Seguridad de entornos web archivos

Qué es el Hotlinking y cómo afecta a tu posicionamiento

https://seguridad.prestigia.es/wp-content/uploads/2022/08/hotlinking-seo-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2022/08/hotlinking-seo-prestigia-seguridad.png 6 septiembre, 2022 22 agosto, 2022

6 septiembre, 2022

El concepto de Hotlinking no es nuevo, pero es posible que lo encuentres nuevo debido a la falta de conciencia ya que puede afectar directamente al SEO de tu PYME u organización. Pero para ayudarte a comprenderlo en términos simples, supón que encuentras una imagen en Internet al azar o en algún lugar del sitio web de otra persona, y usas la URL de la imagen directamente en tu sitio web. La imagen también comenzará a mostrarse en tu sitio web, pero en realidad está alojada en el servidor del sitio web desde donde tomó la URL de la imagen.

Sin embargo, puede parecer una forma conveniente de usar imágenes para tu sitio web, pero es puramente ilegal y, en otros términos, se llama robo. De esta manera, en realidad estás robando los recursos y el ancho de banda de ese sitio web sin usar los tuyos. Es algo así como usar el Wifi de otra persona sin autorización y transmitir películas, por ejemplo.

Para tu sorpresa, el hotlinking es una actividad ilegal que las personas realizan intencionalmente o no, durante mucho tiempo. Es posible que incluso hayas notado que las imágenes que se publican en diferentes sitios web, generalmente se les imponen algunas restricciones de derechos de autor y licencia, como indicaremos en el siguiente apartado, por ejemplo.

Restringir a otros usuarios a vincular tus imágenes en tu sitio web en realidad no afectará a tu SEO, pero solo cuando se hace correctamente. No puedes simplemente bloquear a todos para que lean o detecten la URL de tu sitio web, porque los motores de búsqueda como Google y Bing tienen rastreadores que necesitan acceder a tu contenido e imágenes para indexarlos.

Como prevenir hotlinking en tu sitio web

Es muy importante implementar la protección de enlaces directos para evitar problemas relacionados con el robo de contenido y ancho de banda de tu sitio web. Antes de continuar, ten en cuenta que la protección de hotlinking no dañará la presencia de tu sitio web en los resultados de búsqueda. Mientras no impidas que los motores de búsqueda indexen tus imágenes, tus esfuerzos de optimización de motores de búsqueda (SEO) no se verán afectados.

Repasemos cuatro métodos diferentes para proteger sus activos de ser hotlinked:

Usa un CDN con protección de hotlinking: La forma más fácil y segura de evitar la vinculación activa es utilizar una CDN que ofrezca protección integrada contra la vinculación activa de imágenes.
Agrega código a tus archivos .htaccess: Para evitar los enlaces activos en tu sitio, puedes añadir restricciones a tu archivo de acceso de hipertexto. Puedes acceder a este archivo mediante un cliente FTP o el Administrador de archivos.
- RewriteEngine on
- RewriteCond %{HTTP_REFERER} !^$
- RewriteCond %{HTTP_REFERER} !^http://(www\.)example.com/.*$ [NC]
- RewriteRule \.(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ – [F]
Deshabilitar la funcionalidad de clic derecho: Para vincular una imagen, los usuarios pueden hacer clic derecho en la imagen, copiar la dirección de la imagen e incrustar la URL en su sitio. Para evitar el hotlinking, tendría sentido deshabilitar la función de clic derecho en ese momento.
Agrega una marca de agua a tus imágenes: Una solución más fácil de usar que evitar que todos los usuarios hagan clic derecho en sus imágenes es agregar una marca de agua a tus imágenes y otros objetos multimedia. Esta solución no impedirá que todos los usuarios enlacen sus recursos, pero hará que algunos se lo piensen dos veces.

Tomar medidas para evitar los enlaces directos en tu sitio web no solo puede proteger la integridad de tu PYME y garantizar que obtenga el debido crédito por tus imágenes y otros objetos multimedia, sino que también puede salvar tu ancho de banda de abusos accidentales o intencionales y garantizar que obtengas el tráfico que te mereces.

Y vosotros, ¿habéis sido víctima de algún incidente de hotlinking? Si habíais sido víctimas de este tipo de ataques ¿habíais tomado alguna medida previa para que no afectara a vuestro SEO? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

Fraude Web, que no conviertan tu sitio web en una tienda de perfumes

https://seguridad.prestigia.es/wp-content/uploads/2021/05/tienda-perfumes-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2021/05/tienda-perfumes-prestigia-seguridad.png 6 julio, 2021 7 julio, 2021

6 julio, 2021

Una de las tendencias que vemos día a día es como nuestros clientes nos llaman con casos curiosos, uno de ellos no salía de su asombro en el cual al intentar acceder a su sitio web, una pagina donde publicitaba su pyme, de pronto se había convertido en una web de venta de perfumes ¿Qué había ocurrido? ¿Cómo reaccionamos? En este articulo te contamos algunos consejos si tu pyme ha padecido un fraude web.

Noticias como la que hemos visto en el caso anterior, que tu sitio web sea hackeado y modificado no es algo nuevo. Los sitios web suelen ser propensos a ser pirateados, dados los numerosos ataques comunes que existen, y hay varios pasos que debe seguir para deshacerse y minimizar de estos problemas. No es necesario ser famoso o conocido para sufrir un ataque, ya que estos se realizan de forma masiva, automatizada e indiscriminada, realizando la detección de los CMS vulnerables y aprovechando las deficiencias, seas quien seas.

Si tu sitio web ha sido hackeado, en primer lugar, te recomendamos que recurras a especialistas para eliminar el malware, las puertas traseras y obtener una protección del sitio web lo antes posible, servicios ofrecidos por Prestigia Seguridad.

¿Qué hacer si sufrimos un fraude web?

Si bien entrar en pánico no es el mejor enfoque en cualquier situación, es esencial que también reconozca que el tiempo es esencial:

Evalúa el daño: la gravedad del ataque puede variar mucho.
Realiza una revisión exhaustiva: determinar cómo se hackeó tu sitio web debería arrojar luz sobre las vulnerabilidades y también debería impulsar una revisión más exhaustiva de los protocolos de seguridad para asegurarse de que no haya oportunidades adicionales esperando ser explotadas por los cibercriminales.
Identifica la vulnerabilidad: se deben tomar medidas sólidas y demostrables para eliminar todas y cada una de las vulnerabilidades del sitio web que todo este proceso haya descubierto.
Cambia todas las contraseñas: asegúrate de cambiar las contraseñas de los usuarios internos y los administradores. Asegúrate de utilizar contraseñas seguras al actualizarlas como te indicamos en el artículo referenciado anteriormente.
Considera restaurar el sitio desde una copia de seguridad: según la naturaleza de tu negocio o sitio web, podría ser posible simplemente restaurar el sitio web desde una copia de seguridad, retrocediendo efectivamente el sitio al estado / punto en el tiempo antes del ataque. Siempre y cuando hayamos detectado la vulnerabilidad y al restaurar la copia de seguridad la mitiguemos.
Vuelve a ponerlo en línea: si pusiste fuera de línea tu sitio para abordar la restauración, entonces es hora de volver a activarlo e intentar recuperar la normalidad.

Conclusiones

Si tu sitio web sea hackeado, convirtiéndolo en una web de perfumes, puede afectar a tu imagen, pero puedes recuperarte y aprender de los errores para mejorar a futuro. Así que mantén siempre la calma y llama al equipo de seguridad adecuado para que lo repare y vuelva a funcionar.

En vuestra empresa, ¿habéis sido víctimas de ciberataques a vuestras paginas web? ¿realizáis auditorias de seguridad de forma usual? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

La importancia de las cabeceras HSTS

https://seguridad.prestigia.es/wp-content/uploads/2020/12/cabeceras-hsts-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/12/cabeceras-hsts-prestigia-seguridad.png 2 febrero, 2021 21 diciembre, 2020

2 febrero, 2021

Imagínate que estas en tu restaurante favorito o simplemente regresas a la habitación del hotel después de esa conferencia y deseas utilizar tu conexión Wi-Fi gratuita. ¿Alguna vez has notado que esas contraseñas de Wi-Fi están impresas en papel y nunca se cambian? Un cibercriminal ha reservado una habitación en este mismo hotel. Está escuchando a escondidas todas las conexiones que pasan por esta red inalámbrica insegura. Dentro de la cantidad de ataques hacker y de maldades hay algo llamado analizador de paquetes. Un analizador de paquetes es una utilidad de red que analiza y puede inyectar información en el flujo de datos que viaja a través de la red atacada.

Este cibercriminal podría capturar el tráfico de la red del hotel, a través de HTTP para cualquier sitio web en el cual su tráfico viaje en texto plano sin cifrar. Este método presenta una ventana de oportunidad para que el pirata informático sin que el tráfico vaya por SSL y permita robar datos valiosos o, peor aún, presente una página de portal de inicio de sesión falsa y pueda incluso robar credenciales con ataques de ingeniería social. Es por esto que tu sitio web debe emplear HTTP Strict Transport Security o mediante su nombre acortado HSTS para forzar que el tráfico siempre vaya por HTTPS.

¿Qué es HTTP Strict Transport Security?

HTTP Strict Transport Security (HSTS) es una directiva de servidor web que informa a los agentes de usuario y navegadores web cómo manejar la conexión a través de una cabecera de respuesta enviada al principio y de regreso al navegador que fuerza las conexiones HTTPS.

Esto se establece en el parámetro de la política Strict-Transport-Security. Fuerza esas conexiones a través del cifrado HTTPS, sin tener en cuenta la llamada de cualquier script para cargar cualquier recurso en ese dominio a través de HTTP. HSTS es solo una de tantas configuraciones en un conjunto de configuraciones de seguridad para tu servidor web o su servicio de alojamiento web.

Cómo implementar cabeceras HSTS

Si empleas subdominios en tu estructura de contenido, necesitarás un certificado comodín para cubrir solo HTTPS. Asegúrate de tenerlos instalados y funcionando correctamente. A continuación, te comentamos como habilitarlo en uno de los servicios HTTP mas conocidos, Apache y el proxy NGINX:

Habilitar HSTS en Apache: Agregue el siguiente código a su archivo de hosts virtuales.
- Strict-Transport-Security max-age=31536000
Habilitar HSTS en NGINX: Agregue el siguiente código a su configuración de NGINX.
- Strict-Transport-Security max-age=31536000

Al especificar el Strict-Transport-Security encabezado junto con un max-age con valor en la respuesta, tu sitio web puede declarar que solo se aceptarán conexiones seguras dentro del período especificado. Para futuras solicitudes al mismo dominio a través de conexiones inseguras, el navegador sabe que nunca debe cargar el sitio mediante HTTP y convierte automáticamente todas las solicitudes a HTTPS. HTTP Strict Transport Security ha existido durante casi ocho años. Esta política de solo HTTPS en su infraestructura web mantendrá alejados a los malos y protegerá sus datos confidenciales.

Como has podido comprobar, la configuración de HSTS proporciona una mayor seguridad en tu proyecto web. Si estás desarrollando tu propia web, recomendamos encarecidamente que aumentes tu seguridad aplicando HSTS. Antes de continuar e implementar HSTS, ten en cuenta que primero deberás haber instalado un Certificado SSL de buena reputación.

En vuestra empresa, ¿Conocíais este tipo de cabeceras? ¿las tenéis implementadas? Desde Prestigia Seguridad, nuestros expertos realizan pruebas para verificar si este tipo de cabeceras están correctamente implementadas, no dudes en contactar con nosotros para informarte.

Que es el Threat Hunting

https://seguridad.prestigia.es/wp-content/uploads/2020/10/threat-hunting-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/10/threat-hunting-prestigia-seguridad.png 15 diciembre, 2020 16 diciembre, 2020

15 diciembre, 2020

El Threat Hunting (caza de amenazas) es la práctica de buscar de forma proactiva ciber amenazas que acechan, sin ser detectadas en una red. El Threat Hunting profundiza, para encontrar actores maliciosos en el entorno, que hayan conseguido superar las defensas de seguridad iniciales de su compañía.

Después de acceder ilegítimamente a tu empresa, un atacante puede permanecer sigilosamente en la red durante meses mientras recopila datos, busca material confidencial u obtiene credenciales de inicio de sesión que le permitirán moverse lateralmente por el entorno.

Una vez que un atacante logra evadir la detección y este ha penetrado las defensas de una organización, muchas organizaciones carecen de las capacidades de detección avanzadas necesarias para evitar que las amenazas persistentes avanzadas (APT) permanezcan en la red. Es por eso que, el Threat Hunting es un componente esencial de cualquier estrategia de ciber defensa avanzada.

Como se realiza el Threat Hunting

En lugar de intentar infiltrarse en el entorno desde el exterior, como sucede durante los test de intrusión (pentest), los Threat Hunters trabajan con la suposición de que los adversarios ya están en el sistema. Analizan cuidadosamente todo el entorno, utilizan análisis de comportamiento y un enfoque basado en hipótesis, para encontrar un comportamiento inusual que pueda indicar la presencia de actividad maliciosa.

Los Threat Hunters trabajan con una gran cantidad de capacidades tecnicas y herramientas para rastrear a los atacantes e identificar actividades sospechosas. Algunas de las herramientas y soluciones más comunes que aprovechan los Threat Hunters incluyen:

Monitorización basada en la red: monitoreando los puertos de escucha de los sistemas conectados a Internet, los Threat Hunters pueden monitorear el tráfico, así como revisar las grabaciones de sesiones de paquetes, buscando tráfico saliente inusual, geografías de comunicación anormales, cantidades irregulares de datos entrantes o salientes, etc.
Monitorización de sistemas: los cambios en los sistemas de archivos y el registro de Windows son dos lugares donde los analistas pueden encontrar configuraciones y contenido anómalos. El análisis de los valores del registro y el seguimiento de los cambios realizados en los sistemas de archivos son actividades habituales de búsqueda de amenazas, para analizar que por ejemplo que nuestro equipo no pertenezca ya a una botnet.
Monitorización de los sistemas de autenticación: monitorear o revisar el inicio de sesión (o intento de inicio de sesión) de cuentas privilegiadas en endpoints, servidores y servicios puede ser útil para que un Threat Hunter siga el rastro utilizado por un atacante para identificar qué cuentas han sido comprometidas ser remediado.

Conclusiones sobre la implementación

El arte del Threat Hunting puede aportar un valor significativo a una estrategia de ciberseguridad. Basado en la simple premisa de que ningún sistema es 100% seguro, un Threat Hunter experimentado puede detectar y prevenir de manera proactiva incluso al atacante más sofisticado y experto.

Como era de esperar, crear un programa eficaz de búsqueda de amenazas requerirá cierto esfuerzo: es esencial contar con los profesionales adecuados y las herramientas necesarias antes de comprometerse con una estrategia específica. Un buen enfoque es primero definir qué nivel de madurez proporcionará a la empresa valor real, confirmar si los recursos existentes son suficientes y crear la combinación adecuada de profesionales experimentados, herramientas de recopilación / procesamiento de datos e inteligencia procesable. Y tu ¿conocías este tipo de servicios? ¿alguna vez te has planteado que los analistas hagan este tipo de hipótesis para mejorar tu seguridad?

Por último, desde Prestigia Seguridad, ofrecemos servicios de ciberseguridad, desde servicios de anti-phishing para concienciar o análisis de Threat Hunting para mejorar tu seguridad, no dudes en consultarnos para los servicios que puedan proteger a tu compañía de un ciberataque.

Ciclo de desarrollo seguro en código

https://seguridad.prestigia.es/wp-content/uploads/2020/07/desarollo-seguro-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/07/desarollo-seguro-prestigia-seguridad.png 1 septiembre, 2020 27 julio, 2020

1 septiembre, 2020

El Ciclo de vida de desarrollo de software (o SDLC) es el proceso que se sigue para desarrollar un producto de software de forma segura. Es una forma estructurada de crear aplicaciones de software, puesto que la mayoría de las organizaciones cuentan con un proceso para desarrollar software; este proceso puede, a veces, personalizarse según los requisitos y el marco de la organización, seguidos por la organización e incluyendo en su ciclo la seguridad como parte del desarrollo en el ciclo.

El conocimiento y la cultura sobre SDLC es muy importante para cualquiera que quiera entender algunos de los pasos principales que son comunes en todo el proceso SDLC, independientemente de la organización o tipo de proyecto, como podría ser la seguridad en eCommerce. A menudo se hace difícil para los desarrolladores administrar todas las diferentes complejidades de implementar esta metodología, pero a futuro aporta más ventajas que inconvenientes. Para manejar estos diversos sistemas de software, se han creado muchos modelos SDLC para diferentes factorías de software, para evitar la creación de software con vulnerabilidades.

Tendencias y porque realizar SDLC

La tendencia actual es identificar problemas mediante una evaluación de seguridad de las aplicaciones, después de que se desarrollen y luego solucionar estos problemas. Corregir los fallos en el software de esta manera, puede ayudar, pero es un enfoque más costoso para solucionar los fallos de seguridad. En este ciclo de pruebas y parches, las nuevas pruebas se ejecutan en múltiples iteraciones y se pueden evitar en gran medida, al abordar problemas anteriores en el ciclo de desarrollo, puesto que la siguiente sección cubre un aspecto muy importante, la necesidad de programas como el ciclo de desarrollo seguro o SDLC.

Aquí es donde el SDLC entra en escena, si bien el empleo de un equipo de auditores de seguridad ayuda para realizar pruebas de test de intrusión, tener procesos como SDLC puede ayudar a las organizaciones y compañías a abordar problemas discutidos anteriormente de una manera mucho más rentable, ya que la identificación de problemas de seguridad de forma temprana en el ciclo de vida del desarrollo reduce los costes finales.

Fases para el Ciclo de vida de desarrollo de software

Para cualquier metodología de desarrollo de software que implemente tu organización, encontrarás una estructura muy común entre los distintos modelos. Estas cinco fases de un ciclo de vida de desarrollo de software o SDLC se pueden identificar:

Planificación: comienza tu desarrollo de software seguro trazando una línea de tiempo, requisitos y cualquier detalle preliminar necesario.
Análisis: la organización define objetivos, metas del proyecto y las funciones y operaciones de la aplicación.
Diseño: se presentan diseños detallados, reglas de negocio, diagramas de proceso, pseudocódigo y otra documentación. Comienza el desarrollo y se escribe un código seguro.
Implementación: las pruebas y la integración reúnen todas las piezas en un entorno que verifica errores, vulnerabilidades, fallos e interoperabilidad.
Mantenimiento: una vez que se desarrolla su software, mantener actualizaciones, evaluaciones de rendimiento y realizar cambios en el software inicial son procedimientos de mantenimiento clave siempre teniendo en cuenta la seguridad.

En definitiva, el proceso de desarrollo y creación de software seguro puede ayudar a tu equipo de desarrollo a comprender las dificultades de seguridad comunes que deben evitarse. En el complejo mundo del desarrollo de software, es fácil pasar por alto problemas en el código cuando no está implementando un plan de acción detallado. Al utilizar las herramientas adecuadas para ayudar en el desarrollo de software seguro, puedes reducir los costes, aumentar la eficiencia e implementar pruebas continuas para reducir el riesgo como podrían ser Inyecciones SQL u otro tipo de vulnerabilidades. Si la seguridad de la información es tu prioridad, asegúrate de que tu ciclo de vida de desarrollo de software cumpla con los estándares.

Los clientes demandan productos seguros listos para usar, por lo que la seguridad debe ser una prioridad que debe ser la prioridad de todos. Pero sin un enfoque estándar de seguridad, es casi imposible cumplir con las expectativas de los clientes. Ahí es donde entra en juego el Ciclo de vida de desarrollo seguro (SDL). Desde Prestigia Seguridad, nuestros expertos realizan auditorias de código para verificar deficiencias en el ciclo del desarrollo seguro, no dudes en contactar con nosotros para informarte.

Qué son las herramientas SAST y DAST

https://seguridad.prestigia.es/wp-content/uploads/2020/04/herramientas-sast-dast-prestigia-seguridad.jpg 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/04/herramientas-sast-dast-prestigia-seguridad.jpg 19 mayo, 2020 14 abril, 2020

19 mayo, 2020

Se estima que el 90 por ciento de los incidentes de seguridad son el resultado de atacantes que explotan errores de software conocidos. Debemos decir que, eliminar esos errores en la fase de desarrollo del software, podría reducir los riesgos de seguridad que enfrentan muchas organizaciones hoy en día. Para hacer eso, hay varias tecnologías disponibles para ayudar a los desarrolladores a detectar fallas de seguridad, antes de que se conviertan en una versión final de software, donde incluiríamos SAST (Static application security testing) y DAST (Dynamic Application Security Testing).

Conceptos de SAST y DAST

SAST y DAST son metodologías de pruebas de seguridad de aplicaciones que se utilizan para encontrar vulnerabilidades o deficiencias de seguridad que pueden hacer que una aplicación, sea susceptible a ataques. La prueba de seguridad de aplicaciones estáticas (SAST) es un método de prueba de caja blanca, donde se examina el código fuente para encontrar fallos y debilidades del software, como las inyecciones de SQL y otras que figuran en el Top 10 de OWASP.

Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una metodología de pruebas de caja negra que examinan una aplicación mientras se ejecuta, para encontrar vulnerabilidades que un atacante podría aprovechar.

A esto debemos sumar elegir un alojamiento web seguro, protegido e implementando siempre los últimos parches de seguridad.

SAST vs DAST

A continuación, comentamos las principales diferencias:

SAST: es una prueba de seguridad de aplicaciones estáticas, es decir, analiza una aplicación sin ejecutarla. Hay una variedad de formas de hacerlo, desde la revisión manual hasta análisis de métricas con herramientas automáticas, análisis de patrones y análisis de flujos de datos. Esto se considera prueba de caja blanca. Con mayor frecuencia, los usuarios de SAST se preocupan por el análisis del flujo de datos porque les permite buscar problemas de seguridad, como datos no validados antes de que se ejecute en la aplicación.

Las pruebas anteriores son mejores, porque cuestan mucho menos, por lo que la principal ventaja de SAST es que se puede auditar antes, mucho antes de que la aplicación o el sistema completo esté listo. Con el análisis SAST, se tiene un profundo conocimiento interno del código fuente para que se sepa exactamente qué código está involucrado con un fallo de seguridad y poder solventarlo.

DAST: DAST es prueba de seguridad de aplicaciones dinámico. Esto significa que auditaremos una aplicación (o dispositivo) en funcionamiento, generalmente a través de sus entradas e interfaces (aplicación web, móvil, etc). Esto es una prueba de caja negra, en el sentido de que está utilizando la aplicación sin mirar sus componentes internos (código fuente).

La mayor ventaja de DAST es que obviamente serán pruebas realistas que tendrán en cuenta la aplicación completa y su uso por parte del usuario final para identificar vulnerabilidades. En segundo lugar, las pruebas DAST no dependen de un conocimiento profundo del código fuente.

Tener una estrategia SAST sólida que incorpore revisiones y auditorias de código de detección temprana de vulnerabilidades y estándares de codificación seguros, como CERT es la forma más completa de asegurar una aplicación y dejar de tener los mismos problemas de seguridad una y otra vez. Pero, para complementar, con una auditoria de tipo DAST podemos conectar SAST con lo que DAST está haciendo y ejecutando en tiempo real, reportando nuestras actividades SAST con información obtenida de DAST y evitar por ejemplo que nuestros sistemas formen parte de una Botnet por un ataque.

Al usar SAST y DAST combinados, trabajas con lo que nos gusta pensar como una mentalidad a prueba de fallos de seguridad, previniendo a futuro incidentes de seguridad. En un entorno seguro por diseño, a prueba de fallos, es interesante también que adoptamos el enfoque de la arquitectura, ciframos bases de datos, aplicando parches de vulnerabilidades, etc. De esa manera, el comportamiento de nuestra aplicación o proyecto, de forma predeterminada será seguro o minimizaremos de forma considerable potenciales fallos o vulnerabilidades, gracias a las pruebas de SAST y DAST.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad tanto a nivel de código (SAST) como auditorias dinámicas (DAST) a una de aplicaciones web y CMS, que contemplan auditorias en sistemas de acceso con Smart Cards, con el fin de mejorar la seguridad de tu compañía.

Consejos para mejorar la seguridad en tu ecommerce

https://seguridad.prestigia.es/wp-content/uploads/2020/03/seguridad-ecommerce.jpg 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/03/seguridad-ecommerce.jpg 17 marzo, 2020 22 mayo, 2020

17 marzo, 2020

La seguridad del comercio electrónico (ecommerce en inglés) se refiere a los principios que guían las transacciones electrónicas seguras, permitiendo la compra y venta de bienes y servicios a través de Internet, pero con protocolos establecidos para proporcionar seguridad a los compradores y vendedores.

Las estrategias de seguridad de comercio electrónico incluyen el uso de protocolos HTTPS y certificados SSL tal y como comentamos en un post anterior, la monitorización de transacciones y copias de seguridad periódicas, entre otros. En este articulo profundizaremos en estas y otras medidas de seguridad efectivas y comprobadas.

Pasos a seguir para mejorar la seguridad de tu ecommerce

El correcto mantenimiento de tu proyecto online puede ayudarte a prevenir ataques, a continuación, enumeramos que debes tener en cuenta:

Protocolo HTTPS: Estos protocolos han aumentado su popularidad en los últimos años, en comparación con HTTP tradicional. El protocolo HTTPS se ha utilizado normalmente en partes del sitio web destinadas a pagos, debido a la necesidad de securizar la información de clientes y compañías. En la actualidad, sin embargo, el uso de estos protocolos se ha generalizado. Ahora se necesitan en todo el sitio web, que ha condenado los antiguos protocolos HTTP a considerarse inseguro por la posible interceptación de datos por parte de atacantes.
Copias de seguridad: Uno de los errores comunes en la gestión de la seguridad, esta es otra de las estrategias de seguridad de comercio electrónico más efectivas. Y ciertamente no requiere contratar profesionales, ya que se puede automatizar simplemente. Existen multitud de complementos de copias seguridad aconsejamos hacerlas de forma regular de las bases de datos de la web. Es extremadamente importante hacer copias de seguridad periódicas de los datos de tu sitio. Entre las mayores amenazas, para nuestro comercio electrónico se encuentran no solo malware o phishing, también el error humano.
Almacenar tarjetas de crédito o débito: Más allá de las técnicas y herramientas de seguridad y cifrado del comercio electrónico, las mejores tiendas en línea utilizan el sentido común para proteger a sus clientes. La mejor manera de evitar fugas de información de tarjetas de crédito y débito es no almacenarlas. Sabemos que los números de tarjeta de crédito y los nombres de los clientes son esenciales para facilitar el pago rápido. Sin embargo, no es necesario almacenarlos en nuestros servidores o en todo caso, deberán ir cifrados de forma obligatoria.
Firewall de aplicaciones: Ya comentamos en un artículo anterior donde hablamos sobre los mejores Firewall para empresas, un WAF es un sistema de hardware o software que esencialmente funciona como una puerta de enlace entre dos o más redes, permitiendo el tráfico autorizado y bloqueando el acceso de tráfico no autorizado o potencialmente malicioso a una red. En general, WAF protege los sitios web de ataques comunes, como inyecciones SQL y ataques DDoS. Dado que los sitios web de comercio electrónico tienen mucho tráfico entrante, necesitan firewalls para protegerse contra la actividad maliciosa.
Política de contraseñas seguras: Establezca políticas estrictas de contraseñas que obliguen a los clientes a usar letras mayúsculas y minúsculas, caracteres especiales y tener contraseñas largas de al menos 10 caracteres.

Problemas comunes de seguridad en ecommerce

Este aumento masivo en el uso del comercio electrónico, ha llevado a una nueva generación de amenazas de seguridad asociadas, pero cualquier sistema de comercio electrónico debe cumplir con cuatro requisitos integrales:

Privacidad: la información intercambiada debe mantenerse a terceros no autorizados.
Integridad: la información intercambiada no debe ser alterada o alterada.
Autenticación: tanto el remitente como el destinatario deben probar sus identidades entre sí.
No repudio: se requiere prueba de que la información intercambiada fue efectivamente recibida.

Estos son los 4 pilares basicos que mantendran protegido tus sistemas de comercio electronico.

Por último, desde Prestigia Seguridad, nuestro equipo puede analizar los consejos aportados anteriormente para que el mantenimiento técnico de tu proyecto ecommerce online sea seguro, que contemplan pruebas de hacking ético con el fin de mejorar la seguridad de tu sitio web.

Qué es un Cross-Site Scripting y cómo afecta a tu web

https://seguridad.prestigia.es/wp-content/uploads/2020/02/cross-site-scripting-web-1.jpg 1020 683 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/02/cross-site-scripting-web-1.jpg 4 febrero, 2020 4 febrero, 2020

4 febrero, 2020

Las vulnerabilidades de tipo Cross-Site Scripting o también denominadas XSS, tienen como objetivo principal la inyección de código en un sitio web cara a ejecutarlo en el explorador del usuario, no en el servidor del sitio web, es decir, sería un ataque directamente hacia el cliente utilizando la página web que visualiza. En el caso de que el usuario visualice el contenido malicioso, se ejecutaran en su explorador secuencias de comandos maliciosas, es decir, código JavaScript en su explorador que intentarán infectar su equipo. La mayoría de ataques de tipo Cross-Site Scripting es bastante ilimitada, pero mediante este tipo de ataques pueden realizar la obtención de datos personales, crear una redirección a un sitio web malicioso controlado por cibercriminales o el robo de sesiones de nuestro sitio web. En este sentido, no queríamos dejar de lado el post realizado hace unos meses sobre qué son y qué hacer ante las Brechas de Seguridad.

Evitar ser atacado por un Cross-Site Scripting como usuario

Lo principal y fundamental para evitar ser vulnerable a este tipo de ataques, es contar con soluciones de seguridad instaladas y correctamente actualizadas. Esta parte es muy importante debido a que si se ejecuta algún malware o código malicioso en tu equipo al acceder a un sitio web vulnerable, estas soluciones que contengan las últimas firmas sean capaces de bloquearlas.

Adicionalmente, es posible que se aprovechen este tipo de ataques, como comentamos al principio para crear redirecciones a sitios que contengan algún tipo de phishing, en este caso, las protecciones de los antivirus cuentan con el bloqueo a este tipo de sitios y también el bloqueo por parte de los navegadores web.

Es primordial siempre vigilar los sitios donde ingresamos, observar la dirección URL a la que accedemos por ejemplo, ya que en este caso podremos identificar las redirecciones no controladas y aprovechadas por estos ataques, que podrían ser aprovechadas por los atacantes.

También existen complementos o extensiones para nuestros navegadores web, encargados de bloquear y mitigar la ejecución de estos scripts maliciosos. Recomendamos la extensión NoScript, la cual permite realizar configuraciones personalizadas y adicionalmente, es gratuito.

Por último, recomendamos utilizar navegadores alternativos, es decir, no tan populares, como pueden ser Opera, Comodo o Chromium. De este modo, si un usuario malicioso nos envía un ataque que intente explotar alguna deficiencia o vulnerabilidad, normalmente será para los navegadores más conocidos y al no darse las condiciones para la ejecución de la vulnerabilidad, no podrá explotarse correctamente.

Mitigar los Cross-Site Scripting en nuestra web

La detección y prevención es primordial para mitigar este tipo de ciberataques, a continuación te explicamos que hacer para detectar este tipo de ataques. Primeramente, deberíamos en todo momento tener actualizados los plugins de nuestro CMS y adicionalmente, de forma continuada, realizar pruebas de Hacking Ético y Test de Intrusión, en embargo, queremos dar las siguientes pautas para mitigar este tipo de ataques:

OWASP (Open Web Application Security Project) proporciona una librería denominada ESAPI, está creada para numerosos lenguajes de programación. Esta permite funcionalidades muy variadas, como por ejemplo validar los caracteres de entrada recibidos por el usuario o codificar de forma adecuada los caracteres especiales.

Función htmlspecialchars(): creada para filtrar la salida de contenido mostrado en el navegador del usuario. Si utilizamos alguna codificación diferente a ISO-8859-1 o UTF-8, tenemos disponible la función htmlentities().
Función strip_tags(): esta función también elimina código HTML y no permitirá dar formato de ningún tipo a los datos que el usuario ingrese. De igual modo, si necesitamos dar la posibilidad a los usuarios de utilizar alguna etiqueta, esta función tiene un argumento con el cual podemos especificar etiquetas en una lista blanca.
BBCode: Última opción que proponemos, bastante popular también, seria permitir una especie de pseudocodigo que posteriormente será reemplazado por etiquetas HTML controladas.

Como puede afectar el Cross-Site Scripting a nuestro SEO

Los ataques de tipo Cross-Site Scripting pueden afectar negativamente a tu posicionamiento SEO como indicamos en su día. Es decir, un sitio web que haya sido hackeado y donde se hayan incluido backlinks donde apunten a un dominio para crear notoriedad. Los ataques de Cross-Site Scripting son conocidos por los cibercriminales por insertar enlaces donde el webmaster del sitio web infectado no conoce. Google y otros motores de búsqueda penalizan estos enlaces. Para esto, hay que prevenir de forma eficaz que mediante este tipo de ataques inserten links maliciosos en nuestra web y sean indexados, tomando las recomendaciones en el apartado anterior.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad a una inmensidad de sectores empresariales, que contemplan este tipo de pruebas con el fin de mejorar la seguridad de tu sitio web.

Htaccess, una gran ayuda para el SEO y la seguridad de tu web

https://seguridad.prestigia.es/wp-content/uploads/2020/01/htaccess--1024x554.jpg 1024 554 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/01/htaccess--1024x554.jpg 21 enero, 2020 21 enero, 2020

21 enero, 2020

El fichero de sistema llamado .htaccess ofrece una variedad de funcionalidades bastante útiles los administradores de páginas web que nos pueden ayudar a evitar penalizaciones de Google por ejemplo. En este post comentaremos qué funciones tiene este fichero, como puede ayudarnos en nuestro posicionamiento SEO y algunos trucos de seguridad para nuestro sitio.

¿Qué función tiene el archivo .htaccess?

El nombre de este fichero viene del Inglés Hypertext Access, mediante el cual es posible configurar los directorios de nuestro sitio web. La funcionalidad es de Apache, servidor web conocido y utilizado a nivel mundial por su fiabilidad.

Mediante los ficheros .htaccess se pueden ajustar de forma personalizada las carpetas de nuestro servidor web, las cuales están identificadas en la configuración del servidor web Apache, en el fichero httpd.conf.

Hay que contemplar que este tipo de reglas pueden afectar a las carpetas superiores y subdirectorios donde este fichero se encuentre. Si lo que necesitas es que este tipo de reglas afecten a toda la página web, solo habrá que incluir el fichero .htaccess en el directorio principal.

Adicionalmente, si lo que necesitas es crear reglas específicas que afecten solo a una carpeta, puedes crear ficheros .htaccess en la carpeta o subdirectorio específico para que sus reglas se apliquen solamente a esa carpeta.

Cómo afecta el .htaccess al SEO de mi web

El fichero .htaccess se configura e incluye en la carpeta principal de nuestro dominio y permite dar instrucciones a los robots de los buscadores que nos servirán de ayuda para el posicionamiento web. A continuación os contamos distintas configuraciones que puedes incluir en tus ficheros .htaccess para mejorar el posicionamiento SEO.

Forzar el cacheo de ficheros del dominio:

FileETag MTime Size

ExpiresActive on

ExpiresDefault «access plus X seconds»

Cuando configuremos el parámetro «X seconds», determinaremos una cantidad de segundos. Lo más usual, sería configurar un día, que serían 86400 segundos, quedando la configuración más óptima que sería:

FileETag MTime Size

ExpiresActive on

ExpiresDefault «access plus 86400 seconds»

Mediante la configuración del caché, podremos ofrecer los archivos alojados en un servidor de una manera más rápida a los usuarios.

Regular las redirecciones permanentes de tipo 301 o temporales de tipo 302:

Esto nos resultará muy beneficioso si cambiamos la ubicación de fichero en nuestro servidor. Podremos crear una redirección de tipo 301 para que los buscadores entiendan que solamente existe un dominio y de esta moto evitar problemas con la duplicación de contenidos. Para esto, añadiremos la siguiente configuración a nuestro fichero .htaccess:

RewriteEngine on

rewritecond %{http_host} ^tupaginaweb.com [nc]

rewriterule ^(.*)$ http://tupaginaweb.com/$1 [r=301,nc]

Permitir la compresión, mediante GZip, de los contenidos del dominio:

Gracias a esto agilizaremos de forma notable la carga de nuestra web:

AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript

BrowserMatch ^Mozilla/4 gzip-only-text/html

BrowserMatch ^Mozilla/4.0[678] no-gzip

BrowserMatch bMSIE !no-gzip !gzip-only-text/html

Prevenir el hotlinking de imágenes desde el .htaccess:

Ya hablamos en un anterior post sobre los backlinks toxicos, el hotlinking permite a un sitio web desconocido tomar la dirección URL de una imagen cualquiera de nuestro sitio web y mostrarla en la suya, haciendo uso de los recursos de nuestro servidor. Para evitar esto, añadiremos el siguiente código para prevenir el hotlinking:

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www\.)?tupaginaweb.com/.*$ [NC]

RewriteRule \.(gif|jpg|js|css)$ – [F]

Seguridad mediante .htaccess

La configuración del fichero .htaccess nos puede ayudar de forma notable a mejorar la seguridad de nuestro servidor web. A continuación os contamos algunas configuraciones que fijo os pueden ayudar a fortificar vuestros servidores simplemente configurando de forma correcta este fichero:

Especificar páginas de error

Para personalizar tu página de error 404 not found:

ErrorDocument 404 /Notfound.html

Indicar que se puede realizar con otro tipo de errores:

ErrorDocument 403 / Forbidden.html

Evitar listar los contenidos de tus directorios

Para evitar el listado de directorios solamente hay que añadir la siguiente línea al fichero .htaccess:

Options –Indexes

No mostrar la firma del servidor

La información sobre la versión de nuestro servidor, puede ayudar a los atacantes a identificar vulnerabilidades en nuestro software, para no mostrar esta información, solamente debemos añadir las siguientes líneas al fichero .htacces:

ServerSignature Off

Trucos para mejorar el SEO y rendimiento de vuestra web

No solo vamos a hablar de posicionamiento SEO o Seguridad, mediante las siguientes configuraciones podremos incluso mejorar la velocidad de carga de nuestra web, te lo contamos a continuación:

Ahorrar ancho de banda

Con la siguiente configuración, mejoraremos el rendimiento en servidores con PHP instalado:

<ifmodule mod_php4.c>

php_value zlib.output_compression 16386

</ifmodule>

Conjunto de caracteres de nuestro servidor

Mediante el siguiente parámetro, identificaremos el conjunto de caracteres por defecto antes de que nuestro servidor los cargue:

AddDefaultCharset utf-8

Te podemos decir que existen otras configuraciones aplicables en el fichero .htaccess pero desde Prestigia Seguridad, creemos que estas son las más importantes. Por último, desde Prestigia Seguridad, ofrecemos servicios de asesoramiento en Seguridad, penalizaciones mediante SEO y una gran variedad de servicios, no dudes en consultarnos para los servicios que puedan ayudar a tu compañía.

Extensiones para mejorar la seguridad de tu navegador

https://seguridad.prestigia.es/wp-content/uploads/2020/01/mejorar-la-seguridad-de-tu-navegador-1024x690.jpg 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2020/01/mejorar-la-seguridad-de-tu-navegador-1024x690.jpg 14 enero, 2020 14 enero, 2020

14 enero, 2020

En esta entrada vamos a escribir sobre cuáles son las mejores extensiones para mejorar la seguridad de tu navegador, mientras los utilizas en tu ordenador personal o el ordenador de tu empresa. Tus datos y los datos que gestiona tu empresa, están en una continua exposición a no ser que tomes las medidas apropiadas y cuentes con herramientas que te ayuden a mejorar tu seguridad online.

En nuestro post principales tipos de ataques hacker que existen, verás cuáles son los ataques más utilizados y en qué consisten cada uno de ellos.

¿Cuáles son los navegadores más seguros?

Seguramente en tu empresa utilizas Google Chrome o Mozilla Firefox, por este motivo vamos a enseñarte a configurar las mejores extensiones para mejorar la seguridad de tu navegador, así proteger tus datos personales y los datos que gestiona tu empresa.

Antes de mostrar cuáles son dichas extensiones, te daremos información sobre los distintos navegadores mencionados en el párrafo anterior, para que puedas valorar cuál utilizar en relación a la seguridad que proporcionan.

Google Chrome

Google Chrome es el navegador más utilizado en todo el mundo, esto es debido, entre otras cosas, a sus buenas prácticas para proteger al usuario de ciberataques. Como pudiste ver en nuestro anterior post 5 ventajas de implementar un certificado SSL, Google Chrome te avisa si estás navegando por una página web que no tenga un protocolo HTTPS. Gracias a esta función Google Chrome te avisa frente a posibles amenazas por páginas web con código malicioso o cuando haya altas probabilidades de sufrir un ataque phishing.

Mozilla Firefox

En el 2017 Firefox lanzó la versión Quantum. Esta actualización dedica mayor atención a la seguridad de navegación del usuario y su privacidad. Mediante la implementación de una capa de seguridad basada en sandbox, Firefox pasa de ejecutar todo el código en el mismo proceso, a que sean varios procesos limitados en acceso los que ejecuten el código. Otra de las mejoras incluidas para mejorar la seguridad delnavegador Firefox, es la navegación privada con protección contra rastreo que se encarga de bloquear el contenido por posibles amenazas y evitar trazabilidad por parte de terceros.

Otro navegador como Internet Explorer, ha sufrido una devastadora caída a causa de sus problemas con la ciberseguridad.

¿Cuáles son las mejores extensiones para mejorar la seguridad de tu navegador?

Una vez repasados los dos navegadores más utilizados en el mundo, te mostraremos cuáles son las mejores extensiones compatibles con ambos navegadores, para mejorar la seguridad de tu equipo. Con estas extensiones podrás delimitar cuáles son los datos que recogen las páginas web por las que navegas y junto a un buen antivirus y nuestros consejos para mejorar la ciberseguridad de tu pyme, lograrás una mejor protección ante posibles ciberataques.

LastPass

LastPass es una de las extensiones imprescindibles para mejorar la seguridad de tu navegador. Esta extensión, es un gestor de contraseñas gratuito encargado de almacenar todas tus contraseñas y las contraseñas que utilizas para tus gestiones empresariales en la nube de forma cifrada.

El panel de control donde se almacenan las contraseñas está protegido con una contraseña maestra, desde Prestigia Seguridad recomendamos no almacenar esta contraseña en ningún ordenador o dispositivo conectado a una red, así evitarás que sea robada y puedan acceder a las contraseñas guardadas.

Otras funciones que ofrece la extensión para mejorar tu seguridad online, es la posibilidad de sincronizar tu cuenta con otros navegadores y la capacidad de compartir contraseñas de manera cifrada con otros usuarios que la utilicen.

HTTPS Everywhere

Es una extensión de código abierto que se encarga de forma automática que las páginas web que visitas con tu navegador, utilicen siempre que sea posible conexión HTTPS en lugar de HTTP.

Esta extensión incluye una función denominada observatorio SSL, utilizada para determinar una vez analizados los certificados de clave pública, si eres vulnerable a un ciberataque.

Privacy Badger

Privacy Badger es otra de las extensiones que te ayudan a mejorar la seguridad de tu navegador, con la intención de mejorar tu privacidad ante el proveedor de contenido, bloqueando cookies y anuncios de terceros que buscan rastrear tus movimientos en Internet.

Esta extensión te ofrece la posibilidad de sincronizarla con otro navegador, así tus preferencias de bloqueo se mantienen siempre que estés navegando por internet.

Como usuario tienes la posibilidad de marcar los límites dentro de la extensión, bloqueando completamente a los rastreadores o solo las Cookies.

Y tú, ¿Qué navegador utilizas para mantener una buena seguridad online?, ¿has utilizado alguna extensión para mejorar la seguridad de tu navegador?, ¿conocías las extensiones de seguridad?, ¿te sientes protegido cuando navegas por internet?

Recuerda, en Prestigia Seguridad ofrecemos servicios de seguridad en Internet como: Seguridad de entornos Web, Seguridad en servidores Linux, seguridad en E-mail y Seguridad en WordPress para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

Seguridad de entornos web