Un sitio web es la carta de presentación de una empresa en Internet. Dicho de otra manera, es la puerta por la que se recibe a los clientes y se transmite la imagen corporativa, generando una primera impresión en el cliente que puede ser más o menos positiva según su experiencia en la web visitada.

Las empresas consideran que disponer de un sitio bien estructurado, con un diseño atractivo y bien posicionado en buscadores, es importante para llegar a los clientes pero, en ocasiones, no se tiene en cuenta un parámetro tan importante como es la seguridad.

Por ello, en el primer lugar de la pirámide deberíamos colocar la seguridad, ya que no debemos olvidar que trabajamos con información sensible que puede ser sustraída y provocar graves consecuencias, tanto económicas, como reputacionales a la empresa y a nuestros clientes. Un sitio web que no aporte confianza, redundará en una experiencia negativa que acarreará generalmente un impacto económico para la empresa, así como en la percepción que tienen los usuarios de la misma (reducción de ventas, imagen negativa, incidentes de seguridad, multas por incumplimiento de la ley, etc.).

INCIBE, a través de Protege tu empresa, quiere darte a conocer las herramientas de análisis online que pueden ayudarte a realizar un análisis de tu web, determinar si cumple los requisitos de seguridad aconsejados o, por el contrario, si debemos mejorar en este aspecto.

ANÁLISIS DE LA SEGURIDAD DE UN SITIO WEB

Hemos realizado una selección de herramientas gratuitas según su popularidad, eficacia y fiabilidad. Estas herramientas están agrupadas en las siguientes categorías:

• certificados (https)
• análisis de vulnerabilidades conocidas
• reputación web
• malware
• listas negras de correo.

Veamos a continuación en qué consiste cada categoría y qué utilidades podemos emplear.

CERTIFICADOS

Actualmente un certificado web es un requisito necesario para que una web sea considerada segura.

Existen varios tipos de certificados disponibles para esta función, pero deberíamos contar en nuestro sitio web con un certificado SSL que verifique, al menos, que somos los propietarios del sitio.

En caso de que contemos con tráfico elevado de visitas y el presupuesto lo permita, podemos recurrir al certificado más seguro y fiable actualmente, denominado SSL EV (certificado de validación extendida). Es llamado así, porque las verificaciones que realiza la autoridad certificadora son más específicas y requieren más información por parte de la empresa, lo que conlleva que su obtención se demore algunos días y no unos minutos. Estos certificados validan que la empresa es quién dice ser, además de comprobar la titularidad del dominio, con lo cual la garantía es doble.

Recuerda que los certificados para sitios web, permiten además mejorar el posicionamiento de nuestra web.

Podemos obtener estos certificados de autoridades certificadoras reconocidas en Internet, o bien, a través de nuestro proveedor de dominio, quien realizará las gestiones pertinentes como intermediario entre la empresa y la autoridad certificadora o CA.

Dentro de esta categoría, podemos señalar al menos 3 herramientas de verificación de certificados que aportan gran información:

• https://decoder.link
• https://www.ssllabs.com/ssltest/index.html
• https://ssltools.digicert.com/checker/views/checkInstallation.jsp

Mediante estas herramientas podemos verificar si el certificado está correctamente instalado y por tanto, si los visitantes acceden de forma segura a nuestra web, (HTTPS TLS 1.3), el tipo de cifrado que se aplica, el periodo de validez o expiración e incluso si la cadena de certificados es correcta o no, ya que, en muchas ocasiones, el certificado que utiliza un sitio web está emitido por una autoridad certificadora intermedia y no por una entidad certificadora principal o ¡root CA¡ como se le conoce en inglés.

Dicho de otra manera, si nuestra web es segura, los visitantes verán un candado en la barra de direcciones de su navegador, indicándoles que la pagina ha superado los controles de seguridad de una autoridad certificadora y que, por tanto, su información está cifrada y no puede ser descifrada por terceros, aportándoles confianza en la web y en la imagen corporativa.

ANÁLISIS DE VULNERABILIDADES CONOCIDAS

Estas herramientas auditan las vulnerabilidades conocidas, detectando las debilidades y carencias de nuestro sitio web, y ayudándonos a reforzar la seguridad y de esta manera, proteger su información. Generalmente un sitio inseguro o vulnerable es el objetivo principal de un ciberdelincuente, ya que requieren menos trabajo y tiempo para realizar sus acciones.

Dentro de esta categoría, podemos analizar las vulnerabilidades con herramientas online o de modo offline a través de utilidades específicas.

• https://observatory.mozilla.org/: puntúa de 0 a 100 y de A a F, siendo 100 el mejor resultado y A la nota más alta.
• https://quttera.com/: informe detallado de malware y vulnerabilidades.
• https://sitecheck.sucuri.net/: una web que proporciona un informe si el sitio web contiene errores, malware o esta desactualizado, además también comprueba si se encuentra en las principales listas negras.

Si tras analizar nuestro sitio web observamos deficiencias graves, no debemos dejarlas pasar, ya que se trata de verificaciones esenciales que se deben cumplir para que un sitio sea seguro.

También se puede optar por auditar tu sitio web mediante aplicaciones que podemos descargar en nuestro equipo:

• https://portswigger.net/burp: aunque es una herramienta más técnica es muy completa y dispone de documentación de ayuda (en inglés).
• https://owasp.org/www-project-zap/: es una herramienta gratuita mantenida por la comunidad de usuarios de Internet y más sencilla de utilizar que Burp, ya que cuenta con una prueba de vulnerabilidades a través de un asistente con solo dos pasos, teclear el nombre del sitio web y hacer clic en ‘atacar’. Aunque no ataca el sitio, sino que prueba las posibles vulnerabilidades y da un reporte muy detallado de los fallos y /o vulnerabilidades que haya encontrado.

Si no dispones de personal técnico en tu empresa, siempre puedes recurrir a algún profesional en la materia. Desde INCIBE, ponemos a tu disposición nuestro Catálogo de empresas de ciberseguridad, donde podrás encontrar profesionales del sector que pueden ayudarte a mejorar la seguridad de tu web.

ANÁLISIS DE REPUTACIÓN WEB Y VERIFICACIÓN DE SITIO SEGURO

Una buena reputación permite que el posicionamiento sea claro y fluido y los buscadores sitúen la web en las primeras posiciones en las búsquedas, además evitará que se produzcan bloqueos por parte de servidores DNS de Internet y los usuarios podrán acceder a la web corporativa mediante búsquedas relacionadas con la marca, sector o los productos o servicios ofrecidos.

La reputación en Internet no solo se basa en las opiniones o críticas recibidas hacia la empresa por parte de los clientes, sino también en la calidad del posicionamiento en buscadores, el tipo de tráfico recibido y la presencia en redes sociales entre otras cosas.

Además, también se tienen en cuenta otros factores como son el tiempo que el dominio figura registrado, si ha sufrido ataques de malware y está registrado por las listas de software antimalware y antispam, el uso del correo electrónico, las IP que visitan el dominio, si se encuentra bajo sospecha de ataques, etc.

Otros motivos que influyen en la reputación son si el servidor donde está alojada la página web contiene virus y está enviando correos infectados, si la IP usada por el dominio ha sido utilizada para enviar spam anteriormente o incluso si algún equipo de la red corporativa se encuentra infectado enviando mensajes de correo masivamente.

Cada herramienta analiza una serie de parámetros y establece un valor de reputación. Estos valores son realmente orientativos y permiten conocer si el sitio web está teniendo problemas de alguna clase que impedirían a los visitantes acceder a él o si ha sido víctima de phishing o está enviando spam a través del correo electrónico.

Algunas de estas herramientas que realizan este cometido son:

• https://www.urlvoid.com/: informe del proveedor de dominio y si el sitio está infectado por malware según los principales antivirus.
• https://www.brightcloud.com/tools/url-ip-lookup.php: da un reporte basado en las posibles infecciones del sitio, su popularidad y su antigüedad
• https://talosintelligence.com/reputation_center/support#faq2: informa de problemas de reputación web o de correo, así como del volumen de correos y de cambios.

A continuación, veremos unas herramientas que nos ayudan a comprobar si los navegadores detectan el sitio como seguro, lo que indicaría que el certificado web está correctamente instalado y funcionando:

• https://transparencyreport.google.com/safe-browsing/search: Google escanea diariamente Internet en busca de sitios no seguros. Permite verificar cualquier sitio web a través de https://seomator.com/free-tools/safe-browsing-test.

Como alternativa a todas estas herramientas, también podemos usar whois (vocablo del inglés: quién es), para averiguar quién es el propietario del dominio y su registrador.

• https://whois.net
• https://lookup.icann.org/lookup
• https://who.isn

Gracias a estas herramientas podremos ver la información del titular, su correo electrónico de contacto, y el domicilio del registro, además de la dirección de correo del hosting para recurrir a ella en caso de irregularidades con el dominio

LISTAS NEGRAS DE CORREO

Si nuestro dominio web está en una lista negra significa que ha sido o está siendo usado para enviar correos de spam, es decir, envíos masivos de correos publicitarios.

Por seguridad, tanto proveedores de Internet, como de dominio, suelen bloquear este tipo de comportamientos y limitar el número máximo de envíos que una dirección de correo puede realizar diariamente, casi siempre la limitación es suficientemente alta como para no tener problemas (500 o más envíos diarios en algunos casos). En caso de tener que realizar campañas de mail-marketing hay servicios específicos que utilizan servidores con políticas de envíos masivos (limitadas también), pero legitimados para llevarlas a cabo.

Algunas de las herramientas de verificación de correo son:

• https://tools.pepipost.com/email-blacklist-checker
• https://mxtoolbox.com/blacklists.aspx
• https://www.spamhaus.org/lookup/

¿Qué podemos hacer en caso de estar en una lista negra de spam?

Si nuestra dirección de correo electrónico ha sido incluida en una lista negra debemos ponernos en contacto con la empresa responsable de esa lista para solicitar que nos facilite los motivos de la inclusión y verificar si se ajustan o no a la situación. En caso de que fuera un fallo por su parte, podemos solicitar que nos retiren de ella.

En caso contrario, debemos comprobar que no hayamos realizado prácticas no permitidas (envío masivo de correos) o que la seguridad de nuestro dominio no ha sido comprometida, ya que puede estar siendo usado para el envío masivo de correo electrónico. Para resolver esta situación, debemos escanear los equipos para verificar que no hay virus o malware instalado en los mismos.

Una vez realizadas todas estas comprobaciones, nos pondremos en contacto con el proveedor de Internet para que desbloqueen la dirección de correo, (generalmente bloquean los puertos de envío como el 25 o el 587, pídeles que desbloqueen esos puertos a través de su servicio técnico) tampoco está demás echar un vistazo a tu hosting, para que nos indique una solución a este problema, pues podría darse el caso de que ellos mismos, a través de sus propios filtros, estén bloqueando el dominio de correo.

Si el bloqueo se ha producido a nivel de otros proveedores, la única opción será tratar de corregir el spam para que de forma automática salgamos de las listas y se recupere la normalidad, aunque hemos de advertir que este procedimiento es lento y puede llevar incluso meses, si bien, finalmente recuperaremos la dirección de correo electrónico y nuestros mensajes no serán marcados como spam y enviados a la bandeja de entrada de nuestros destinatarios.

Finalmente, cabe mencionar también que las herramientas de comprobación sugeridas en este blog, ofrecen entre sus servicios, las gestiones necesarias para salir de las listas negras de correo.

MALWARE

Actualmente, la mayor parte de los navegadores utilizan la navegación segura de Google, es decir, Google escanea cada día las páginas web en busca de sitios no seguros, por tanto si nuestro sitio web es considerado no seguro, puede ser una señal de que quizá nuestro sitio web contiene malware o spam.

Llegados a este punto, si nuestro sitio figura como listado con malware debemos activar todas las alarmas y tratar de solucionar la incidencia rápidamente, suspendiendo el servicio, si la gravedad de la situación lo requiriese, ya que podría poner en riesgo toda la información de nuestra empresa y clientes.

Veamos a continuación algunas herramientas recomendadas para verificar la existencia de malware en nuestro sitio web:

• https://www.malwaredomainlist.com/mdl.php
• https://www.virustotal.com/gui/home/upload
• https://metadefender.opswat.com/?lang=en

Debemos tener en cuenta que los resultados de estos sitios web pueden no ser concluyentes. Como medida alternativa, si queremos obtener un resultado más fiable, podemos analizar con un software antivirus los contenidos de nuestra web. Para ello, descargamos en un equipo la carpeta ‘public_html’, a través de un cliente FTP, y realizaríamos un escaneo de dicho contenido. Si estuviera infectado, el antivirus realizaría la limpieza y podríamos volver a subirla a nuestra web totalmente limpia.

CONCLUSIONES

La seguridad de la información en la empresa depende de las buenas prácticas, de nuestro interés y responsabilidad por permanecer seguros y proteger a nuestros clientes, brindando, por tanto, un servicio de calidad. Fomentar la seguridad en nuestro sitio web no solo atrae más clientes, también evita problemas y por tanto, reduce los costes económicos y reputacionales de nuestro negocio.

Recuerda siempre hacer las verificaciones con más de una herramienta para tener diferentes puntos de vista. La seguridad de tu web es una responsabilidad primordial en la empresa. Revísala a menudo y recuerda que la mejor defensa es la prevención y la concienciación.

Las herramientas mostradas aquí, han sido testeadas por INCIBE y corresponden a páginas web verificadas (https).

Protégete y protege tu empresa con la información diaria que publicamos en nuestras redes sociales (Facebook, Twitter, Telegram, Pinterest), o suscríbete a nuestros boletines donde estarás al tanto de las últimas novedades de INCIBE.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.