la combinación de nombre de usuario y contraseña para acceder a la cuenta del usuario. Por supuesto, incluso con varias computadoras, esto puede llevar años a menos que la contraseña sea muy simple y obvia.
La mejor forma de proteger tu información de inicio de sesión es creando una contraseña segura o utilizando autenticación de dos factores (2FA). Como propietario de un sitio, puedes solicitar a tus usuarios que configures ambos para mitigar el riesgo de que un ciberdelincuente adivine la contraseña.
9. Uso de código desconocido o de terceros
Si bien no es un ataque directo a su sitio, el uso de código no verificado creado por una tercera persona puede provocar una violación de seguridad grave.
El creador original de un fragmento de código o una aplicación ha ocultado una cadena maliciosa dentro del código o ha dejado una puerta trasera sin saberlo. Luego, incorpora el código «infectado» a su sitio, y luego se ejecuta o se explota la puerta trasera. Los efectos pueden variar desde una simple transferencia de datos hasta obtener acceso administrativo a su sitio.
Para evitar riesgos relacionados con una posible infracción, siempre haga que sus desarrolladores investiguen y auditen la validez del código. Además, asegúrese de que los complementos que utiliza (especialmente para WordPress) estén actualizados y reciban parches de seguridad con regularidad; las investigaciones muestran que más de 17,000 complementos de WordPress (o aproximadamente el 47% de los complementos de WordPress en el momento del estudio) no habían sido actualizado en dos años.
10. Phishing
El phishing es otro método de ataque que no está dirigido directamente a sitios web, pero tampoco podemos dejarlo fuera de la lista, ya que aún puede comprometer la integridad de tu sistema. La razón es que el phishing es, según el Informe sobre delitos en Internet del FBI, el delito cibernético de ingeniería social más común.
La herramienta estándar utilizada en los intentos de phishing es el correo electrónico. Los agresores generalmente se enmascaran como alguien que no son y tratan de que sus víctimas compartan información confidencial o realicen una transferencia bancaria. Estos tipos de ataques pueden ser extravagantes como la estafa 419 (una parte de una categoría de fraude de tarifas anticipadas) o más sofisticados que involucran direcciones de correo electrónico falsificadas, sitios web aparentemente auténticos y lenguaje persuasivo. Este último es más conocido como Spear phishing.
La forma más eficaz de mitigar el riesgo de una estafa de suplantación de identidad es capacitando a su personal y a usted mismo para identificar dichos intentos. Siempre verifique si la dirección de correo electrónico del remitente es legítima, si el mensaje no es extraño y la solicitud no es extraña. Y, si es demasiado bueno para ser verdad, probablemente lo sea.
En conclusión
Los ataques a tu sitio web pueden tomar muchas formas, y los atacantes detrás de ellos pueden ser aficionados o profesionales coordinados.
La conclusión clave es no omitir las funciones de seguridad al crear o ejecutar tu sitio porque puede tener consecuencias nefastas.
Si bien no es posible eliminar por completo el riesgo de un ataque a un sitio web, al menos puedes mitigar la posibilidad y la gravedad del resultado.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.