Por Bryan Romero.
Un sitio web ayuda a nuestra empresa a tener presencia en el internet, así como brindar al público información de nuestro negocio, los productos y/o servicios que ofrece, con la finalidad obtener los datos de potenciales clientes (leads) a través de los formularios, y mantener informado a dichos clientes, es por ello que se debe de contar con herramientas que procuren la confidencialidad para que la información privada no sea revelada a terceras personas; integridad, para que la información sólo pueda ser modificada por los encargados; y disponibilidad, para que el contenido esté disponible cuando un usuario o público externo lo requiera.
La información es un activo de la empresa y si es adulterada o eliminada debido a ataques informáticos puede perjudicarnos, algunos de los ataques informáticos más comunes realizados a sitios web son los siguientes:
- RFI (Remote File Inclusion), dirigida a sitios web desarrolladas en php.
- Inyección sql, afecta a sitios web que están vinculados a base de datos.
- Ataques XSS, Cross-Site Scripting, inyectan script en un sitio web para ser procesado y ejecutado.
- XAS – Cross Agent Scripting, el ataque modifica la cabecera HTTP user-agent inyectando código JavaScript.
- Ataques Cross-site scripting basados en DOM, debido a que el DOM facilita la estructura de los documentos HTML y XML para su fácil modificación, los atacantes aprovechan modificándolo desde el navegador de la víctima.
- Ataques DDOS, el ataque satura los recursos del servidor realizando varias solicitudes al sitio web.
Incluso, hace un par de años atrás, atacantes aprovecharon los robots de Google, para hacerse pasar como un falso Googlebot y realizar ataques DDOS perjudicando los recursos del servidor, el webmaster pensando en una solución rápida bloquearía los robots a través del archivo robot.txt, pero al hacerlo afectaría en el posicionamiento de nuestro sitio web en los buscadores. Por lo que debemos de contar con herramientas para proteger nuestro sitio web ya sea implementado un CMS de software libre o un sitio web desarrollado por especialistas, utilizando plataformas de desarrollo de software.
Si tu negocio utiliza un software de CMS (Content Management System) ya sea WordPress, Joomla o Drupal (los más populares), debemos de contratar plugins de empresas confiables que ayuden en la seguridad de la información para bloquear ataques de robots que navegan a través del internet o ataques de terceros realizados directamente a nuestro sitio web. Asimismo, debemos de tener actualizado nuestro CMS, ya que en cada actualización corrige códigos de vulnerabilidad en los sitios web, esto debido a los nuevos malware que aparecen en el mercado. Además, los CMS mencionados son de licencia de código abierto, y al tener acceso al código los atacantes realizan la búsqueda de vulnerabilidades para aprovecharlo y exponerlo con fines maliciosos.
Si tu negocio tiene o desea crear su propio sitio web, debemos de contar con un equipo de desarrolladores para su creación y mantenimiento, estar actualizado constantemente con las nuevas versiones de lenguaje de programación y base de datos que se esté utilizando, debido a que muchas veces se corrigen huecos de seguridad. Nuestro sitio web tiene que tener la función de gestionar la información por los usuarios involucrados, de esta forma podrán actualizar su información de manera constante y harán que la empresa no solo dependa del área especializada en el desarrollo de software. También debe de tener mayor atención en los formularios que utilizan los métodos POST o GET, ya que a través de ellos los ciberdelincuentes realizan ataques, por lo que es de vital importancia la creación adecuada de procedimientos almacenados en nuestra Base de Datos para evitar su manipulación.
Por último, y no menos importante, debemos de considerar la seguridad del lugar donde está alojado nuestro sitio web, ya sea un hosting compartido o un hosting dedicado, considerar que el primero es más vulnerable que el segundo debido a que el espacio utilizado es compartido con otros sitios web ajenos a la empresa, si un ataque se presenta en uno de ellos afecta a todos los sitios web que comparten el hosting. En cambio el hosting dedicado es un espacio solo para tu sitio web, en ambos casos se debe de contar con certificaciones SSL para proteger la transferencias de datos, así como contar con un antivirus que bloquee ataques a través de su firewall para su prevención o realizar un análisis exhaustivo en caso nuestro sitio web se encuentre infectado.