La seguridad de una página web no solo depende de la programación de la misma, sino también del modelo de negocio, la arquitectura, la plataforma de alojamiento y los diferentes agentes que toman al desarrollo y la entrega del servicio.
Hoy en día Internet es de vital importancia para todos ya que muchos servicios residen y/o se ofrecen vía online. Por lo tanto la gestión de los riesgos que pueden afectar a estos sistemas es un aspecto muy importante a tomarse en consideración. Sin entrar en detalles técnicos, podemos resumir que el riesgo se calcula mediante una fórmula aritmética en base a la probabilidad, al impacto de una vulnerabilidad y al valor del activo afectado. Una vulnerabilidad podemos considerarla como una debilidad presente en nuestro sistema la cual podría ser explotada por un atacante para comprometerlo. En las páginas Web podemos encontrar diferentes vulnerabilidades como por ejemplo: inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros locales (LFI) y remotos (RFI), Server Side Includes (SSI), etc… En Internet es posible encontrar diferentes estadísticas de distribuciones de vulnerabilidades de las páginas Web. En ellas es posibles apreciar que las inyecciones SQL y XSS siguen siendo las vulnerabilidades más frecuentes. Existen diferentes metodologías de gestión de riesgos como MAGERIT, CRAMM, y OCTAVE.
Ejemplo de seguridad de la información
Para considerar un caso real y cercano a nosotros, podemos analizar los resultados obtenidos por Security Guardian, una empresa especializada en la seguridad de la información que colabora con Nexica en el ámbito de la asesoría para protección y seguridad de infraestructuras. En las diferentes pruebas realizadas se ha detectado alguna vulnerabilidad en más del 90% de las pruebas realizadas y en más del 75% se ha detectado por lo menos una vulnerabilidad crítica. De las vulnerabilidades críticas detectadas aproximadamente un 23% has sido Inyecciones SQL y un 12% Cross Site Scripting (XSS).
Es posible encontrar vulnerabilidades a diferentes niveles, empezando por el nivel lógico, por lo tanto el nivel de seguridad alcanzado corresponde al mínimo de los niveles de seguridad presentes. Para estudiar la seguridad de un entorno hay que analizar no solo el producto final, también el sistema en su totalidad, como por ejemplo el entero modelo de negocio, la arquitectura, la plataforma de alojamiento y los diferentes agentes que toman al desarrollo y la entrega del servicio.
Algunos de los posibles puntos de entrada para el potencial atacante son las vulnerabilidades presentes en el servicio y aplicativo Web. No se ha explicado aun porque alguien se tomaría tantas molestias. Normalmente la motivación es lograr algún beneficio del tipo que sea: económico, de reputación,… La desfiguración de páginas web, el robo de informaciones y la denegación de servicio son los objetivos más frecuentes. Si la motivación es lograr algún beneficio, el posible atacante podría ser el beneficiario, por lo tanto un potencial atacante no es sólo un hacker anónimo, puede también ser alguien muy cercano a nosotros, por ejemplo un empleado descontento, un ex empleado o hasta un competidor.
Ataques a la seguridad cada vez más frecuentes
En general, los ataques son cada día mas frecuentes. Es posible encontrar noticias que destacan un incremento del 44% de los ataques cibernéticos, u otras que describen que Symantec reporta un incremento del 81% de los ataques maliciosos. Si deseamos conocer una cifra aproximada de desfiguraciones, podemos ver que zone-h ha reportado casi 1,5 millones de páginas desfiguradas en el año 2010.
Considerando algunos factores como por ejemplo la importancia de las páginas Web en nuestros negocios y hasta en nuestra sociedad, el incremento del número de ataques realizados, y la sofisticación de las herramientas automatizadas para realizar dichos ataques (que además requieren cada vez menos conocimientos técnicos y que permiten realizar ataques cada vez mas complejos), es imprescindible cuidar la seguridad de las nuestras páginas Web de forma continua y exhaustiva. Además, hay que considerar que los impactos debidos a problemas de seguridad pueden ser desastrosos pues producen pérdidas económicas, perdidas de imagen, denegaciones de servicio (no poder prestar servicio), perdidas de información, etc…. Entre los impactos anteriormente citados, la pérdida de imagen es quizás la peor ya que puede gravemente a la reputación de la empresa y puede llevar fácilmente una empresa a la quiebra.
Por último para garantizar la seguridad nuestras páginas webs es necesario analizar profundamente todo los elementos que intervienen en la cadena del negocio. Hay que pensar por ejemplo en seguridad a nivel mlógico, físico (control de acceso, sistemas de firewall,...) y perimetral (firewalls, IDS, IPS,…), programar de forma segura, configurar correctamente servicios y aplicativos, preocuparse de la confidencialidad, disponibilidad e integridad de la información, aislar totalmente los datos, y realizar una monitorización continua de la seguridad. Además hay que cumplir correctamente las normativas (LOPD, SSI,…) y podría ser de ayuda para la seguridad y para el negocio cumplir con los estándares correspondientes (Ej.: ISO).
Por todo ello es recomendable buscar asesoramiento continuo, así como contar con un proveedor estable y de confianza que pueda aportar años de experiencia en el mismo sector.
Para más información referente en referencia a la seguridad web (www.nexica.com/es/seguridad-web), y sobre como protege tus páginas, inscríbete al seminario gratuito ‘Seguridad en páginas web’, impartido por Antonio San Martino, CEO de Security Guardian, que se celebrará el próximo 26 de Septiembre en Nexica.
ResponderEliminar