Guía de seguridad de sitios web: lista de comprobación de 10 pasos

Consulta esta lista de comprobación de seguridad del sitio web con 10 medidas clave que las organizaciones deben adoptar para autenticar y autorizar a los usuarios, encriptar el tráfico web, mitigar los riesgos de terceros, bloquear los ataques DDoS y los bots, y mucho más.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Identificar diferentes formas de proteger los sitios web
  • Comprender las formas clave de autenticar y autorizar a los usuarios web
  • Explicar algunos de los ataques a sitio web más comunes

Copiar enlace del artículo

La importancia de la seguridad del sitio web

La seguridad de los sitios web es fundamental para todas las organizaciones que dependen de las aplicaciones web como fuente de ingresos, eficiencia y conocimientos de los clientes. Las organizaciones con sitios web que reciben y almacenan datos confidenciales, o proporcionan infraestructura y servicios críticos, son especialmente susceptibles a ataques que varían en complejidad, escala y origen.

La seguridad de las aplicaciones web como disciplina es amplia y está en constante evolución, dado que el panorama de las amenazas de Internet y el entorno normativo cambian constantemente. Por ejemplo, esta lista de comprobación se centra en cómo proteger los sitios web, pero la protección de las API y las aplicaciones habilitadas para IA (que los sitios web incorporan cada vez más) es cada vez más importante para las grandes empresas.

Sin embargo, los sitios web públicos de todos los tamaños y sectores pueden beneficiarse de las medidas tipo "apuesta" en torno a los controles técnicos, el control de control de acceso y la gestión de usuarios. Con ese fin, esta guía de seguridad del sitio web incluye las siguientes 10 recomendaciones:

1) Dar seguridad a las cuentas con una autenticación sólida

Recomendación: utiliza la autenticación en dos fases en lugar de la autenticación solo con contraseña

Al igual que una aerolínea debe verificar la identidad de un pasajero con una identificación válida antes de permitirle subir a un avión, las organizaciones también deben verificar quién está iniciando sesión en los sistemas digitales que alimentan sus aplicaciones web.

El proceso de evitar el acceso no autorizado (asegurándose de que las personas son quienes dicen ser) se denomina autenticación. La autenticación verifica la identidad comprobando características específicas, o "factores", en un registro digital.

Los siguientes son los factores de autenticación más comunes:

  • Algo que la persona sabe: se comprueba si hay un conocimiento secreto que solo la persona real debería tener, como una combinación de nombre de usuario y contraseña, preguntas de seguridad o códigos PIN.
  • Algo que tiene la persona: comprueba si la persona posee un artículo que se le entregó o que se sabe que tiene (similar a necesitar una llave física para abrir la puerta de una casa). En los sistemas digitales, la autenticación comprueba si hay un token de software (como un código generado por un móvil) o un token de seguridad (como un pequeño elemento físico que debe conectarse a tu dispositivo a través de Bluetooth o un puerto USB), antes de permitir el acceso.
  • Algo que la persona es: evalúa las cualidades físicas inherentes de una persona a través de la biometría; por ejemplo, mediante la verificación de una huella digital o mediante el reconocimiento facial.

El problema del primer tipo es que los atacantes a menudo pueden adivinar o robar las contraseñas. Con la prevalencia del phishing, los ataques en ruta, los intentos de descifrar una contraseña por fuerza bruta y la reutilización de contraseñas, a los atacantes les resulta más sencillo recopilar las credenciales de inicio de sesión robadas.

Por este motivo, las organizaciones deben implementar la autenticación en dos fases (2FA) para sus cuentas. La autenticación en dos fases requiere (al menos) dos formas distintas de autenticación, lo que es más eficaz que exigir solo una. Si bien no es imposible para los atacantes superar la 2FA, es mucho más difícil y costoso ponerla en riesgo que la autenticación solo con contraseña.

2) Aplicar permisos basados en roles

Recomendación: establece permisos basados en roles solo para usuarios autorizados

Sin embargo, el hecho de que se verifique la identidad de alguien no significa que este alguien deba tener control sobre todo. La autorización ayuda a determinar lo que un usuario autenticado puede ver y hacer (es decir, sus permisos).

Usuarios autorizados

Por ejemplo, normalmente un "superadministrador" será el único autorizado para editar todas las configuraciones y páginas, mientras que un usuario de "solo lectura" solo podrá ver los análisis del sitio, y nada más.

A medida que las organizaciones se expanden, también lo hace el número de funciones en sus equipos web: puede haber desarrolladores front-end, desarrolladores back-end, analistas de seguridad, analistas de informes, diseñadores web, editores de contenido y mucho más. Por lo tanto, es importante auditar y actualizar periódicamente los permisos basados en roles.

3) Cifrar el tráfico web con SSL/TLS

Recomendación: establecer conexiones con SSL/TLS autogestionados

Cualquier sitio web que recopile y transmita datos confidenciales, como credenciales de inicio de sesión, información de contacto, información de tarjetas de crédito, información de salud y más, necesita HTTPS. El HTTPS evita que la información de los sitios web se transmita de forma que cualquiera que husmee en la red pueda verla fácilmente.

Navegación segura con Certificado SSL

El HTTPS funciona a través de un protocolo llamado Transport Layer Security (TLS) — las versiones anteriores del protocolo se conocían como Secure Sockets Layer (SSL).

SSL/TLS automatizado

Busca un servicio que ofrezca certificados SSL/TLS autogestionados, que son los que permiten que los sitios web y las aplicaciones establezcan conexiones seguras.

TLS es la columna vertebral de las comunicaciones de la privacidad y la seguridad de los datos. Permite a los usuarios navegar por Internet de forma privada, sin exponer la información de su tarjeta de crédito u otra información personal y confidencial.

Con SSL/TLS, un cliente (como un navegador) puede verificar la autenticidad e integridad del servidor con el que se está conectando, y utilizar la encriptación para intercambiar información. Esto, a su vez, ayuda a prevenir ataques en ruta y a cumplir ciertos requisitos de conformidad de datos.

También hay otras ventajas: TLS ayuda a minimizar la latencia para acelerar los tiempos de carga de las páginas web, y los motores de búsqueda tienden a restar prioridad a los sitios web que no utilizan la encriptación.

Ten en cuenta que cada certificado SSL/TLS tiene una fecha de caducidad fija, y los periodos de validez de estos certificados se han acortado con el tiempo. Si un certificado ha caducado, los clientes (como el navegador del visitante) considerarán que no se puede establecer una conexión segura, lo que generará advertencias y/o errores. Las renovaciones de certificación no realizadas también pueden reducir la clasificación de un sitio web en los motores de búsqueda, pero ciertos servicios pueden gestionar la renovación automática.

4) Cifrar el tráfico DNS a través de HTTPS o TLS

Recomendación: garantiza la seguridad y la privacidad de la navegación de los usuarios con la encriptación DNS

El contenido de un sitio web no reside técnicamente en una URL como www.example.com, sino en una dirección IP única como 192.0.2.1. El proceso de convertir una URL en una dirección dirección IP compatible con máquinas se conoce como búsqueda del Sistema de nombres de dominio (DNS); y los registros DNS son las instrucciones de Internet sobre qué dirección IP está asociada a un dominio en particular.

Sin embargo, las consultas y respuestas de DNS se envían en texto sin formato (UDP) por defecto, lo que significa que pueden ser leídas por las redes, los ISPs y otros que puedan estar supervisando las transmisiones. Esto puede tener enormes implicaciones en la seguridad y la privacidad. Si las consultas DNS no son privadas, es más fácil para los gobiernos censurar Internet y para los atacantes acechar el comportamiento en línea de los usuarios.

Utiliza un agente de resolución DNS gratuito para encriptar el tráfico DNS con una de estas opciones:

  • DNS sobre TLS, o DoT, es un estándar para encriptar consultas DNS para mantenerlas seguras y privadas. Ofrece a los administradores de red la capacidad de supervisar y bloquear las consultas de DNS, lo cual es importante para identificar y detener el tráfico malicioso.
  • DNS sobre HTTPS, o DoH, es una alternativa a DoT. Con DoH, las consultas y respuestas de DNS están encriptadas, pero se envían a través de los protocolos HTTP o HTTP/2 en lugar de directamente a través de UDP. Esto da a los administradores de red menos visibilidad, pero proporciona a los usuarios más privacidad.

5) Integrar la seguridad DNS

Recomendación: resuelve ciertas limitaciones del sistema DNS con seguridad DNS especialmente diseñada

El propio sistema DNS no se diseñó teniendo en cuenta la seguridad y contiene varias limitaciones de diseño. Por ejemplo, no garantiza automáticamente la procedencia de los registros DNS, y acepta cualquier dirección que se le proporcione, sin hacer preguntas. Por lo tanto, los servidores DNS pueden ser vulnerables a la suplantación de dominio, a los ataques DoS (denegación de servicio) y mucho más.

Ataque DDoS basado en DNS

La seguridad DNS (DNSSEC) ayuda a solucionar algunos de los fallos de diseño del DNS. Por ejemplo, DNSSEC crea un sistema de nombres de dominio seguro añadiendo firmas criptográficas a los registros DNS existentes. Al comprobar su firma asociada, las organizaciones pueden verificar que un registro DNS solicitado procede de su servidor de nombres autoritativo, y no de un registro falso.

Algunos agentes de resolución DNS ya integran DNSSEC. Además, busca un agente de resolución DNS que pueda proporcionar funciones como el filtrado de contenido (que puede bloquear los sitios que se sabe que distribuyen malware y correo no deseado) y la protección contra botnet (que bloquea la comunicación con las botnets conocidas). Muchos de estos agentes de resolución DNS seguros son de uso gratuito y se pueden activar cambiando la configuración de un solo enrutador.

6) Ocultar la dirección IP de origen

Recomendación: dificulta a los atacantes encontrar tu servidor

Si los atacantes encontraran la dirección IP de origen del servidor de una organización (que es donde se alojan los recursos reales de la aplicación web), podrían enviar tráfico o ataques directamente a los servidores.

Dependiendo del agente de resolución DNS que ya esté instalado, los siguientes pasos también pueden ayudar a ocultar la dirección IP de origen:

  • No alojes un servicio de correo en el mismo servidor que el recurso web que se está protegiendo, ya que los correos electrónicos enviados a direcciones inexistentes se devuelven al atacante, revelando la dirección IP del servidor de correo.
  • Asegúrate de que el servidor web no se conecta a direcciones arbitrarias proporcionadas por los usuarios.
  • Dado que los registros DNS son de dominio público, rota las IPs de origen.

7) Impide los ataques DDoS

Recomendación: implementar la mitigación de DDoS siempre activa y la limitación de velocidad

En el peor de los casos, los ataques de denegación de servicio distribuido (DDoS) pueden desconectar un sitio web o toda la red durante largos periodos de tiempo.

Los ataques DDoS se producen cuando un gran número de ordenadores o dispositivos, normalmente controlados por un único atacante, intentan acceder a un sitio web o servicio en línea todos a la vez. Estos ataques maliciosos tienen como objetivo desconectar los recursos y hacer que no estén disponibles.

Los ataques DDoS a la capa de aplicación siguen siendo el tipo de ataque más común contra las aplicaciones web, y siguen siendo más sofisticados en términos de tamaño y frecuencia.

Ataques DDoS a la capa de aplicación

Busca las siguientes herramientas esenciales de prevención de DDoS:

  • Mitigación de DDoS siempre activa: busca una protección contra DDoS escalable y "siempre activa" con las siguientes funciones:
    • Absorción automática del tráfico malicioso lo más cerca posible del origen del ataque (lo que reduce la latencia del usuario final y el tiempo de inactividad de la organización)
    • Mitigación de ataques DDoS ilimitada y no medida (lo que evita cargos adicionales por picos en el tráfico de ataque)
    • Protección centralizada y autónoma contra todos los tipos de ataques DDoS (incluidos los ataques a la capa de aplicación y de red)
  • Limitación de velocidad: la limitación de velocidad es una estrategia para limitar el tráfico de red. Básicamente, pone un límite a la frecuencia con la que alguien puede repetir una acción dentro de un determinado periodo de tiempo, por ejemplo, cuando los botnets intentan realizar un DDoS a una aplicación web . Esto es comparable a un agente de policía que detiene a un conductor por exceder el límite de velocidad de la carretera. Hay dos tipos de limitación de velocidad:
    • La limitación de velocidad basada en una IP estándar, que protege los puntos finales sin autenticación, limita el número de solicitudes de direcciones IP específicas y gestiona el abuso de criminales reincidentes.
    • Limitación de limitación de velocidad avanzada , que también protege las APIs de abusos, mitiga los ataques volumétricos de las sesiones de API autenticadas y ofrece más personalización.

    Una protección integral contra las amenazas DDoS también depende de varios métodos que pueden variar en función del tamaño de una organización, su arquitectura de red y otros factores. Más información sobre cómo prevenir los ataques DDoS.

    8) Gestionar el uso de cookies y scripts de terceros

    Recomendación: busca herramientas específicas para abordar los riesgos del lado del cliente

    En el campo de desarrollo de páginas web, "el lado del cliente" se refiere a todos los elementos de aplicación web que aparecen o se llevan a cabo en el cliente (dispositivo del usuario final). Esto incluye todo lo que ve el usuario del sitio web, como texto, imágenes y el resto de la IU, junto con las acciones que una aplicación lleva a cabo dentro del navegador del usuario.

    La mayoría de los eventos del lado del cliente requieren la carga de JavaScript y otro código de terceros en el navegador del visitante web. Sin embargo, los atacantes intentan poner en riesgo esas dependencias (por ejemplo, con ataques al estilo Magecart). Esto expone a los visitantes web al malware, al robo de datos de tarjetas de crédito, a la criptominería y mucho más.

    Monitor de scripts del lado del cliente

    Las cookies también conllevan riesgos en el lado del cliente. Por ejemplo, un atacante puede explotar las cookies para exponer a los visitantes del sitio web a la manipulación de las cookies, lo que en última instancia puede conducir a la apropiación de cuentas o al fraude en los pagos. Sin embargo, los administradores del sitio web, los desarrolladores o los miembros del equipo de cumplimiento a menudo ni siquiera saben qué cookies utiliza su sitio web.

    Para reducir el riesgo de los scripts y las cookies de terceros, implementa un servicio que:

    • Detecte y gestione automáticamente los riesgos de scripts de terceros; y
    • Proporcione una visibilidad completa de las cookies propias que utilizan los sitios web.
  • 9) Bloquear bots y otro tráfico no válido

    Recomendación: identificar y mitigar proactivamente el tráfico de bots maliciosos

    Algunos bots son "buenos" y realizan un servicio necesario, como los rastreadores de motores de búsqueda autorizados. Sin embargo, otros bots son disruptivos y dañinos cuando no se controlan.

    Las organizaciones que venden bienes físicos o servicios en línea son especialmente vulnerables al tráfico de bots. Demasiado tráfico de bots puede provocar:

    • Impacto en el rendimiento: un tráfico excesivo de bots puede suponer una gran carga para los servidores web, ralentizando o denegando el servicio a los usuarios legítimos.
    • Interrupciones operativas: los bots pueden extraer o descargar contenido de un sitio web, propagar rápidamente contenido no deseado o acaparar el inventario en línea de una empresa.
    • Robo de datos y apropiación de cuentas: los bots pueden robar datos de tarjetas de crédito, credenciales de inicio de sesión y apropiarse de cuentas.

    Busca un servicio de gestión de bots que:

    • Identifica de forma precisa a los bots a escala mediante la aplicación de análisis de comportamiento, aprendizaje automático y análisis de huellas digitales en un vasto volumen de tráfico.
    • Permite a los bots buenos, como los que pertenecen a motores de búsqueda, seguir llegando al sitio, y aún así sigue evitando el tráfico malicioso.
    • Se integra fácilmente con otros servicios de seguridad y rendimiento de aplicaciones web
    • 10) Seguimiento y análisis del tráfico web y las métricas de seguridad

      Recomendación: mejora la seguridad web con decisiones basadas en datos

      Los análisis y los registros con datos procesables son importantes para mejorar el rendimiento y la seguridad web de forma continua.

      Por ejemplo, los registros y los paneles de control de seguridad de las aplicaciones pueden proporcionar información sobre:

      • amenazas potenciales en el tráfico HTTP, para que se puedan identificar y depurar los errores que afectan a los usuarios finales
      • variaciones de los ataques y sus cargas malintencionadas (por ejemplo, ataques de inyección frente a ataques de ejecución remota de código), para que los sistemas puedan "ajustarse" y reforzarse en consecuencia
      • tráfico de consultas DNS y distribución geográfica de las consultas a lo largo del tiempo para detectar el tráfico anómalo

      la visibilidad del análisis del tráfico web es un componente clave para la evaluación continua del riesgo. Con esta las organizaciones pueden tomar decisiones más informadas sobre cómo mejorar el rendimiento de sus aplicaciones y dónde impulsar sus inversiones en seguridad.

      ¿Cómo ayuda Cloudflare a asegurar los sitios web?

      La conectividad cloud de Cloudflare simplifica la seguridad y la entrega de las aplicaciones web con un conjunto completo de servicios integrados que conectan y protegen las aplicaciones web y las API de las organizaciones.

      Estos servicios incluyen la protección contra DDoS, un firewall de aplicaciones web (WAF) líder en el sector, la gestión de bots, la seguridad del lado del cliente, una puerta de enlace API, un agente de resolución DNS público gratuito, certificados SSL/TLS gratuitos, análisis integrales de rendimiento y seguridad web y mucho más.

      Descubre los servicios que se adaptan a las necesidades de tu sitio web en www.cloudflare.com/plans.