Entradas Etiquetadas :

ataques

test de intrusión
Test de intrusión: prevención ante el ciberataque que puede sufrir tu empresa
1024 688 Prestigia

Hace tiempo que no pasa un día en que se produzca un nuevo ataque informático. No se salva nadie. Ni los bancos, que aunque podrían parecer inexpugnables, no lo son. Tampoco ha salido bien parado IESE, una de las escuelas de negocio más prestigiosas del mundo, que esta semana sufría un hackeo grave y aún no se ha recuperado.

El Internet de las Cosas (IoT), la presencia constante de servicios en la nube, las redes sociales e Internet en general esconden debilidades en sus sistemas o infraestructuras que ciberdelicuentes pueden usar para robar información, realizar ciberespionaje industrial o incluso dejar a una empresa sin servicios de comunicación online.

La mejor defensa ante la ciberdelincuencia es la prevención. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión que nos permita evaluar los sistemas informáticos y su fortaleza ante posibles ataques intrusivos.

Test de intrusión: qué es y objetivos

El test de intrusión consiste en simular un ataque informático con el objetivo de infiltrarse en los sistemas. En otras palabras, se realiza una auditoria de seguridad pactada con el cliente a fin de llevar a cabo un acceso no autorizado a las redes y sistemas informáticos de la compañía. Todo ello de forma controlada.

El objetivo del test de intrusión es:

  • Detectar fallos y vulnerabilidades que necesitarán una corrección.
  • Descubrir el nivel de seguridad frente a ataques externos.
  • Prevenir intrusiones ajenas a la empresa
  • Mejorar el entorno de trabajo consiguiendo afianzar la seguridad de los sistema de información.

¿Cómo se realiza un test de intrusión?

Desde Prestigia Seguridad utilizamos la metodología de auditoría OWASP TOP 10 en nuestros trabajos de auditoría web desde un punto de vista de seguridad y evaluación de riesgos.

Este proceso para realizar un test de intrusión consta de las siguientes fases:

1. Recogida de información pública del cliente: Dominios, IP’s, servicios que ofrecen, todo ello a través de un análisis de sus páginas web, redes sociales, listas de IP’s, etc… buscando obtener el mayor número de información posible para preparar las siguientes fases de test.

2. Testeo la seguridad de sistemas de información y redes: analizar el hardware y el software, obtener toda la información de los servicios que funcionan en un servidor (web, correo, idap, nas, ftp…), … Los protocolos usados y los puertos abiertos son algunos de los puntos que ofrecen información sobre cómo acometer la intrusión o ataque a esos sistemas. Además se evalúan las políticas de control o acceso, la calidad de las contraseñas, las reglas del firewall y otros sistemas de seguridad de la empresa en caso de existir.

3. Evaluación de la capa de aplicaciones web, es decir, las accesibles desde internet, como extranets, e-commerces, crm, páginas web u otros…: formularios de entrada de datos, back-ends o gestores de contenido, directorios y cualquier código propio o de terceras partes (como plugins) que exista y sea accesible desde Internet para detectar vulnerabilidades que permitan efectuar ataques SQLi, XSS, DDoS, inyección de scripts que redireccionan a publicidad o al minado de criptomonedas.

Estos dos puntos se puede evaluar en diferente orden y dependerá de la información obtenida y la planificación anterior.

¿Por qué realizar un test de intrusión?

La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.

¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.

consecuencias no implementar certificado ssl
Consecuencias negativas de no implementar un certificado SSL
1024 690 Prestigia

Hace unas semanas os hablamos en el blog de Prestigia Seguridad sobre las ventajas de implementar un certificado SSL. Hoy, queremos poner el foco en las consecuencias de no implementarlo porque, sí, las tiene 😉

Aquello de lo que no se ve o lo que no se habla, no existe. En seguridad en Internet esta máxima sería totalmente opuesta: los ataques en Internet están al acecho aunque no seamos realmente conscientes de ello. Por eso tan importante como mantener la seguridad en los CMS es proteger nuestra página web con un certificado SSL.

Riesgos de no contar con un certificado SSL

¿Tienes un patrón de seguridad en tu móvil para que nadie pueda usarlo? ¿Tienes protegida tu red de Internet con una contraseña para que nadie tenga acceso? ¿Cuando te marchas de casa cierras con llave? Si en tu día a día eres precavido y tomas ciertas medidas de seguridad para garantizar tu privacidad…¿por qué no hacerlo con tu página web? No implementar un certificado SSL puede dar lugar a consecuencias como las siguientes:

  1. Dudas sobre la identidad de tu web. El certificado SSL viene a ser como el DNI para las personas, es decir, un sistema o documento que acredita tu identidad. En el caso de las páginas web, sin un certificado SSL no hay garantías que certifiquen tu identidad y credenciales, algo que desde el punto de vista del usuario genera desconfianza.
  2. Web segura. Hace tiempo que cuando los buscadores detectan una página web sin certificado SSL la catalogan como “No segura”. Y así se lo hacen saber al usuario a través de un mensaje en el que avisan de que la web en la que está navegando no es segura y en la que recomiendan no ofrecer información confidencial ya que no hay garantías de que los atacantes pudieran robarla. También en la barra de dirección se indica que la página web no es segura. Además, en la mayoría de casos se impide el acceso a la web.  
  3. Problemas de posicionamiento y rentabilidad. Esta es una consecuencia directa de la anterior. Al ser advertido el usuario de que no está en una web segura, lo más probable es que la abandone. Por lo tanto, aumentará la tasa de rebote y se reducirá el tiempo de permanencia. Esto afectará al tráfico de la web que, al disminuir, también se traduce en la pérdida de posición en la página de resultados de búsqueda de motores como Google, Explorer, etc.
  4. En el punto de mira de los hackers. Cuando una web no dispone de certificado SSL es más vulnerable a los ataques informáticos. Al no estar la información encriptada, el cifrado de la página no es del todo seguro y los hackers pueden utilizar este “agujero” en la seguridad para robar datos, instalar malware, etc.

¿Qué más necesitas para convencerte de lo importante que es implementar un certificado SSL? ¿Tienes alguna duda? Desde Prestigia podemos ayudarte.

seguridad en los cms
Seguridad web, talón de Aquiles de los mejores CMS
1024 690 Prestigia

Al poner en marcha una web, blog o negocio online es fundamental plantear bien el desarrollo, la programación web. En muchos casos, y por las características del proyecto, convendrá una programación web a medida. En otros, sin embargo, puede ser suficiente trabajar con alguno de los CMS (Content Management System) open source que nos ofrece el Mercado: WordPress, Drupal, ….. En este sentido, uno de los factores olvidados a la hora de escoger un sistema de gestión de contenidos es la seguridad. Nos centramos en aspectos como el diseño, la usabilidad, la capacidad… olvidándonos de la seguridad web en los CMS.

Según un informe de Sucuri, los tres CMS más infectados en 2017 fueron WordPress (83%), Joomla! (13.1%) y Magento (6.5%). Son tres de las plataformas más utilizadas (WordPress es el CMS más usado del mundo) por pequeñas empresas, tiendas, bloggers, etc. Por eso, no es de extrañar que también estén en el punto de mira de hackers y delincuentes.

Estos datos no implican que WordPress, Joomla! o Magento sean más o menos seguras que otras plataformas. De hecho, desde Sucuri explican que los riesgos o compromisos registrados en estos gestores de contenidos estaban relacionados con “un despliegue, configuración y mantenimiento general inadecuado por los webmasters y no con el núcleo de la aplicación CMS en sí”. Sea como sea, es importante que tengas en cuenta aspectos de la seguridad en los CMS a la hora de escoger uno y que también sepas protegerlo.

Problemas de seguridad en los CMS

Pueden ser muchas las causas que provocan que un CMS sea infectado o atacado. Sin embargo, como decíamos, en la mayoría de ocasiones estos ataques están relacionados con una mala gestión de la plataforma desde una óptica de seguridad y protección.

Por ejemplo, el informe de Sucuri revela que muchas de las plataformas estaban desactualizadas en el momento de la infección. De hecho, en 2016, el 61% de las webs desarrolladas con WordPress que fueron hackeadas registraron instalaciones desactualizadas. También en años anteriores, el 80,3% de los sitio Magento estaban en su mayoría desactualizados (80.3%) en el momento en que se infectaron.

Otra de las formas más habituales entre los hackers para infectar un CMS es a través de los ataques de fuerza bruta. Este tipo de ataque consiste en consiste en probar sistemáticamente diferentes credenciales hasta que….¡voilà! encuentran la combinación correcta. En otras palabras, sería como intentar abrir un candado con 1001 opciones posibles. Te llevaría muchísimo tiempo pero en algún momento darás con la combinación acertada. Y, cuando quién lo hace es un robot de forma automatizada, el tiempo deja de ser un problema.

Otra variante de este método muy conocida es el ataque diccionario. En este caso, se deja de lado el intento sistemático de encontrar la combinación de acceso para probar únicamente aquellas combinaciones con más probabilidad de éxito. En este punto no está de más recordarte la importancia de tener una contraseña fuerte y segura para ponérselo difícil a los hackers.

Los ataques de fuerza bruta pueden afectar a cualquier web. Sin embargo, WordPress repite como uno de los objetivos favoritos de los hackers.

¿Y qué sucede cuando descubren el usuario y contraseña? El hacker puede entrar en el panel de administración y hacerse con el control de la web. De esta manera, puede desde robar datos y credenciales hasta alojar archivos maliciosos o hacer que la página web se convierta en parte de una infraestructura de malware específica.

10 consejos para fortalecer la seguridad en los CMS

En algún momento de este artículo se ha comentado que bloggers, pequeños empresarios, propietarios de tiendas, etc suelen utilizar CMS de código abierto. Lo hacen porque son fáciles de usar, rápidos, gratuitas y no requieren grandes conocimientos. Sin embargo, estamos ante un arma de doble filo porque, como decíamos, también los hace más vulnerables ante un posible ataque.

En este contexto, es importante tener a mano unos consejos de seguridad en los CMS para garantizar que tu plataforma esté protegida:

  1. Mantén actualizado el CMS. Si, es la norma más básica y es una cuestión de sentido común. Si no actualizas tu gestor de contenidos no estarás protegido ante riesgos que se hayan detectado recientemente.

  2. Usa una contraseña fuerte y segura: que sea aleatoria y poco común. En este sentido, ten en cuenta que sea de al menos 12 caracteres y no la utilices en diferentes sitios a la vez.

  3. Descarga contenidos solo de webs oficiales

  4. Introduce Captchas en tus formularios para que sean más seguros. Esto te ayudará también a evitar que te envían spam o se infiltren en tu aplicación.

  5. Haz revisiones periódicas para detectar vulnerabilidades y anomalías. Ya sabes, mejor prevenir que curar.

  6. Intenta escoger un CMS con una comunidad online fuerte, es decir, que tenga un equipo de desarrolladores a los que consultar dudas y problemas.

  7. Configura tu hosting de forma segura, con unos parámetros básicos de segurida en los CMS y en relación a los permisos y accesos al servidor.

  8. Controla los permisos de usuario y contraseñas de acceso

  9. Suscríbete a foros y newsletter relacionadas con la seguridad en los CMS. Mientras más informado estén, con más rapidez podrás actuar ante un riesgo.

  10. Contacta con Prestigia Seguridad si quieres más garantías de seguridad en los CMS que utilizas 😉

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.