Una falla de seguridad informática en nuestra empresa puede llevar a pérdida de información confidencial, problemas en la integridad de los datos y problemas de disponibilidad que pueden implicar sustanciales perjuicios a cualquier organización.
Los servidores web son una parte crucial de las aplicaciones basadas en web. Entre los web servers más utilizados en el mercado encontramos apache, nginx. IIS, los cuales tanto apache como nginx abarcan el 60% del mercado actual según estadísticas del sitio trendbuiltwith referente a tendencias de tecnología a nivel mundial.
Necesidad de la seguridad en los usos actuales del internet
Hoy en día algunos de los mayores usos en el Internet son la Banca en Línea, catálogos de servicios que facilitan a todos los usuarios que tienen cuenta bancaria, el poder revisar sus cuentas sin tener que estar físicamente en una Sucursal y tener que hacer largas filas, de igual manera en el caso de ofrecer servicios de nuestra empresa a los clientes, pero el uso de esta herramienta conlleva a tener una fuerte estructura enfocada en la seguridad del sitio ante cualquier ataque y más sabiendo si se trata de cuentas bancarias de miles de usuarios a nivel mundial.
Principales amenazas que se encuentran en internet
Las principales amenazas a las que se encuentran expuestos los sitios web y de las que debemos procurar cuidarlos son las siguientes:
- Robo de Información: como su nombre lo indica, este permite a cualquier atacante robar la información del usuario, en caso de transacciones bancarias se pueden robar los números de cuenta, los números de las tarjetas de crédito, balance de cuentas, entre otros.
- Suplantación de Identidad: este tipo de amenaza permite al atacante entre otras cosas, poder hacer miles de transacciones ya sean de cantidades mínimas o numerosas usando el nombre de otra persona sin llegar a ser identificado.
- Sniffers: es una herramienta informática que permite hacer la lectura y obtener información transmitida por la red. Permite también, la consumación de un ataque de suplantación de identidad y robo de información.
- Modificación de Información: esta amenaza puede permitir a la persona atacante alterar toda la información que posea en el momento el sitio web, como ejemplo se puede mencionar el modificar ciertas transacciones incluyendo la cantidad a transferir.
- Repudio: este punto no necesariamente puede que lo cause un atacante al usuario. Muchas veces el hacer transacciones sin verificar antes el monto que se tiene en las cuentas personales puede hacer que rebote alguna, haciendo que cause problemas a los sistemas bancarios. Si una de las partes involucradas en la transacción la rechaza ésta deberá soportar unos costos adicionales a modo de penalización.
- Denegación del Servicio: la denegación del servicio puede llegar a ser una de las amenazas más significativas dentro de la banca en línea, y es que un ataque de este tipo inhabilita el sistema para que pueda operar de manera normal, por lo tanto, imposibilita a los usuarios para realizar operaciones transaccionales. Esta amenaza se realiza de manera sencilla y el llegar a encontrar la identificación del atacante puede llegar a ser imposible.
El nuevo auge de los sitios CMS en internet
El desarrollo de sitios web ha tenido un auge con los CMS o sistemas de administración de contenidos que permiten el desarrollo y diseño de sitios web por medio de herramientas como editores de texto gráficos y la instalación de temas y plugins, la facilidad de tener estos sistemas autoadministrables está en que cualquier persona que no tiene conocimiento de programación (CSS, HTML, PHP) puede actualizar su contenido en su tienda, sus servicios o noticias de manera dinámica. WordPress es el rey de los CMS siendo el más utilizado a nivel mundial con el 37% de todos los sitios en el mundo desarrollados en esta herramienta, según tendbuiltwith.
La seguridad ya no es un tema secundario en ninguna organización y mucho menos en una empresa que implemente comercio electrónico, por eso es importante tomar la medidas necesarias para proteger los datos y el manejo que se le da a la información generada y manipulada por los usuarios, y así evitar que los datos sean interceptados y/o modificados por terceros, aunque esto implique invertir grandes cantidades de dinero para poder evitar lo anteriormente mencionado, obviamente realizando un análisis costo-beneficio para evitar gastar más de lo que se va a proteger.
¿Nosotros qué ofrecemos?
Nuestro servicio consiste en identificar las amenazas del top ten del OWASP (Open Web Application Security Project), organismo a nivel internacional que clasifica las vulnerabilidades según su criticidad, por medio de un análisis de vulnerabilidades.
Una prueba de análisis de vulnerabilidades es un análisis realizado a través de herramienta para verificar si el elemento analizado tiene vulnerabilidades reportadas en bases de datos como CVE. Al realizar un análisis de vulnerabilidades se siguen estos parámetros:
- Descubrir y analizar la situación actual de la aplicación
- Priorizar la información
- Evaluar el lugar donde se identificarán las vulnerabilidades
- Priorizar y reparar las vulnerabilidades
- Elaboración de informe final
- Confirmar que las vulnerabilidades se han eliminado a través de auditorías
¿Qué te pareció este artículo? ¿Crees que tu web cuenta con un buen sistema de seguridad o te gustaría realizar un análisis y auditoría?
Si quieres recibir nuestro servicio de auditoria de seguridad de tu web puedes contactarte con nosotros o dejarnos tu comentario en este artículo.
Por: Ing. José Moreno / Especialista en Seguridad Informática e Informática Forense