Consulta esta lista de verificación de seguridad de sitios web de 10 medidas clave que las organizaciones deben adoptar para autenticar y autorizar a los usuarios, cifrar el tráfico web, mitigar los riesgos de terceros, bloquear los ataques DDoS y los bots, y mucho más.
Después de leer este artículo podrás:
Copiar el enlace del artículo
La seguridad de los sitios web es fundamental para todas las organizaciones que dependen de las aplicaciones web como fuente de ingresos, eficiencia y conocimiento de los clientes. Las organizaciones con sitios web que reciben y almacenan datos confidenciales, o proporcionan infraestructura y servicios críticos, son particularmente susceptibles a ataques que varían en complejidad, escala y origen.
La seguridad de las aplicaciones web es una especialidad amplia y en constante evolución, ya que el panorama de las amenazas de Internet y el entorno normativo cambian constantemente. Por ejemplo, esta lista de verificación se enfoca en la protección de los sitios web, pero la protección de las API y las aplicaciones habilitadas para IA (que los sitios web incorporan cada vez más) es cada vez más importante para las grandes empresas.
Sin embargo, los sitios web públicos de todos los tamaños y sectores pueden beneficiarse de las medidas esenciales de control técnico, control de acceso y gestión de usuarios. Con ese fin, esta guía de seguridad de sitios web brinda las siguientes 10 recomendaciones:Recomendación: utiliza la autenticación en dos fases en lugar de la autenticación solo con contraseña
Al igual que una aerolínea debe verificar la identidad de un pasajero con un documento de identidad válido antes de permitirle abordar un avión, las organizaciones también deben verificar quién inicia sesión en los sistemas digitales que impulsan sus aplicaciones web.
El proceso de impedir el acceso no autorizado (al garantizar que las personas son quienes dicen ser) se denomina autenticación. La autenticación verifica la identidad al comparar características específicas, o "factores", con un registro digital.
Factores de autenticación más comunes:
El problema con el primer tipo es que los atacantes suelen adivinar o robar las contraseñas. Con el predominio del phishing, los ataques en ruta, intentos con contraseñas por fuerza bruta y la reutilización de contraseñas, se ha vuelto más sencillo para los atacantes robar credenciales de inicio de sesión.
Por esta razón, las organizaciones deben implementar la autenticación en dos fases (2FA) para sus cuentas. La autenticación en dos fases (2FA) requiere (al menos) dos formas distintas de autenticación, lo que es más eficaz que exigir solo una. Si bien la autenticación en dos fases (2FA) no es imposible de descifrar para los atacantes, es significativamente más difícil y costosa que la autenticación con contraseña.
Recomendación: establecer permisos en base a funciones solo para usuarios autorizados
Sin embargo, que la identidad de alguien esté verificada no significa que deba tener el control sobre todo. La autorización ayuda a determinar lo que un usuario autenticado puede ver y hacer (es decir, sus permisos).
Por ejemplo, un "superadministrador" puede ser el único autorizado para editar todas las configuraciones y páginas; mientras que un usuario de "solo lectura" solo puede ver las estadísticas del sitio, y nada más.
A medida que las organizaciones crecen, también lo hace el número de funciones en sus equipos web: puede haber desarrolladores front-end, desarrolladores back-end, analistas de seguridad, analistas de informes, diseñadores web, editores de contenido y mucho más. Por lo tanto, es importante auditar y actualizar periódicamente los permisos en base a las funciones.
Recomendación: establecer conexiones con SSL/ TLS autogestionado
Cualquier sitio web que recopile y transmita datos confidenciales, como credenciales de inicio de sesión, información de contacto, datos de tarjetas de crédito, información de salud, etc., necesita HTTPS. HTTPS impide que los sitios web difundan su información de forma que pueda ser vista fácilmente por cualquiera que curiosee en la red.
HTTPS funciona mediante un protocolo que se denomina seguridad de la capa de transporte o Transport Layer Security (TLS) — las versiones anteriores del protocolo se conocían como capa de puertos seguros o Secure Socket Layer (SSL).
Busca un servicio que ofrezca certificados SSL/ TLS autogestionados, que son los que permiten a los sitios web y las aplicaciones establecer conexiones seguras.
TLS es la red troncal de las comunicaciones para la privacidad y la seguridad de los datos. Permite a los usuarios navegar por Internet de forma privada, sin exponer los datos de tu tarjeta de crédito u otra información personal y confidencial.
Con SSL/TLS, un cliente (como un navegador) puede verificar la autenticidad e integridad del servidor con el que se conecta y utilizar el cifrado para intercambiar información. Esto, a su vez, ayuda a evitar los ataques en ruta y a cumplir con ciertos requisitos de cumplimiento normativo de datos .
También hay otros beneficios: TLS ayuda a minimizar la latencia para acelerar los tiempos de carga de las páginas web, y los motores de búsqueda suelen restar prioridad a los sitios web que no utilizan el cifrado.
Ten en cuenta que cada certificado SSL/TLS tiene una fecha de vencimiento fija, y que los periodos de validez de estos certificados se han acortado con el tiempo. Si un certificado está caducado, los clientes, como el navegador del visitante, considerarán que no se puede establecer una conexión segura, lo que generará advertencias o errores. No renovar la certificación también puede afectar el posicionamiento de un sitio web en los motores de búsqueda, pero algunos servicios pueden gestionar la renovación automática.
Recomendación: garantizar la seguridad y la privacidad de la navegación de los usuarios con el cifrado DNS
El contenido de un sitio web no está alojado técnicamente en una URL como www.example.com, sino en una dirección IP única como 192.0.2.1. El proceso de convertir una URL en una dirección IP accesible para la máquina se conoce como búsqueda en el sistema de nombres de dominio (DNS) ; y los registros DNS son las instrucciones de Internet para saber qué dirección IP está asociada con un dominio determinado.
Sin embargo, de forma predeterminada, las consultas y respuestas de DNS se envían en texto sin formato (UDP), lo que significa que pueden ser leídas por las redes, los proveedores de servicios de Internet y otros que puedan estar supervisando las transmisiones. Esto puede tener enormes implicancias en la seguridad y la privacidad. Si las consultas de DNS no son privadas, es más fácil para los gobiernos censurar Internet y para los atacantes acechar el comportamiento en línea de los usuarios.
Utiliza una resolución de DNS gratis para cifrar el tráfico DNS con una de estas opciones:
Recomendación: abordar ciertas limitaciones del sistema DNS con seguridad DNS específica.
El propio sistema DNS no se diseñó pensando en la seguridad y tiene varias limitaciones de diseño. Por ejemplo, no garantiza automáticamente de dónde provienen los registros DNS , y acepta cualquier dirección que se le proporcione, sin hacer preguntas. Por lo tanto, los servidores DNS pueden ser vulnerables a la suplantación de dominio, ataques DoS (denegación de servicio) y más.
La seguridad de DNS (DNSSEC) ayuda a solucionar algunas de las fallas de diseño del DNS. Por ejemplo, DNSSEC crea un sistema de nombres de dominio seguro al agregar firmas criptográficas a los registros DNS existentes. Al verificar su firma asociada, las organizaciones pueden verificar que un registro DNS solicitado procede de su servidor de nombres autorizado, y no de un registro falso.
Algunas resoluciones de DNS ya integran DNSSEC. Además, busca una resolución de DNS que pueda ofrecer funciones como filtrado de contenido (que puede bloquear sitios conocidos por distribuir malware y spam) y la protección contra red de robots (botnet) (que bloquea la comunicación con redes de robots conocidas). Muchas de estas resoluciones de DNS seguras son de uso gratuito y se pueden activar cambiando una única configuración del enrutador.
Recomendación: haz que sea más difícil para los atacantes encontrar tu servidor
Si los atacantes encontraran la IP de origen del servidor de una organización (que es donde se alojan los recursos reales de la aplicación web), podrían enviar tráfico o ataques directamente a los servidores.
Según la resolución de DNS que ya esté instalada, los siguientes pasos también pueden ayudar a ocultar la IP de origen:
Recomendación: implementar la mitigación de DDoS siempre activa y rate limiting
En el peor de los casos, los ataques de denegación de servicio distribuidos (DDoS) pueden dejar fuera de servicio un sitio web o toda la red durante periodos prolongados.
Los ataques DDoS ocurren cuando un gran número de computadoras o dispositivos, por lo general controlados por un único atacante, intentan acceder a un sitio web o servicio en línea al mismo tiempo. Estos ataques maliciosos tienen como objetivo desconectar recursos y hacer que no estén disponibles.
Los ataques DDoS a la capa de aplicación siguen siendo el tipo de ataque más común contra las aplicaciones web, y cada vez son más sofisticados en cuanto a magnitud y frecuencia.
Busca las siguientes herramientas esenciales para prevenir ataques DDoS :
Una protección integral contra las amenazas DDoS también depende de múltiples métodos que pueden variar según el tamaño de una organización, su arquitectura de red y otros factores. Más información sobre cómo evitar ataques DDoS.
Recomendación: buscar herramientas específicas para abordar los riesgos del lado del cliente
En el campo de desarrollo de páginas web, "el lado del cliente" hace referencia a todo lo que se muestra o tiene lugar en una aplicación web por parte del cliente (dispositivo del usuario final). Esto incluye lo que ve el usuario del sitio web, como texto, imágenes y el resto de la IU, junto con las acciones que realice una aplicación dentro del navegador del usuario.
La mayoría de los eventos del lado del cliente requieren la carga de JavaScript y otros códigos de terceros en el navegador del visitante web. Sin embargo, los atacantes tratan de comprometer esas dependencias (por ejemplo, con ataques al estilo Magecart). Esto hace que los visitantes sean vulnerables al malware, al robo de datos de tarjetas de crédito, a la minería de criptomonedas, etc.
Las cookies también implican riesgos del lado del cliente. Por ejemplo, un atacante puede explotar las cookies para exponer a los visitantes de un sitio web a la manipulación de cookies, lo que en última instancia puede conducir a la apropiación de cuentas o al fraude en los pagos. Sin embargo, los administradores de sitios web, los desarrolladores o los miembros del equipo de cumplimiento a menudo ni siquiera saben qué cookies utiliza su sitio web.
Para reducir el riesgo de scripts y cookies de terceros, implementa un servicio que haga lo siguiente:
Recomendación: identificar y mitigar de manera preventiva el tráfico de bots maliciosos
Algunos bots son "buenos" y prestan un servicio necesario, como los rastreadores autorizados de los motores de búsqueda. Pero otros bots son perjudiciales y dañinos si no se controlan.
Las organizaciones que venden bienes físicos o servicios en línea son particularmente vulnerables al tráfico de bots. Demasiado tráfico de bots puede provocar lo siguiente:
Busca un servicio de gestión de bots que:
Recomendación: mejorar la seguridad web con decisiones basadas en datos
Los análisis y registros con datos procesables son importantes para mejorar el rendimiento y la seguridad de la web de forma continua.
Por ejemplo, los registros y los paneles de control de seguridad de las aplicaciones pueden aportar información sobre lo siguiente:
La visibilidad del análisis del tráfico web es un componente clave para la evaluación continua de riesgos. De este modo, las organizaciones pueden tomar decisiones más informadas sobre cómo mejorar el rendimiento de sus aplicaciones y dónde aumentar sus inversiones en seguridad.
La conectividad cloud de Cloudflare simplifica la seguridad y la distribución de aplicaciones web, con un conjunto completo de servicios integrados que conectan y protegen las aplicaciones web y las API de las organizaciones.
Estos servicios incluyen protección DDoS, un firewall de aplicaciones web (WAF) líder en la industria , gestión de bots, seguridad del lado del cliente, una puerta de enlace API, una resolución de DNS pública gratis, certificados SSL/ TLS gratis, análisis integrales de rendimiento y seguridad web, y mucho más.
Conoce los servicios que se adaptan a las necesidades de tu sitio web en www.cloudflare.com/plans.