Blog

Soluciones de seguridad para la web

El proceso de creación y publicación de un sitio web puede ser un proceso muy estándar y lineal, pero existen consideraciones adicionales que podemos tener en cuenta para mejorar los aspectos de seguridad de este.

Por supuesto que estamos hablando de una temática bastante dinámica, puesto que, en materia de ciberseguridad, los métodos de ataque a sitios web y formas de engaño van mutando, así se consigue anular el efecto de la protección contra amenazas tradicionales.

Justamente, al igual que el sistema inmunológico en los seres humanos, se va instaurando una especie de memoria inmunológica que la sociedad y el mundo web van creando contra las amenazas ya conocidas, por lo que, la creatividad de los atacantes es fundamental para lograr sus cometidos.

A pesar de esto, es posible hacerles el camino más difícil al agregar una serie de impedimentos, por supuesto no son absolutamente protectorios, porque no existe cosa tal en la informática, pero sí se pueden acercar bastante y desmotivarlos con dificultades adicionales.

En este artículo, exploraremos algunas de las posibilidades que tenemos para protegernos siendo tanto propietarios o administradores de sitios web como usuarios finales o visitantes.

 

Del lado del sitio web:

#1: Proxy inverso:

Para comprenderlo primero debemos entender lo que es un proxy. Un proxy es un intermediario entre el cliente y el servidor, que sirve y se utiliza para proteger la identidad del cliente. En este caso, el cliente es la computadora del visitante, mientras que el servidor es donde está alojado el sitio web.

De esta forma, cuando se hace una petición desde el cliente al servidor, este último no sabe quien la ha realizado, salvaguardando la identidad de navegación del cliente y protegiéndolo así, de ciertos ataques contra él.

Aplicando este principio, se puede salvaguardar la identidad del servidor al utilizar un intermediario, que en este caso es el proxy inverso. De esta manera, el servidor que aloja al sitio web se mantiene anónimo para el que lo visita y así se pueden prevenir ciertos tipos de ataques.

Soluciones como estas las podemos encontrar en proveedores en materia de seguridad informática como Cloudflare, un conjunto de soluciones donde podemos encontrar aquella de proxy inverso. Esta se ha hecho tan popular que lo podemos encontrar integrado en varios servicios de hosting y lo mejor de todo es que dispone de un plan gratuito.

 

#2: Instalar certificado de seguridad:

Este tipo de tecnología está relacionada con el mundo de la criptografía, es decir, con las tecnologías que hacen posible la codificación de la información y así, hacerla ilegible para todos excepto para quien tenga la llave o clave de descifrado. Entonces, la información que se transmite entre servidor y cliente se encuentra protegida contra los atacantes que la intercepten.

Un certificado lo emite una entidad con cierta autoridad que indica que un sitio web se corresponde con el nombre de dominio indicado. De esta forma se dificulta la práctica de la suplantación de identidad.

Algunos atacantes que roban información montan sitios web falsos que se parecen con gran detalle a los originales, de este modo el usuario se confunde e ingresa sus credenciales de acceso, revelando esta información vital. Pero una vez que está el certificado que explícitamente indica la autenticidad del sitio, se dificulta la práctica en general, teniendo que recurrir a otro tipo de destrezas.

Normalmente estos certificados tienen un precio que se factura anualmente, pero es importante aclarar que existe una alternativa del mundo del código abierto, el cual brinda un certificado gratuito que incluso se renueva automáticamente, con la obviedad de que existen ventajas y desventajas asociadas. El proveedor de estos certificados se llama: Let’s Encrypt.

 

#3: Escáner de virus para sitios web:

Esta modalidad se basa en un sitio web que permite introducir la URL de otro sitio a escanear. La idea detrás de este servicio es poder detectar amenazas conocidas a través de una base de datos, donde generalmente ya se han analizado otros virus similares y permite establecer, comparar y mostrar otros parámetros que pueden identificar a una amenaza. Una opción de este servicio es virustotal.

 

#4: Plugins para el sistema WordPress:

WordPress es un sistema de gestión de contenidos muy conocido en el mundo de internet. Si lo utilizas para administrar tu sitio web, entonces estarás al tanto de que existen elementos de terceros que pueden adicionarse (plugins) en simples clics.

Se puede explorar en la galería propia de esta plataforma la existencia de numerosas opciones para lograr el cometido en materia de seguridad que pueden ser:

  • Filtros antispam:

Si bien no es una amenaza como tal, la actividad del spam principalmente en los comentarios de las publicaciones está diseñada para desviar el tráfico hacia otras páginas web, perjudicando notablemente al tuyo.

 

  • Protectores contra ataques de fuerza bruta:

Este tipo de ataque se basa en obtener las credenciales de acceso probando con todas las combinaciones de claves posibles. Por supuesto que esta práctica la lleva a cabo una computadora de forma acelerada una y otra vez hasta dar con la clave correcta. La protección se basa en agregar otro factor de autenticación o limitar la cantidad de intentos fallidos para bloquear los sucesivos intentos automáticos de adivinar la contraseña.

Entre otras categorías más.

Del lado del visitante:

#1: Túnel VPN:

En este caso la idea es conectarse a un servidor para navegar a través de este, lo que lo convierte en un intermediario por lo que se navega de forma anónima, de esta forma se convierte en un proxy.

También permite tener conexiones de red privadas sobre redes públicas utilizando la tecnología criptográfica que, a pesar de que los datos viajen a través de un medio público como internet, son incomprensibles para aquellos que puedan robarlos, permaneciendo seguros.

#2: Validar la presencia de un certificado de seguridad:

Como se mencionó anteriormente, estos certificados son emitidos por un ente con autoridad para el propietario de un sitio web, pero no sirven de nada si no los verificamos. Esta validación se hace observando los detalles en el ícono del candado verde junto a la dirección URL del sitio.

Esta validación podrá ser ignorada para los sitios web usuales, pero es conveniente hacerla cuando se trata de sitios donde vamos a ingresar datos personales, bancarios o de tarjetas de crédito.

 

#3: La propia duda:

Existen muchas formas y modalidades de ataque, pero recuerda que, en la mayoría de los casos, se requiere de la autorización o acción explícita del usuario para poder acceder a los datos y recursos que le pertenecen.

Recuerda siempre que las grandes promesas y recompensas con poco esfuerzo son demasiado improbables, por lo que es muy factible que se trate de una estafa. La duda es siempre el mejor antivirus del que podemos disponer.