Consulta esta lista de comprobación de seguridad del sitio web con 10 medidas clave que las organizaciones deben adoptar para autenticar y autorizar a los usuarios, encriptar el tráfico web, mitigar los riesgos de terceros, bloquear los ataques DDoS y los bots, y mucho más.
Después de leer este artículo podrás:
Copiar enlace del artículo
La seguridad de los sitios web es fundamental para todas las organizaciones que dependen de las aplicaciones web como fuente de ingresos, eficiencia y conocimientos de los clientes. Las organizaciones con sitios web que reciben y almacenan datos confidenciales, o proporcionan infraestructura y servicios críticos, son especialmente susceptibles a ataques que varían en complejidad, escala y origen.
La seguridad de las aplicaciones web como disciplina es amplia y está en constante evolución, dado que el panorama de las amenazas de Internet y el entorno normativo cambian constantemente. Por ejemplo, esta lista de comprobación se centra en cómo proteger los sitios web, pero la protección de las API y las aplicaciones habilitadas para IA (que los sitios web incorporan cada vez más) es cada vez más importante para las grandes empresas.
Sin embargo, los sitios web públicos de todos los tamaños y sectores pueden beneficiarse de las medidas tipo "apuesta" en torno a los controles técnicos, el control de control de acceso y la gestión de usuarios. Con ese fin, esta guía de seguridad del sitio web incluye las siguientes 10 recomendaciones:Recomendación: utiliza la autenticación en dos fases en lugar de la autenticación solo con contraseña
Al igual que una aerolínea debe verificar la identidad de un pasajero con una identificación válida antes de permitirle subir a un avión, las organizaciones también deben verificar quién está iniciando sesión en los sistemas digitales que alimentan sus aplicaciones web.
El proceso de evitar el acceso no autorizado (asegurándose de que las personas son quienes dicen ser) se denomina autenticación. La autenticación verifica la identidad comprobando características específicas, o "factores", en un registro digital.
Los siguientes son los factores de autenticación más comunes:
El problema del primer tipo es que los atacantes a menudo pueden adivinar o robar las contraseñas. Con la prevalencia del phishing, los ataques en ruta, los intentos de descifrar una contraseña por fuerza bruta y la reutilización de contraseñas, a los atacantes les resulta más sencillo recopilar las credenciales de inicio de sesión robadas.
Por este motivo, las organizaciones deben implementar la autenticación en dos fases (2FA) para sus cuentas. La autenticación en dos fases requiere (al menos) dos formas distintas de autenticación, lo que es más eficaz que exigir solo una. Si bien no es imposible para los atacantes superar la 2FA, es mucho más difícil y costoso ponerla en riesgo que la autenticación solo con contraseña.
Recomendación: establece permisos basados en roles solo para usuarios autorizados
Sin embargo, el hecho de que se verifique la identidad de alguien no significa que este alguien deba tener control sobre todo. La autorización ayuda a determinar lo que un usuario autenticado puede ver y hacer (es decir, sus permisos).
Por ejemplo, normalmente un "superadministrador" será el único autorizado para editar todas las configuraciones y páginas, mientras que un usuario de "solo lectura" solo podrá ver los análisis del sitio, y nada más.
A medida que las organizaciones se expanden, también lo hace el número de funciones en sus equipos web: puede haber desarrolladores front-end, desarrolladores back-end, analistas de seguridad, analistas de informes, diseñadores web, editores de contenido y mucho más. Por lo tanto, es importante auditar y actualizar periódicamente los permisos basados en roles.
Recomendación: establecer conexiones con SSL/TLS autogestionados
Cualquier sitio web que recopile y transmita datos confidenciales, como credenciales de inicio de sesión, información de contacto, información de tarjetas de crédito, información de salud y más, necesita HTTPS. El HTTPS evita que la información de los sitios web se transmita de forma que cualquiera que husmee en la red pueda verla fácilmente.
El HTTPS funciona a través de un protocolo llamado Transport Layer Security (TLS) — las versiones anteriores del protocolo se conocían como Secure Sockets Layer (SSL).
Busca un servicio que ofrezca certificados SSL/TLS autogestionados, que son los que permiten que los sitios web y las aplicaciones establezcan conexiones seguras.
TLS es la columna vertebral de las comunicaciones de la privacidad y la seguridad de los datos. Permite a los usuarios navegar por Internet de forma privada, sin exponer la información de su tarjeta de crédito u otra información personal y confidencial.
Con SSL/TLS, un cliente (como un navegador) puede verificar la autenticidad e integridad del servidor con el que se está conectando, y utilizar la encriptación para intercambiar información. Esto, a su vez, ayuda a prevenir ataques en ruta y a cumplir ciertos requisitos de conformidad de datos.
También hay otras ventajas: TLS ayuda a minimizar la latencia para acelerar los tiempos de carga de las páginas web, y los motores de búsqueda tienden a restar prioridad a los sitios web que no utilizan la encriptación.
Ten en cuenta que cada certificado SSL/TLS tiene una fecha de caducidad fija, y los periodos de validez de estos certificados se han acortado con el tiempo. Si un certificado ha caducado, los clientes (como el navegador del visitante) considerarán que no se puede establecer una conexión segura, lo que generará advertencias y/o errores. Las renovaciones de certificación no realizadas también pueden reducir la clasificación de un sitio web en los motores de búsqueda, pero ciertos servicios pueden gestionar la renovación automática.
Recomendación: garantiza la seguridad y la privacidad de la navegación de los usuarios con la encriptación DNS
El contenido de un sitio web no reside técnicamente en una URL como www.example.com, sino en una dirección IP única como 192.0.2.1. El proceso de convertir una URL en una dirección dirección IP compatible con máquinas se conoce como búsqueda del Sistema de nombres de dominio (DNS); y los registros DNS son las instrucciones de Internet sobre qué dirección IP está asociada a un dominio en particular.
Sin embargo, las consultas y respuestas de DNS se envían en texto sin formato (UDP) por defecto, lo que significa que pueden ser leídas por las redes, los ISPs y otros que puedan estar supervisando las transmisiones. Esto puede tener enormes implicaciones en la seguridad y la privacidad. Si las consultas DNS no son privadas, es más fácil para los gobiernos censurar Internet y para los atacantes acechar el comportamiento en línea de los usuarios.
Utiliza un agente de resolución DNS gratuito para encriptar el tráfico DNS con una de estas opciones:
Recomendación: resuelve ciertas limitaciones del sistema DNS con seguridad DNS especialmente diseñada
El propio sistema DNS no se diseñó teniendo en cuenta la seguridad y contiene varias limitaciones de diseño. Por ejemplo, no garantiza automáticamente la procedencia de los registros DNS, y acepta cualquier dirección que se le proporcione, sin hacer preguntas. Por lo tanto, los servidores DNS pueden ser vulnerables a la suplantación de dominio, a los ataques DoS (denegación de servicio) y mucho más.
La seguridad DNS (DNSSEC) ayuda a solucionar algunos de los fallos de diseño del DNS. Por ejemplo, DNSSEC crea un sistema de nombres de dominio seguro añadiendo firmas criptográficas a los registros DNS existentes. Al comprobar su firma asociada, las organizaciones pueden verificar que un registro DNS solicitado procede de su servidor de nombres autoritativo, y no de un registro falso.
Algunos agentes de resolución DNS ya integran DNSSEC. Además, busca un agente de resolución DNS que pueda proporcionar funciones como el filtrado de contenido (que puede bloquear los sitios que se sabe que distribuyen malware y correo no deseado) y la protección contra botnet (que bloquea la comunicación con las botnets conocidas). Muchos de estos agentes de resolución DNS seguros son de uso gratuito y se pueden activar cambiando la configuración de un solo enrutador.
Recomendación: dificulta a los atacantes encontrar tu servidor
Si los atacantes encontraran la dirección IP de origen del servidor de una organización (que es donde se alojan los recursos reales de la aplicación web), podrían enviar tráfico o ataques directamente a los servidores.
Dependiendo del agente de resolución DNS que ya esté instalado, los siguientes pasos también pueden ayudar a ocultar la dirección IP de origen:
Recomendación: implementar la mitigación de DDoS siempre activa y la limitación de velocidad
En el peor de los casos, los ataques de denegación de servicio distribuido (DDoS) pueden desconectar un sitio web o toda la red durante largos periodos de tiempo.
Los ataques DDoS se producen cuando un gran número de ordenadores o dispositivos, normalmente controlados por un único atacante, intentan acceder a un sitio web o servicio en línea todos a la vez. Estos ataques maliciosos tienen como objetivo desconectar los recursos y hacer que no estén disponibles.
Los ataques DDoS a la capa de aplicación siguen siendo el tipo de ataque más común contra las aplicaciones web, y siguen siendo más sofisticados en términos de tamaño y frecuencia.
Busca las siguientes herramientas esenciales de prevención de DDoS:
Una protección integral contra las amenazas DDoS también depende de varios métodos que pueden variar en función del tamaño de una organización, su arquitectura de red y otros factores. Más información sobre cómo prevenir los ataques DDoS.
Recomendación: busca herramientas específicas para abordar los riesgos del lado del cliente
En el campo de desarrollo de páginas web, "el lado del cliente" se refiere a todos los elementos de aplicación web que aparecen o se llevan a cabo en el cliente (dispositivo del usuario final). Esto incluye todo lo que ve el usuario del sitio web, como texto, imágenes y el resto de la IU, junto con las acciones que una aplicación lleva a cabo dentro del navegador del usuario.
La mayoría de los eventos del lado del cliente requieren la carga de JavaScript y otro código de terceros en el navegador del visitante web. Sin embargo, los atacantes intentan poner en riesgo esas dependencias (por ejemplo, con ataques al estilo Magecart). Esto expone a los visitantes web al malware, al robo de datos de tarjetas de crédito, a la criptominería y mucho más.
Las cookies también conllevan riesgos en el lado del cliente. Por ejemplo, un atacante puede explotar las cookies para exponer a los visitantes del sitio web a la manipulación de las cookies, lo que en última instancia puede conducir a la apropiación de cuentas o al fraude en los pagos. Sin embargo, los administradores del sitio web, los desarrolladores o los miembros del equipo de cumplimiento a menudo ni siquiera saben qué cookies utiliza su sitio web.
Para reducir el riesgo de los scripts y las cookies de terceros, implementa un servicio que:
Recomendación: identificar y mitigar proactivamente el tráfico de bots maliciosos
Algunos bots son "buenos" y realizan un servicio necesario, como los rastreadores de motores de búsqueda autorizados. Sin embargo, otros bots son disruptivos y dañinos cuando no se controlan.
Las organizaciones que venden bienes físicos o servicios en línea son especialmente vulnerables al tráfico de bots. Demasiado tráfico de bots puede provocar:
Busca un servicio de gestión de bots que:
Recomendación: mejora la seguridad web con decisiones basadas en datos
Los análisis y los registros con datos procesables son importantes para mejorar el rendimiento y la seguridad web de forma continua.
Por ejemplo, los registros y los paneles de control de seguridad de las aplicaciones pueden proporcionar información sobre:
la visibilidad del análisis del tráfico web es un componente clave para la evaluación continua del riesgo. Con esta las organizaciones pueden tomar decisiones más informadas sobre cómo mejorar el rendimiento de sus aplicaciones y dónde impulsar sus inversiones en seguridad.
La conectividad cloud de Cloudflare simplifica la seguridad y la entrega de las aplicaciones web con un conjunto completo de servicios integrados que conectan y protegen las aplicaciones web y las API de las organizaciones.
Estos servicios incluyen la protección contra DDoS, un firewall de aplicaciones web (WAF) líder en el sector, la gestión de bots, la seguridad del lado del cliente, una puerta de enlace API, un agente de resolución DNS público gratuito, certificados SSL/TLS gratuitos, análisis integrales de rendimiento y seguridad web y mucho más.
Descubre los servicios que se adaptan a las necesidades de tu sitio web en www.cloudflare.com/plans.