¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing

Publicado el 30/09/2015, por INCIBE
¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing

La relación entre «nuestra web» y un atacante que desea convertirla en una página de phishing es como una partida de Ajedrez.

Tenemos que saber colocar y mover bien nuestras piezas y si lo hacemos bien no nos costará demasiado ganarle la partida al ciberdelincuente.

Peones centrales

Es muy importante, como en cualquier partida de ajedrez, hacer una buena salida y mover bien los peones. En nuestro caso, los peones serán medidas que si bien no son imprescindibles para una buena defensa, su buena colocación ayudará ante futuros ataques por parte del adversario.

Así, los peones centrales, los más importante, serán las medidas «Si tu web requiere un desarrollo web, exige desarrollo seguro» y «Mantén siempre una copia de seguridad actualizada de los contenidos de tu web».

La primera medida puede no proteger a tu web en su estado actual, pero un desarrollo seguro dificultará enormemente cualquier ataque del adversario.

La segunda medida tampoco protegerá, estrictamente hablando, tu web, pero en caso de sufrir un ataque, podrás aprovecharte de ella y poner la web en funcionamiento de nuevo de una manera mucho más rápida.

Alfiles

Los caballos y alfiles son las siguientes piezas a desplegar. Como el alfil es una ficha más atacante que defensiva, son medidas a tomar cuando queremos sacar adelante nuestra web de una forma segura. Es muy importante «usar siempre un hosting de confianza». Si se va a subcontratar el hosting, no podemos ir a la tienda de la esquina. Es muy importante informarnos bien y contratar empresas que tengan un importante bagaje en cuanto a alojamiento web. Consultarles siempre sobre medidas de seguridad.

El otro alfil de nuestra partida implica «dar permisos de actualización de la web sólo a empleados de confianza», de esta manera si un ciberdelincuente accede al ordenador de un empleado «estándar», le será más difícil acceder a la web de la empresa.

Caballos

El caballo es una pieza más defensiva, por eso nuestros dos caballos serán: «reforzar la seguridad de las contraseñas de tus servicios web» y «revisar regularmente los sistemas de monitorización».

El primer caballo nos ayudará a dificultar al ciberdelincuente el acceso a nuestros servidores. Una contraseña robusta es básica para que un atacante no pueda acceder a nuestra web simplemente intentando gran número de posibles combinaciones. Por eso es importante que las contraseñas cumplan los siguientes requisitos: una longitud de al menos ocho caracteres y que contenga al menos tres de los siguientes cuatros grupos de caracteres: mayúsculas, minúsculas, números y símbolos.

El segundo caballo nos permitirá detectar un incremento de tráfico repentino hacia páginas poco importantes, lo que podría ser una pista de que la web ha sido comprometida. Se trata de una medida de detección que en sí no frenará al atacante pero que nos permitirá detectar de una forma rápida un movimiento suyo.

Peones laterales

Puede este ser un buen momento para desplegar alguno de los peones de flanco que, si bien no defenderán directamente al rey, sí que servirán frenar algún posible movimiento malicioso.

Uno de estos dos peones es: «comprobar regularmente si tu web se encuentra en alguna lista negra». Generalmente no es fácil detectar que tu web está siendo usada para alojar un phishing, si no te lo dice un experto. Consultando este tipo de listados de forma periódica (o apuntándonos a esas listas de distribución) podremos saber de una forma rápida si nuestra web está siendo atacada.

Otro peón es «si notas cualquier cosa rara, consulta con tu hosting». Hay que recordar que es su trabajo ayudarte en cualquier duda que tengas. No dudes en aprovechar el contrato que tienes firmado con ellos.

La reina

Nos toca ya sacar la artillería pesada. La reina de todos los consejos para proteger una web es «mantener actualizado el software usado por tu servidor web». Este consejo defiende directamente a la web ya que la gran mayoría de las webs comprometidas lo son porque su software CMS (el sistema de gestión de contenidos web) o sus tecnologías web (PHP, ASP, etc.) no fueron actualizados.

En caso de que tengamos contratado un hosting para alojar nuestra web dejaremos esta tarea a la empresa de alojamiento, pero nosotros también deberemos actualizar el software de nuestros equipos y servidores. De poco sirve que nuestra empresa de hosting haga su trabajo si el atacante entra a través de los equipos de nuestros empleados.

Una vez que tenemos abierto hueco y ganado el centro del tablero, puede ser un buen momento para desplegar la Reina. Como reina que es, «la actualización de todo el software» es la medida que frustra gran parte de los intentos de los ciberdelincuentes de atacar nuestra web. Además, los propios atacantes al comprobar que tenemos siempre actualizado el software, desisten y preferirán atacar la web de otro. Tenemos el camino despejado para la victoria.

Las torres

Una vez que tenemos abierto el camino, es el momento de sacar las torres para dar el jaque mate final. Las dos torres son los pilares que mantienen la seguridad de una web, se trata de «implantar de un plan de concienciación de seguridad entre los empleados de la empresa», por una parte y «realizar auditorías de seguridad periódicas a la web» por otra.

La primera medida nos asegura de que haya un marco y una atmosfera de seguridad en la empresa, que provocará que todos los pasos que se sigan estén dirigidos por una sensación de concienciación ante los posibles ataques que podemos recibir. Con la segunda nos aseguramos que los servicios web están actualizados y que no tiene (aparentemente) vulnerabilidades.

Conclusión

Como vemos todas las piezas ayudan en esta gran partida que es la defensa de nuestro rey, es decir, «nuestra página web». Todas estas piezas bien movidas y bien coordinadas conducirán hacia una victoria.

¿Cómo evitar que tu web esté en jaque? Medidas para prevenir el phishing. Mantén actualizado el software de tu servidor web Implantación de un plan de concienciación de seguridad entre los empleados de la empresa. Realización auditorías de seguridad periódicas a la web. Da permisos de modificación de la web solo a empleados de confianza de la empresa. Usa siempre un hosting de confianza. Refuerza la seguridad de las contraseñas de tus servicios web. Revisa regularmente los sistemas de monitorización. Si tu web requiere un desarrollo, exige desarrollo seguro. Mantén siempre una copia de seguridad actualizada de los contenidos de tu web. Comprueba regularmente si tu web se encuentra en alguna lista negra. Si notas cualquier cosa rara, consulta con tu proveedor de hosting