Plan Básico
Incluido gratuitamente en todos los alojamientos
En un primer blog, le presentamos un apartado de Preguntas Frecuentes, introductorias y generalistas sobre la seguridad en internet, en el sitio web, en WordPress y qué hacer en caso de ataque o infección.
En un segundo bloque, nuestras propuestas de Planes de Seguridad (básico, profesional, corporativo), tanto aplicables a nuestros alojamientos, como externos y en los que cada plan de seguridad, incluye las propias prestaciones, añadidas a las del plan anterior.
Si tiene cualquier duda, conceptual o técnica, gustosamente le atenderemos.
FAQS
::: Introducción generalista sobre seguridad a internet
CONTINGUTS
1. LA SEGURIDAD EN EL MUNDO DIGITAL
·······1.1 ¿Cuáles son los riesgos?
·······1.2 Protección empresarial y de la clientela
·······1.3 Normas básicas y buenas prácticas
·······1.4 Política de protección de datos (externa y interna)
·······1.5 Ciber Seguridad: ¿Inversión o gasto?
2. PROTEJA SU INFORMACIÓN (PERSONAL E IDENTITAT)
·······2.1 Copies de seguridad
·······2.2 Encriptación. Cómo hacerla
·······2.3 Suplantación de identidad (phishing)
·······2.4 Contraseñas
3. PROTEJA LAS HERRAMIENTAS DE SU TRABAJO
·······3.1 Análisis de equipos y plan de seguridad
·······3.2 Antivirus y antisoftware malicioso
·······3.3 Operaciones bancarias
·······3.4 Seguridad para los smartphones
4. PROTÉJASE DENTRO DE INTERNET
·······4.1 Wi-Fi
·······4.2 Red privada (VPN)
·······4.3 Router
·······4.4 Gestor de continenidos (CMS)
·······4.5 Datos de comercio electrónico
·······4.6 Redes sociales
·······4.7 Protocolos de actuación
·······5.1 Gran volumen de datos: compartir y almacenar
·······5.2 Vulneraciones de seguridad y privacidad
·······5.3 Denuncias
1. LA SEGURIDAD EN EL MUNDO DIGITAL
1.1 ¿Cuáles son los riesgos?
Actualmente los riesgos más frecuentes expuestos en nuestro negocio/actividad son:
• Malware
Software malicioso que invade, daña o desactiva equipos, puede robar, cifrar, borrar datos y alterar/secuestrar funciones básicas del dispositivo, así como espiarnos.
Es un término amplio que incluye:
·· Virus, un segmento de línea de código que altera el funcionamiento normal del ordenador, sin el permiso o el conocimiento de la persona usuaria.
·· Troyanos, que simulan ser un software legítimo inocuo que se introduce en un programa ya existente en el sistema, para engañar a la persona usuaria y abrir la puerta a otros tipos de malware que infecten el ordenador.
·· Spyware, que tiene como objetivo espiar a las personas usuarias y guardar sus contraseñas, datos de tarjetas de crédito, datos personales y patrones de comportamiento online (ejemplo: registra las pulsaciones del teclado del ordenador), para enviar esta información al delincuente.
·· Gusanos, que atacan redes enteras de dispositivos saltando de un ordenador a otro con el objetivo de propagar y afectar al mayor número de dispositivos posible. Crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de distintos medios, como el correo electrónico, mensajería instantánea o contenidos con temas que llaman la atención como sexo, personajes famosos, temas de actualidad o software pirata.
·· Ransomware, que secuestra archivos, les cifra y exige dinero a la víctima a cambio de una clave de descifrado, que a menudo no funciona.
·· Adware, que inunda las pantallas de las víctimas de anuncios no deseados y crea vulnerabilidadesde seguridad para que se pueda introducir otra clase de malware sin darnos cuenta.
• Phishing
Técnica muy extendida basada en la suplantación de identidad de una marca o entidad con reputación, como puede ser algún organismo oficial o empresa conocida o banco, para adquirir información comprometida.
Habitualmente, se presenta bajo la forma de correo electrónico pero también a través de mensajería (SMS, Whatsapp) y llamadas de voz. En todos los casos, se pide que la persona usuaria confirme o dé datos generalmente relacionados con cuentas bancarias, tarjetas de crédito o números de seguro y, a menudo, bajo la amenaza de cancelar los servicios en un tiempo determinado, si no se hace.
1.2 Protección empresarial y de la clientela
Por lo general, las amenazas digitales son más frecuentes y exitosas contra los más vulnerables, pequeños negocios, más fáciles de infiltrar, rastrear y amenazar, que las grandes corporaciones.
Si sufrimos algún ciberataque en nuestra empresa, podemos perder gran cantidad de información y documentos si no tenemos al día nuestras copias de seguridad y aparte, dejamos totalmente expuestos tanto nuestros datos como los de nuestra clientela. Tenemos una responsabilidad tan ética como legal de custodiar correctamente estos datos.
1.3 Normas básicas y buenas prácticas
Las siguientes propuestas, especialmente dirigidas a personas autónomas, pequeñas y medianas empresas, así como su plantilla, son aplicables en cualquiera de los medios o dispositivos digitales que involucran a nuestra empresa, como:
• El BYOD (Bring Your Own Device), todos los dispositivos a través de los cuales nosotros o nuestro personal accede a información de la empresa: ordenadores, tabletas o teléfonos móviles, tanto particulares como corporativos.
• Cloud computing y big data, almacenamiento y gestión de datos, tanto en la nube como en local.
• Internet de las cosas, como los relojes inteligentes, la billetera electrónica…
• Aplicaciones móviles.
• Las múltiples identidades digitales en redes sociales.
Normas básicas
• Instalar un software de seguridad.
• Realizar copias de seguridad diarias de todos los documentos.
• Mantener el correo electrónico limpio y utilizar filtros de spam.
• Utilizar contraseñas complejas y cambiarlas regularmente.
• Mantener al día los sistemas operativos de los dispositivos relacionados con la empresa con las últimas actualizaciones, así como la página web.
• Entender y tener presente cómo actúan nuestras empresas interlocutoras que tratan con datos vulnerables. Es más fácil detectar una comunicación potencialmente peligrosa si sabemos cómo se comportan determinadas interlocutoras, por ejemplo: correos, bancos, empresas de mensajería, etc. Por ejemplo, sabemos que el banco nunca nos pedirá el código PIN en un correo electrónico, si detectamos faltas de ortografía o logos antiguos o pixelados, es altamente posible que esa comunicación se trate de un fraude. En caso de duda, no abra las comunicaciones.
• Verificar el origen de las comunicaciones que recibimos. • No acceder a sitios web o aplicaciones con información delicada, como bancos, a través de una red Wi-Fi pública.
• Vulnerabilidades off-line: no escribir los códigos PIN, es necesario firmar las tarjetas de crédito y débito, revisar las cuentas bancarias periódicamente, triturar los documentos confidenciales no necesarios.
• Crear una cultura de seguridad con las personas trabajadoras. Proporcionar criterios claros y normas para la seguridad preventiva y protección de datos en todos los procesos de la empresa, impulsando formaciones sobre el tema.
A partir del 25 de mayo de 2018 se instauró en Europa una normativa de protección de datos que afecta a todas las empresas. Esta ley exige documentar cómo actúa nuestra empresa internamente a la hora de recoger, procesar y almacenar datos, así como qué medidas de seguridad tomamos para prevenir quiebras de seguridad. Esta ley parte de la premisa de que los datos personales que recopilamos de nuestra clientela representan a personas reales y, si se hace un uso indebido de los datos, puede tener un impacto negativo en sus vidas. Por tanto hace responsable a las empresas de su seguridad en el tratamiento y custodia. En caso de incumplimiento, las sanciones pueden ser cuantiosas.
1.4 Política de protección de datos (externa e interna)
Con la normativa europea de protección de datos (GDPR), a partir del 25 de mayo de 2018, establece que todos los datos que recogemos deben ser con consentimiento, informando de por qué los utilizaremos y usándolos exclusivamente para lo que hemos comunicado que las utilizaremos. Además de todo esto, debemos almacenar los datos por un tiempo limitado y, a la hora de tratarlos, debemos garantizar la seguridad en el proceso.
La lei GDPR implica:
• Documentar cómo se cumple la RGPD
La Autoridad Catalana de Protección de Datos ha desarrollado una aplicación para crear, mantener y gestionar el registro de las actividadesde tratamiento: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el- registro-de-las-actividades-de-tratamiento/
• Análisis de riesgos
Es necesario analizar qué tipo de datos tenemos, de donde los hemos obtenido, el número de personas usuarias que involucran y la cantidad y variedad de datos que nuestra empresa está tratando. Después, es necesario clasificar estos datos en función del impacto que tendría para las personas usuarias, si hubiera una brecha de seguridad y estos datos se vieran expuestos. La Autoridad Catalana de Protección de Datos nos ofrece: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Medidas de seguridad a adoptar en función del riesgo.
• Quiebras de seguridad
En caso de que todas las medidas de seguridad hayan fallado, debemos notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo siempre inferior a 72 horas, que nos ofrece, la Guía para la gestión y notificación de brechas de seguridad
1.5 Ciber Seguridad: Inversión o gasto?
Por lo general en el ámbito de la ciber seguridad, cuesta entender, si no se ha sufrido un ataque, el tener que pagar por algo que no ha sucedido -no ocurre en otros ámbitos como en el seguro del coche, del hogar , de vida, etc-.
¿Compensa la inversión?
• El coste de los ciberataques siempre superan a los de la inversión. El coste medio de las grandes empresas es de 500.000€, mientras que las PYMES a pesar del coste es inferior, suelen desaparece alrededor de 6 meses después del ataque. Hasta ahora, 100.000€ es el coste medio que puede producirse para una PYME, en caso de ransomware.
• Proporcionalmente al número de ataques, la principal motivación es económica y el 48% de agujeros de seguridad involucran a PYMES.
• Para conseguir una política completa y adecuada en ciber seguridad, es necesario recurrir a una empresa especializada y de reconocido prestigio. Las soluciones que podemos aportar en nuestro caso, van dirigidas a a PYMES y especialmente a las que hacen uso de una web bajo WordPress.
2. PROTEJA SU INFORMACIÓN (PERSONAL E IDENTIDAD)
2.1 Copias de seguridad
Un backup o copia de seguridad se refiere al proceso de copia y almacenamiento de datos de cualquier dispositivo digital, ya sea un ordenador, tableta o móvil. Son vitales para la recuperación de un desastre (ciberataque, errores de hardware, colapso de disco, etc).
¿Cómo hacer la copia?
· Almacenar las copias de seguridad en lugares diferentes
Es recomendable disponer de copias de seguridad tanto en el ámbito local, como en servidores en otros sitios o en la nube. Todas las opciones se pueden realizar de forma manual, a través de USB o en memorias externas y softwares específicos. Nosotros uno ofrecemos copias del entorno web (sitio web y correo) diarias hasta 30 días.
En caso de optar por contratar los servicios de una empresa proveedora, con el fin de ampliar la copia a la propia instalación local (servidor y clientes de la organización), le recomiendan nuestro partner experto en copias en remoto de ámbito de ámbito local (empresarial ya particulares), https://agoobackup.es, tanto en cloud de google como de microsoft. Ofrecen auto-gestión remota de los servicios en el área de cliente.
· Seleccionar qué información es relevante o no
Es probable que no sea necesario realizar una copia de todos y cada uno de los archivos. En nuestro caso, hacemos copias totales de todo lo que hay en su alojamiento (web, ficheros del sitio y correo).
· Automatizar las copias
Lo mejor es confiar en alguno de los software para establecer la periodicidad o automatizar las copias de seguridad. Le ofrecemos copias automatizadas diarias (30 días).
· Calendario
La periodicidad mínima general recomendada para realizar copias de seguridad sería una vez a la semana. En nuestro caso llevamos a cabo copias diarias automatizadas durante 30 días.
· Encriptar los datos que consideramos más relevantes
Es necesaria una encriptación de los datos, especialmente aquellos archivos con información sensible, punto clave para cumplir con la GDPR.
· Comprobar las copias de seguridad
Es vital comprobar de vez en cuando que las copias de seguridad que vayamos haciendo son correctas.
· Hacer copias de todos los dispositivos
Recordar realizar backups no sólo del ordenador, sino también de los móviles y tabletas, para no perder contactos, agenda, listas de tareas, etc.
2.2 Encriptación. Como hacerla
La encriptación de datos es un procedimiento mediante el cual los archivos, o cualquier tipo de documento, se vuelven completamente ilegibles gracias a un algoritmo que desordena sus componentes. Así, cualquier persona que no disponga de las claves correctas no podrá acceder a la información que contiene.
Gran parte de la información que enviamos por internet ya está encriptada, gracias a los protocolos HTTPS, pero ¿qué ocurre con la información que tenemos almacenada en nuestros dispositivos? ¿Es segura?
Por lo que respecta a los ordenadores, uno de los datos más sensibles que podemos tener en nuestra empresa son los nombres de usuarios y contraseñas (credenciales). Es nuestra responsabilidad proceder a encriptar esta información y demás datos que puedan ser comprometidos en el caso de robo o pérdida. Algunos softwares pueden ser: BitLocker para entornos de Windows y FileVault para entornos de Mac.
Cabe apuntar que en el caso de los móviles, las empresas proveedoras de sistemas operativos móviles han desarrollado distintas funciones de cifrado disponibles para todas las personas usuarias. La información importante se guarda en formato cifrado y se descifra cada vez que la persona usuaria introduce el PIN de desbloqueo. Así que, en cuanto a los datos que almacenamos en los
nuestros dispositivos móviles en principio, lo tenemos bastante cubierto.
¿Cómo podemos encriptar nuestros datos?
La mayoría de softwares para realizar copias de seguridad incluyen la opción de encriptación de los datos. Si hemos decidido realizar las copias de seguridad de forma manual, podemos utilizar algunos softwares para encriptar los datos. En los sistemas operativos relativamente actuales, incluyen software de encriptación (Windows: BitLocker y Mac: FileVault); si no disponemos, podemos recurrir a otros softwares como: AESCrypt, AxCrypt o 7-Zip.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguridad inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguridad de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker y Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
2.3 Suplantación de identidad (phishing)
El phishing es un fraude de suplantación de identidad que se realiza por correo electrónico, mensajería instantánea, SMS o incluso llamada telefónica, donde se piden a los usuarios datos como tarjetas de crédito, claves bancarias u otro tipo de información altamente comprometida.
Para justificar la necesidad de estas solicitudesde datos, recurren a todo tipo de argumentos:
· Problemas de carácter técnico
· Detecciones recientes de fraudes
· Nuevas recomendaciones de seguridad
· Cambios en la política de seguridad de la entidad, etc
Tipos
· Por email: para capturar información relevante y/o descargar mailware, normalmente vía enlace.
· SMSishing: similar al de email. Pide hacer clic en un enlace o llamada telefónica.
· De lanza: Utiliza los mismos métodos que las estafas anteriores, pero se dirige a una persona o entidad específica.
· Whaling: Similar al phishing de lanza, la cacería de ballenas también se dirige a una persona u organización, con mucho que perder, como por ejemplo con un cargo en la directiva, celebridades, personajes públicos o personas vinculadas a la política.
¿Cómo prevenir un ataque de phishing?
• Comprobar desde qué correo electrónico se envía en realidad: datos del emisor (email descriptivo es diferente al email que hace realmente el envío).
• Asegurándonos bien de qué empresa proveedora hay detrás, para vislumbrar si se trata de una imitación.
• Comprobar que la URL no redirija a otro sitio.
• Las entidades bancarias siempre dicen que no pedirán nunca el PIN de una tarjeta a una persona usuaria.
• Revisa la ortografía y la gramática, a menudo los correos electrónicos o mensajes tienen incorrecciones.
• Analizar el mensaje, para ver si utiliza tácticas del miedo o es demasiado bueno para ser de verdad.
• Evitar clicar en enlaces de los que no tengamos la seguridad de que son auténticos.
¿Qué debemos hacer si nuestra empresa es víctima de un ataque de phishing?
1. Cambiar las claves de acceso de la información más sensible o vulnerable lo antes posible.
2. Revisar el correo electrónico y asegurarnos de que no tenemos correos de inicios de sesión en otros dispositivos o elementos nuevos en la papelera.
3. En los gestores de correo como Outlook o Gmail, existe una opción disponible a habilitar que se llama “Denunciar suplantación de la identidad”.
4. Bloquear nuestra tarjeta bancaria y comprobar con la entidad financiera que no se haya realizado ningún cargo fraudulento en nuestra cuenta.
5. Denunciar el caso a las autoridades competentes. En el caso del Estado español, en el Instituto Nacional de Ciberseguridad (INCIBE).
2.4 Contraseñas
La correcta gestión de contraseñas en la política de seguridad es vital.
Propuestas para hacerlas lo más invulnerables posible y utilizar un gestor de contraseñas para recordarlas:
• No utilizar la misma contraseña en todos los servicios o herramientas.
• Que sea de una extensión mínima de 8 caracteres, pero lo recomendable sería de 12 caracteres.
• Que combine letras y números, mayúsculas y minúsculas, con algún símbolo.
• Evitar escribirla o guardarla en la cartera.
• Procurar realizar contraseñas basadas en palabras sin conexión.
• Cambiar cada seis meses.
3. PROTEJA LAS HERRAMIENTAS DE SU TRABAJO
3.1 Análisis de equipos y plan de seguridad
Es necesario que tengamos un control de todos (tabletas, móviles, portátiles o USB) los elementos tecnológicos que acceden a nuestros datos digitales y que tomemos medidas para protegerlos.
¿Cómo proteger los dispositivos tecnológicos?
1. Hacer una lista de todos los aparatos empleados por todas las personas trabajadoras.
2. Anotar su número de identificación IMEI, para que la operadora y los cuerpos de seguridad puedan localizarlos y bloquearlos en caso de robo o pérdidas.
3. Definir unas políticas de uso y llevar a cabo acciones formativas.
4. Emplear una contraseña fuerte de más de cuatro dígitos.
5. Instalar barreras antimalware, la mayoría de antivirus para ordenadores tienen formato de aplicación móvil gratuita.
6. Desactivar las notificaciones, cuando la pantalla está bloqueada, y las sincronizaciones con otros servidores externos.
7. Tener instalado el menor número de aplicaciones posible.
También conviene definir un plan de ciberseguridad para que todos los miembros de la empresa tengan conocimiento de cómo proceder a la hora de protegerse y en caso de vulneración.
El documento del plan de ciberseguridad debería contemplar:
• Acceso: cómo se protegen los controles de acceso en plataformas digitales, por ejemplo: cómo se gestionan las contraseñas.
• Información: clasificación y manipulación de la información.
• Seguridad: consejos para la seguridad física y ambiental.
• Uso: uso adecuado de activos, programas o empresas proveedoras.
• Transferencias: cómo actuar en la transferencia de información, por ejemplo, en el caso de discos duros o USB.
• Dispositivos: consejos en el uso de dispositivos móviles, portátiles o tabletas en el trabajo.
• Restricciones: restricciones de uso e instalación de software.
• Backups: la política de copias de seguridad que se utiliza.
• Antimalware: protección de software malicioso.
• Vulneraciones: gestión de vulnerabilidades, información de riesgos.
• Incidentes: gestión de incidentes de ciberseguridad, información de los pasos a seguir en caso de vulneración.
• Continuidad: plan de continuidad del negocio que explique cómo se recuperarán los datos, en caso de crisis.
• Formación: formación y concienciación en ciberseguridad.
3.2 Antivirus y anti-software malicioso
El malware es el software que intenta invadir, dañar o desactivar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles. Puede robar, cifrar o borrar nuestros datos, alterar o secuestrar funciones básicas de nuestros aparatos tecnológicos y espiarnos.
La mejor defensa es la prevención, es decir, no hacer uso de páginas web no seguras, no hacer clic en enlaces sospechosos -logra engañar incluso a usuarios bastante experimentados-.
También es conveniente: instalar un antivirus en todos nuestros dispositivos, actualizar todo el software -especialmente el antivirus/antimalware- y instalar un firewall que proteja la entrada y salida de datos.
Tipos:
En el momento actual, los que más podríamos destacar son:
• Adware: diseñado para mostrar anuncios en la pantalla, normalmente en un navegador. Para instalarlo, bien se hace pasar por legítimo o bien se adosa a otro programa para engañar a la persona usuaria.
• Spyware: observa las actividadesde los usuarios y usuarias en secreto, sin permiso y las comunica a la persona autora del software.
• Virus: malware que se adjunta a otro programa y, cuando se ejecuta, se replica modificando otros programas del ordenador, infectándolos.
• Gusanos: similar a los virus, que se replican por sí solos, para diseminar por otros ordenadores en una red provocando, normalmente, daños y destruyendo datos y archivos.
• Troyanos: bastante peligrosos. Normalmente se presenta como algo útil para engañar a la persona usuaria. Una vez que entra en el sistema, las personas atacantes que se ocultan detrás del troyano obtienen acceso no autorizado al dispositivo infectado. Suelen robar información financiera o instalar otras amenazas como virus y ransomware.
• Ransomware: bloquea el acceso de la persona usuaria al dispositivo o cifra sus archivos y pide un rescate para devolverlos. Ataque muy popular en la ciberdelincuencia, porque exige un pago rápido y que le ha hecho el pago, en la mayoría de casos, no desencriptan nada.
• MITM (Man-In-The-Middle): interceptan comunicaciones o las alteran, con el objetivo de instalar software malicioso, generalmente a través de la técnica del phishing.
También encontramos otros malwares como rootkit, keylogger, cryptojacking o exploits. Recordamos que el malware está en constante evolución y es necesario estar al día.
3.3 Operaciones bancarias
En internet banking, los datos que se tratan son particularmente sensibles y objeto de muchos ciberataques.
Algunos consejos para utilizarlas de forma segura son:
• No revelar nunca nuestras claves.
• No dar ni fotografiar los datos bancarios o números de tarjetas de crédito por WhatsApp, Telegram o correo.
• Acceder desde redes y terminales seguros.
• No guardar datos confidenciales.
• Teclear siempre la página web del banco.
• Comprobar que la página tiene un candado.
• Controlar las cuentas de forma regular.
• Cerrar la sesión.
• Desactivar el acceso de Bluetooth.
• Utilizar la aplicación móvil del banco, con frecuencia más segura que la de la página web.
• Ir con precaución con el phishing.
Normativa:
El 14 de septiembre de 2019 entró en vigor una ley europea (PSD2) que concierne a los pagos digitales. Los usuarios tendrán que utilizar diferentes accesos para confirmar sus acciones a través de la banca online, como pueden ser el DNI, la clave de acceso o un código de confirmación enviado por SMS.
3.4 Seguridad para los smartphones
En contra de lo que habitualmente se cree, los teléfonos inteligentes son especialmente vulnerables a los ciberataques, quizás incluso más que los ordenadores. Así pues, es necesario tomar medidas de seguridad como descargarse aplicaciones oficiales, gestionar bien los permisos, vigilar el acceso a redes Wi-Fi públicas, instalar un antivirus, mantener el sistema operativo actualizado o realizar copias de seguridad a menudo, entre otros.
Los ataques habituales suelen ser análogamente a los de los ordenadores, troyanos (en la banca móvil: aunque la aplicación del banco es más segura que la página web, igualmente se han detectado casos y tamble en el lado de los SMS), ransomware, spyware (fundamentalmente extracción de datos) y últimamente, stalkerware (espionaje completo y registro en un servidor de toda la actividad del móvil) y el juicejacking (el uso de puertos USB para cargar la batería de los dispositivos móviles en lugares públicos).
4. PROTÉJASE DENTRO DE INTERNET
4.1 Wi-Fi
Ataques a través de la red Wi-Fi
Tener la Wi-Fi abierta o de fácil acceso implica, tener nuestra conexión a internet compartida con cualquiera y nos expone a diferentes riesgos:
• Reducción del ancho de banda.
• Robo de la información transmitida.
• Conexión directa con nuestros dispositivos y la información que contienen.
• Responsabilidad ante acciones ilícitas
Acciones para proteger nuestra Wi-Fi
• Cambiar la contraseña predeterminada.
• Asignar un sistema de seguridad más avanzado, como el WPA2.
• Modificar la contraseña para cambiar la configuración del router.
• Activar la restricción a MAC para conectar los dispositivos que escojamos en nuestra red.
• Apagar el router, si no debemos utilizarlo en varios días.
• Medir la propagación de la señal para que esté dentro de los límites de nuestra oficina.
• Rastrear qué dispositivos están conectados a nuestra red.
• Evitar el uso de redes Wi-Fi públicas.
4.2 Red privada (VPN)
Una red VPN es una red en la que no es necesaria la conexión física de los dispositivos (móviles, tabletas, ordenadores…), que se puede llevar a cabo mediante internet y donde nuestros datos viajan de forma aislada (tunel), aportando seguridad ( encriptación, habitualmente de 256 bits), disponibilidad geográfica y privacidad (un servicio de VPN no debería guardar registros de las conexiones, de modo que el registro de conexiones de nuestro operador sólo mostrara conexiones a los servidores de VPN, no a los puntos finales a los que se realiza la conexión).
¿Qué debe tener una VPN para considerarse segura?
La encriptación no siempre es suficiente, hay una serie de funcionalidades que necesitamos para reforzar la seguridad:
• KillSwitch
Mecanismo por el que la comunicación se interrumpe, si se pierde la comunicación con el otro extremo de la VPN. Si no se incluye esta funcionalidad en nuestra VPN, el sistema operativo puede seguir enviando paquetes de información a través de conexión normal, en lugar
de enviarlos a través de la VPN.
• Pérdidas de DNS (DNS leaks)
Algunas VPN no proporcionan mecanismos de seguridad frente a fugas de DNS: cuando existe una vulnerabilidad en el túnel de cifrado de VPN implicando que las consultas u operaciones que realizamos están expuestas a ser vigiladas. Las peticiones de DNS se realizan
por fuera de la VPN, poniendo en riesgo nuestra información y accesos.
• Pérdidas de WebRTC
Algunas VPN no proporcionan mecanismos de prevención de fugas de WebRTC (tecnología que permite comunicación en tiempo real) y podemos encontrarnos que, a pesar de contar con una buena VPN en nuestro sistema, nuestras videoconferencias se emitan por un canal no protegido.
• Registros
Las leyes de muchos países obligan a empresas operadoras y proveedoras de servicios de VPN a solicitar registros que estén disponibles bajo petición. Si realmente queremos tener una privacidad total, necesitaremos utilizar un servicio de VPN que resida en
una región que no obligue a solicitar registros de personas usuarias.
Hay muchas empresas que ofrecen servicios de VPN. Aunque las hay gratuitas, las más seguras y completas son las versiones de pago. Algunas empresas son NordVPN, ExpressVPN o PureVPN, con un rango de precios de 3 a 5€ al mes.
4.3 Router
Algunas formas de aumentar la seguridad de nuestro router son:
• Actualizar el firmware del router.
• Desactivar el acceso remoto.
• Configurar el router WLAN por cable, la primera vez que lo conectamos al ordenador y cuando hagamos actualizaciones o mantenimiento.
• Cambiar la contraseña que el router tiene por defecto.
• Cambiar el SSID (nombre o identificador que tiene el router) u ocultarlo.
• Cambiar los canales de acceso, si comprobamos que otros routers vecinos circulan por el mismo canal que nosotros.
• Aprovechar la banda de 5 GHz, puesto que es más estable y tiene menos interferencias.
• Acceso concreto a personas invitadas: crear una subred con su propia SSID y su propia contraseña, sin acceso a nuestra red principal.
4.4 Gestor de continguts (CMS)
La mayoría de vulnerabilidades a las que nos exponemos en nuestra página web vienen a través de los plugins, módulos o temas que no son parte del código fuente del gestor de contenidos.
Riesgos y ataques habituales
• Inyección de SQL: infiltración de código intruso que aprovecha un error del software para realizar consultas de bases de datos.
• Cross SiteScripting (XSS): permite ejecutar un código de scripting, como VBScript o JavaScript en un sitio web.
• Ataques de fuerza bruta: intento de acceder a nuestras credenciales para manipular nuestra página web. Se basan en probar millones de combinaciones de nombres de usuaria y contraseña hasta encontrar los correctos.
• Clickjacking: engañar a un usuario para que haga clic en algún elemento (como un botón) que no es lo que parece. Este engaño puede revelar información confidencial o permitir que otras personas tomen el control de nuestro ordenador. Por ejemplo, una persona usuaria hace clic en un enlace a ver un vídeo y en realidad hace clic en comprar un producto en una página
web ajena a la que está visitando.
• Cross SiteRequestForgery (CSRF): ataque que fuerza al navegador web de la víctima, validado en algún servicio (como correo o internet banking) a enviar una petición a una aplicación web vulnerable. El objetivo específico son las solicitudesde cambio de estado, no el robo de datos.
Buenas prácticas para evitar vulneraciones:
• Activar las actualizaciones automáticas del CMS y los plugins.
• Usar una contraseña fuerte y segura.
• Descargar contenidos sólo de webs oficiales.
• Introducir CAPTCHAS en nuestros formularios.
• Buscar un CMS con comunidad fuerte para apoyar, en caso de vulneración de la seguridad.
• Contratar a un hosting seguro.
• Disponer de un certificado SSL.
4.5 Datos de comercio electrónico
Los comercios electrónicos son víctimas habituales de ataques potenciales, especialmente en períodos de campañas (navidad, black friday, rebajas).
Riesgos a los que nos exponemos:
• Tarjetas de crédito robadas
Cuando una persona compra un producto en nuestra tienda online con una tarjeta de crédito robada, ya que muy posiblemente el banco reclame este pago. Este tipo de fraude resulta especialmente peligroso en
aquellos comercios electrónicos que tratan con productos digitales y que deben entregarse a la clientela de forma inmediata, ya que es posible que ya hayamos entregado el producto.
• Una vulnerabilidad en la página web
Por ejemplo, que alguien cambie el precio de los productos para adquirirlos a menor precio. A efectos legales, es muy difícil probar que el ataque se realizó de forma intencionada (y no como fruto de un error) y, en la mayoría de las veces, el comercio tendrá que asumir el coste, sin opción a poder reclamar.
• Robo de información
La sustracción de datos
Almacenadas en la página web, como información bancaria de nuestra clientela, contraseñas, datos de acceso…
• Phishing
Que nos suplanten la identidad y utilicen nuestro nombre para conseguir información de nuestra clientela.
• Ataques DDoS o denegación de servicio
La persona atacante utilizará una botnet (red de ordenadores infectados y que están bajo su control) para lanzar miles de peticiones de conexión por segundo a nuestro comercio electrónico. El resultado será que el servidor no podrá afrontar todas las peticiones y nuestro negocio estará inaccesible durante el ataque.
Buenas prácticas para proteger nuestro comercio electrónico:
1. Elegir una plataforma de comercio electrónico segura.
2. Implementar certificados SSL.
3. Ofrecer formas de pago seguras, como las pasarelas de pago que tienen los bancos.
4. No almacenar datos sensibles, sólo los estrictamente necesarios y por un tiempo determinado.
5. Instalar alertas de actividades sospechosas en el sistema y revisar continuamente la página web.
4.6 Redes sociales
Asimismo, las redes sociales también pueden ser fuente de riesgos de ciberataques.
Algunos consejos para prevenirlos son:
• Correo alternativo para registrarse.
• Emplear contraseñas seguras.
• Vigilar el intercambio de información confidencial.
• No hacer clic en enlaces de mensajes de usuarios sospechosos.
• Cuidado con las aplicaciones que se descargan.
• Controlar los permisos de administración otorgados con las personas que trabajan en nuestras redes sociales.
• Cerrar siempre la sesión, cuando hayamos terminado.
4.7 Protocolos de actuación
Es importante que tengamos trazado un protocolo de actuación (contingencia) para facilitar la implementación de medidas reactivas, en caso de ataque, en la mayor brevedad posible.
De entrada, empezamos trazando un plan básico e ir completando a medida que la cantidad de datos que gestionamos o la complejidad de la empresa vaya aumentando.
Puntos básicos de actuación
• Definición de los parámetros de una crisis de seguridad
Debemos definir el riesgo, para nuestro caso y en función de lo que marca la ley, los datos y los sistemas críticos. Es decir, debemos determinar qué tipo de datos tratamos y quién tiene acceso, así como cuáles son los elementos más críticos de ser vulnerables y dónde están ubicados (copias de seguridad, acceso a las salas de servidores, la localización de las contraseñas , etc.).
• Escalado de acciones y responsabilidades
Es necesario garantizar que las personas adecuadas tengan las herramientas necesarias para actuar en caso de crisis, como los teléfonos y correos de
contacto de personas o empresas clave para la gestión de una crisis (la empresa informática que gestiona las copias de seguridad, la empresa gestora de la página web o del hosting, o el Instituto Nacional de Ciberseguridad, por ejemplo), así como acceso ágil a las
contraseñas o autenticaciones necesarias.
• Implicaciones legales en caso de crisis de seguridad
En función de los datos que manipulamos, un incidente de seguridad está sujeto a diferentes requisitos legales, en cuanto a obligaciones y plazos para su ejercicio. Debemos tener claro cuál de nuestras empresas proveedoras o personal está potencialmente implicado en una situación de crisis.
• Organigrama de acción las primeras 24-48 horas
Debemos tener claras las tareas, funciones y comunicaciones que los y las miembros del equipo deben llevar a cabo en un plazo concreto. Como, por ejemplo, revisar cuentas bancarias, redes sociales, gestores de correo electrónico, página web y comercio electrónico, cambiar contraseñas en todas partes, restablecer la información vulnerada a través de una copia de seguridad o avisar a INCIBE.
Cada empresa debe desarrollar el suyo en función de los datos que se manejan y las dimensiones.
En general el protocolo de actuación debe contemplar los siguientes seis pasos:
1.- Preparación: Capacitar al personal para gestionar posibles incidentes.
2. Identificación: Determinar si el evento es realmente un incidente de seguridad.
3. Contención: Limitar el daño del incidente y aislar a los sistemas afectados para evitar daños añadidos.
4. Erradicación: Encontrar la causa del incidente y eliminarla.
5. Recuperación: Permitir que los sistemas afectados vuelvan al entorno de producción y garantizar que no queda ninguna amenaza.
6. Documentar: hacer un informe del caso y analizar cómo ha sucedido para que el personal pueda aprender de ello y mejore los esfuerzos de respuesta futuros.
5. OTROS
5.1 Gran volumen de datos: compartir y almacenar
Las plataformas de almacenamiento (Dropbox, Google Drive o Microsoft One Drive) y transmisión de datos (WeTransfer, Hightail o Wesendit) también pueden ser fuente de problemas en la seguridad y privacidad de los datos de nuestra empresa.
Almacenamiento
Dropbox: conviene activar unas opciones, que no lo están por defecto: Verificación en 2 pasos, revisar con detalle Comprobación de seguridad y activar todas las Notificaciones. En Dropbox para negocios, de pago, tienen algunas opciones de seguridad más exigentes.
Google Drive: activar la verificación en 2 pasos.
One Drive: activar la verificación en 2 pasos y uso de Personal Vault, que protege con una clave extra las carpetas que seleccionamos dentro de nuestra cuenta.
Estas plataformas tienen un sistema de encriptación de los datos bajo, podemos utilizar programas gratuitos como Cryptomator.
Compartir
Wetransfer: Lugar señalado como bastante inseguro y que ha sufrido numerosos ataques. Se recomienda el uso de servicios alternativos como plataforma de Mozilla Firefox, Hightail o Wesendit.
5.2 Vulneraciones de seguridad y privacidad
Otras vías de ataque por las que nuestra empresa puede ser atacada pueden ser:
• Los navegadores web, ya que hay que tener cuidado con la instalación de extensiones.
• El personal, porque gran parte de las vulneraciones vienen de malas praxis en el equipo de trabajo, y es necesario fomentar la formación.
• Uso de dispositivos externos, que conviene formatearlos antes de insertarlos en nuestro ordenador.
Por otra parte, para proteger la privacidad de nuestros contactos, si debemos enviar un correo electrónico a diferentes personas destinatarias, debemos ponerlas en CCO o copia oculta o realizar los envíos a través de programas de gestión de correos electrónicos como Mailchimp , SendInBlue o MailRelay.
5.3 Denuncias
Dependiendo del tipo de ataque y de su alcance, los protocolos de actuación, en caso de vulneración de los datos de nuestra empresa o privacidad, son diversos.
Es necesario notificarlo, a las autoridades, a las personas afectadas y denunciarlo a las plataformas gestoras de las redes sociales (twitter, facebook, instagram, etc) o correo electrónico (gmail, outlook, etc).
En caso de que la vulneración ponga en riesgo los derechos y libertadesde alguna persona, deben notificar a la autoridad de control sin demora y, a más tardar, 72 horas después de que hayamos tenido constancia del ataque. Si la vulneración de la seguridad de los datos supone un alto riesgo para las personas afectadas éstas también deben ser informadas de forma inmediata.
::: Mínima introducción sobre seguridad en el mundo web (wordpress)
CONTINGUTS
2. TIPOS DE ATAQUES HABITUALES SOBRE WORDPRESS
4. MÍNIMAS PRÁCTICAS NECESARIAS
La seguridad es el tema tecnológico en estos días, porque los sitios web han sido pirateados y la tendencia es creciente. Pero hay muchas cosas que puede hacer para proteger tu sitio web.
Haremos algunos breves comentarios sobre seguridad y WordPress, tratando algunos conceptos generales para ayudarte a mantener el sitio seguro:
IDEAS PRELIMINARES
- Siempre hay un riesgo
Su sitio web nunca puede ser 100% seguro. Los piratas informáticos siempre innovan y descubren nuevas vulnerabilidades por explotar. El mundo online cambia rápidamente y lo mismo ocurre con la seguridad. Una buena seguridad consiste en minimizar el riesgo. Si alguien intenta venderle una solución 100% segura, le estafará. Nunca estarás completamente seguro, pero hay muchas cosas que puedes hacer para minimizar el riesgo. - No culpeis al WordPress
La ciberdelincuencia se activa especialmente en el entorno de mayor implantación web: WordPress.
¿Es WordPress una plataforma insegura? No, dependiendo como de cómo configures y utilices WordPress y siempre que se apliquen y actualicen los tamaños de seguridad adecuados.
Muchos problemas de seguridad poco tienen que ver con WordPress y más que ver con las vulnerabilidadesdel servidor, la contaminación cruzada y las contraseñas deficientes.
Conclusión: es necesario estar protegido y actualizado constantemente. - Seguridad y Usabilidad
Existe un buen equilibrio entre seguridad y usabilidad. A veces, bloquear el sitio lo hace seguro, pero es difícil de utilizar. En ocasiones, hacer que tu sitio web sea más fácil de utilizar hace que sea menos seguro. Es necesario encontrar el equilibrio. - Tipos de seguridad que necesita su sitio web
La seguridad tiene tres fases: protección, detección y respuesta/restauración y deben cumplirse todas:4.1 Protección
En primer lugar, es necesario bloquear el sitio y mantenerlo seguro:
· Impedir la intromisión en el ámbito que nos es propio (servidor, bases de datos, web, correo, transferencia de archivos). Concretamente en WordPress, sustituyendo las puertas de acceso habituales por otros con diferente ubicación y validación reforzada.
· Ocultar información de interés por el delincuente (servidor, bases de datos, WordPress en cualquiera de sus ámbitos).
· Protección del entorno (blindaje sobre cambios en archivos y carpetas del sistema, del servidor, configuración segura de todos los ámbitos de WordPress).4.2 Detecció
Por muy buena que sea tu protección, los delincuentes podrían encontrar una manera de doler en tu sitio. Y hay que saber cuándo se está produciendo un ataque. El ataque no siempre será un ataque frontal completo que hace que sea dolorosamente evidente que tu sitio ha sido pirateado. A veces, los robots insertan un montón de código oculto en su sitio web, sin síntomas aparentes. Nunca lo sabrás sin la detección, por lo que es necesaria una monitorización constante en la búsqueda de malware.4.3 En cas d’ataque y/o infección
· Respuesta inmediata
Cancelación de las sesiones e ips involucradas, desinfección y eliminación de puertas de entrada para evitar la reinfección.
· Recuperación, si se considera
Por último, necesitas un plan para volver a poner en marcha tu sitio después de haber estado dañado. Las mejores estrategias de protección y detección todavía se pueden frustrar y es necesario estar preparado. Una buena copia de seguridad es vital, también aparte de la seguridad.
Es necesaria una política de copias, automatizada y comprobada para estar preparados para cualquier cosa.
TIPOS DE ATAQUES HABITUALES SOBRE WORDPRESS
Actualmente, existen bastantes posibles ataques a su sitio, ya que hay muchos posibles puntos de acceso, ya sean por el propio WordPress, pero también por el servidor, los usuarios, comentarios, códigos de script (pequeños programas que ejecutan órdenes), etc.
Algunos de los más habituales pueden ser:
Authentication Bypass: Agujero de seguridad que permite saltarse el formulario de acceso y acceder al sitio.
Brute Force: Se intenta iniciar sesión adivinando el nombre de usuario y la contraseña de la cuenta de administrador (o de un usuario).
Cross-Site Request Forgery (CSRF): El código se introduce y se ejecuta desde la URL.
Cross-site Scripting (XSS): Se puede inyectar código en un sitio, normalmente a través de un campo de formulario.
Denial of Service (DoS): Un sitio cae debido a un ataque constante de tráfico que suele proceder de una red de máquinas controladas.
Path Traversal: Posibilidad de listar los directorios de un sitio y ejecutar órdenes fuera de directorio raíz de servidor.
Distributed Denial of Service (DDoS): Similar a un ataque DOS, salvo que las redesde máquinas suelen haber sido infectadas.
File Upload: Se puede subir un archivo con malware en un servidor sin restricciones.
Full Path Disclosure (FPD): Se expone la ruta de acceso a la carpeta raíz del sitio; habitualmente es debido a que están activos los mensajes de error que las muestran.
Local File Inclusion (LFI): Un atacante es capaz de controlar qué archivo se ejecuta en una hora programada que fue configurada anteriormente.
Malware: Un sitio o programa malicioso con el propósito de infectar al usuario u otra máquina.
Open Redirect: El sitio redirige a otro debido a alguna vulnerabilidad, a menudo un sitio de spam o de suplantación de identidad.
Phishing (Identity Theft): Un sitio que se asemeja a otro conocido y de confianza, pero que se utiliza para recopilar credenciales de inicio de sesión, números de tarjetas de crédito, etc, engañando al usuario.
Remote Code Execution (RCE): Capacidad de ejecutar código en un sitio desde una máquina diferente.
Remote File Inclusion (RFI): Posibilidad de ejecutar un script externo en un sitio al que se suele cargar malware, desde un sitio diferente.
Security Bypass: Similar a la Authentication Bypass, pero en este caso permite saltar algún sistema de seguridad establecido.
Server-side Request Forgery (SSRF): Toma de control de un servidor, ya sea parcial o total, para obligarle a ejecutar peticiones de forma remota.
SQL Injection (SQLI): Se produce cuando en consultas SQL se pueden introducir y ejecutar desde la URL de un sitio.
User Enumeration: Posibilidad de encontrar la lista de usuarios de un sitio desde la zona pública, para posteriormente realizar un ataque de Brute Force.
XML External Entity (XX): Un archivo XML que por la generación de errores deja expuesto algún tipo de ruta, mensaje o acceso a información confidencial.
CAPAS DE SEGURIDAD
La seguridad de los sitios web de nuestros clientes es nuestra prioridad en nuestros servicios de alojamiento web, tanto a nivel de servidor, como de alojamiento individual y a nivel de aplicación.
La seguridad no es una acción en concreto, sino múltiples en una serie de capas que añades a tu sitio web -especialmente en WordPress-.
Por ejemplo:
- La capa superior es un firewall de red.
- La siguiente capa es el firewall de tu aplicación (en WordPress, esto suele ser un complemento).
- La siguiente capa son las contraseñas seguras.
- La siguiente capa es la verificación de dos pasos para conectarse como administrador.
- La siguiente capa es mover tu directorio wp-admin a un nombre distinto.
- La siguiente capa, no utilizar el nombre «admin» para iniciar sesión.
- La siguiente capa es desactivar XML-RPC.
- Etc…
Ninguna de estas políticas aplicadas a las diferentes capas, por sí solas hará que tu sitio sea seguro. Sin embargo, todas juntas pueden hacer que tu sitio esté lo suficientemente protegido para que los delincuentes se vayan a por otra web con menos seguridad.
MÍNIMAS PRÁCTICAS NECESARIAS
- Mantener todo actualizado
Una de las mayores vulnerabilidadesde seguridad de WordPress es el software antiguo. WordPress se actualiza con bastante frecuencia y, siempre que hay un nuevo problema de seguridad, lanza una actualización de inmediato. Pero eso, de nada te sirve si no mantienes la instalación actualizada. También debes mantener los temas y los conectores (plugins) actualizados, ya que también pueden tener problemas de seguridad -un conector desactivado, también es una amenaza, es necesario suprimirlo-. - Contraseñas fuertes
Tu seguridad es tan buena como tu contraseña. Si tiene una contraseña sencilla, tiene un sitio sencillo para piratear. Es necesario utilizar contraseñas seguras. Tu contraseña debe tener números, mayúsculas, caracteres especiales (@, #, *, etc.) y ser larga y única. Su contraseña de WordPress puede incluir espacios y ser una frase.
No utilices la misma contraseña en varios sitios. Recordar contraseñas diferentes para diferentes sitios es difícil, pero un sitio pirateado es peor. - Gestiona a los usuarios
Tu propia contraseña segura no sirve de nada si otro administrador tiene una débil. Es necesario gestionar tus usuarios. No todo el mundo necesita acceso de administrador. Cuantas más personas tengan acceso de administrador, más posibilidadesde piratear su sitio. Asegurado que sólo das acceso de administrador a las personas que realmente lo necesitan. Y aseguró que estos pocos administradores siguen buenas prácticas de seguridad. - Realiza copias de seguridad
Si algo falla con tu sitio, es necesario recuperarlo rápidamente. Necesitas un plan de copia de seguridad. Para que la copia de seguridad funcione, debe ser completa y automática. No es suficiente realizar una copia de seguridad de su base de datos. De esta forma se guardará el contenido, pero deberá reconstruir todo el sitio, incluidos los ajustes del tema y la configuración de los conectores. Y si la copia de seguridad no es automática, se olvidará.
En general, als ÁMBITOS DE ACTUACIÓN són:
- Entorno servidor
Hay que procurar una base lo más segura posible vía:
· Certificado de encriptación (SSL/TLS).
· Copias de seguridad distribuidas (datacenters geográficamente diferentes) y redundantes de archivos, bases de datos y emails (30 días).
· Supervisión y administración server 24h.
· Parches de seguridad actualizados constantemente (inteligencia artificial contra bots maliciosos, software base y php, escaneo y personalización).
· Reglas añadidas al firewall web (WAF).
· Reforzamiento de las políticas de seguridad, vía cabeceras de seguridad, fundamentalmente para la desactivación de puertas susceptibles de ataques. - Entorno WordPress
Algunas acciones recomendables serían:
· Asegurar la página de acceso y sesiones (url de acceso personalizada, inicio de sesión por ip, identificación de 2 factores -2FA-, limitar intentos acceso) y registro de actividadesde los visitantes (registrados, desconocidos, bloqueados y hora, ip, página, respuesta).
. Ocultar versión wp.
· Desactivar editor temas y plugins.
· Desactivar XML-RPC: desactivación del protocolo, puerta de relación con el exterior.
· Forzar http con seguridad de transporte estricta (HSTS), vía cabecera.
· Desactivar feeds RSS y ATOM: desactivación del protocolo, puerta de relación con el exterior -excepto por los blogs-.
· Protección XSS avanzada: vía cabeceras en .htaccess para evitar inyecciones de código.
· Desactivar usuarios comunes.
· Todo el software actualizado: plataforma, tema, plugins. - Común en los 2 entornos anteriores. Infecciones
· Desconexión de todos los usuarios.
· Forzar restablecimiento de contraseñas.
· Monitorización, detección y limpieza de malware.
· Protección post-infección:
·· Reinstalación de WordPress, en su caso.
·· Reinstalación del repositorio de conectores gratuitos y temas.
·· Repaso de cierre de vulnerabilidades.
· Volver a monitorizar, buscando sospechas de re-infección.
::: ¿Cómo sabe si tiene su web pirateada o infectada?
Síntomas directos
Comportamientos obvios entre otros, en la operatoria del entorno productivo:
- Generación de ventanas y anuncios emergentes no solicitados.
- Cambio de contenidos en la propia web -normalmente cambios en páginas estáticas y enlaces nuevos o modificados-.
- Imposibilidad de acceso a entornos de gestión, por ejemplo el panel de WordPress -normalmente el hacker cambia la contraseña o elimina la cuenta de usuario-
- Redirecciones a páginas no solicitadas y/o engañosas.
- Aumento de las tareas no programadas -normalmente ejecuciones malintencionadas-.
Una web lenta o que no responde -normalmente errores de conexión o lentitud extrema y repentina-. - Desactivación de la web por parte de la empresa de hosting.
- Recibe notificaciones del plugin de seguridad.
- Imposibilidad de enviar o recibir correos electrónicos con wordpress.
- Cuentas de usuario sospechosas -normalmente con perfil de administrador-.
- Caída repentina del tráfico -normalmente por secuestro del tráfico de su sitio wordpress y lo redirecciona-.
- Advertencia de google sobre la posibilidad de que su web esté hacheada.
- Aparición de software instalado sin tu conocimiento y aprobación -normalmente scripts desconocidos-.
- Encriptación del entorno local, con mensajes intimidatorios y/o solicitud de pagos para recuperar información.
- Conexiones de red entrantes y salientes por puertos y protocolos comúnmente no utilizados.
No se muestran síntomas directos…
Éste es un contexto especialmente conflictivo porque permite al delincuente piratear a más largo plazo, habitualmente por:
- Robar información (contactos, contenido de correspondencia, datos económicos o privados, etc). Por lo general, aparte de la táctica de explotar de la manera más rápida el delito, también debemos tener en cuenta que se puede tratar de permitir un delito más elaborado y peligroso, por ejemplo: nos interceptan un email donde se hace referencia a un pedido y donde los delincuentes, vía email y/o teléfono, se ponen en contacto con la empresa y exponen un caso de urgente resolución, que argumentado por los detalles del pedido, da credibilidad a la trampa, como podría ser , el cambio del número de cuenta a la hora de realizar la transferencia de pago o cualquier otra acción -habitualmente son de acción rápida, pero se puede dar el caso en el que se vaya iniciando una trama bastante bien construida ya un plazo mayor -.
- Hacer uso de la máquina infectada para llevar a cabo delitos cuando lo estimen: spam, incorporación a un ejercito “zombie”, habitualmente para la ejecución de ataques masivos.
- Convertirnos en distribuidor de malware vía correo o archivos (páginas, documentos, todo tipo de material).
- Comunicar colaborativamente entre ciberdelincuentes, habitualmente son robots, tanto para informar de las puertas de acceso al entorno, como para propiciar mayor vulnerabilidad con la ejecución de código externo, de modo que diferentes códigos maliciosos de diferentes delincuentes, actúan para abrir/aumentar vulnerabilidades y ejecutar ataques más importantes y cuantiosos.
Conclusión
Hay que prevenir: siempre es necesario hacer uso de acciones de seguridad constantes y actualizadas, en forma de monitorización a diferentes niveles -en caso contrario, podemos estar infectados y no saberlo- y al mismo tiempo, llevando a cabo respuestas inmediatas delante una sospecha o crisis manifiesta.
::: Tengo la web pirateada o infectada: ¿Qué hago?
Si no tiene capacidad/familiaridad de administración sobre los servicios de internet:
- Pase un antivirus / anti-malware sobre su parque informátiaco y paralelamente, contáctenos.
Si tiene capacidad/familiaridad de administración sobre los servicios de internet:
- Proteja a los visitantes redirigiéndolos a una página de mantenimiento vía un archivo .htaccess -existe abundante documentación en internet al respecto de redirecciones vía .htaccess-. Si este .htaccess estuviera manipulado, cámbiale el nombre y crea uno nuevo-. Así también evitarás que tu sitio no aparezca en la lista negra de motores de búsqueda como Google. O también, simplemente creando un archivo index.html, con el texto informativo correspondiente.
- No modifique ni suprima ningún archivo (archivo infectado, puertas traseras de escucha, etc). Haga una copia de seguridad de la web infectada, tanto para llevar a cabo una revisión profunda, intentando detectar la causa de la vulnerabilidad, como la posibilidad de recuperar archivos no infectados y en el caso de las entradas, páginas, productos, hacer una exportación desde Herramientas > Exportar, para disponer de ellas.
- Analice su ordenador y la web: Conéctense por FTP y descargue todo tu sitio web. Según se vaya descargando el sitio se irá pasando el antivirus de modo que si hay algún virus o malware conocido el sistema lo detectará y podrá eliminarlo y subir los archivos vía FTP al servidor -los virus que se ejecutan en los sitios web, por lo general, no son virus que afecten a su ordenador, por lo que si tenga cuidado no debería pasar nada indeseado-.
- Si tiene una copia de seguridad limpia (web y bases de datos), borre toda la instalación y restaurela.
- Si no tiene una copia de seguridad limpia, es necesaria una limpieza y desinfección (web y bases de datos) -> contáctenos o bien, instale todo desde cero, con las últimas versiones y haga una copia de seguridad.
- Pase un antivirus / anti-malware, actualizados a su última versión, sobre todo su parque informático y paralelamente, contáctenos.
- Cambie todas las contraseñas (FTP, cPanel / Plesk, SSH, etc.). Asegúrese de hacerlo desde un ordenador seguro, no está infectado por ningún virus o keylogger.
- No detenga o reinicie ningún servicio (servidor HTTP, etc.) ni tampoco y especialmente, el servidor, porque eliminaría detalles importantes para nuestro trabajo.
- Regenere los permisos sobre carpetas y archivos.
- Repase WordPress en busca de configuraciones o cosas raras que no tengan que estar allí.:
· Valide las entradas y categorías para revisar que no encuentra ningún artículo que no tenga que estar; lo mismo que con las páginas.
· En los medios, revise la galería, verificando que no haya imágenes, archivos ZIP o similares desconocidos.
· En las plantillas y plugins, elimine aquellos que no hagan uso y los que utilice, deben estar actualizados.
· Revise todos los usuarios del sitio. En caso de tener dudas, obligue a los usuarios, a un acceso con un sistema de doble verificación.
· Fuerce un cambio de contraseña y cambie los Security Keys al wp-config y revisando en el archivo wp-config que no haya ningún elemento extraño.
· Confirme que los textos y configuraciones generales son las correctas.
· Regenere los enlaces permanentes.
· Asegúrese de que en las carpetas en las que se suben archivos (por ejemplo, en la galería o alguna carpeta requerida a través de algún plugin) no se pueda ejecutar cualquier tipo de código, ni que exista ningún archivo ejecutable.
· En ocasiones, el servidor web envía correos debido a algún servicio web específico. Si es el caso, plantéese externalizar este servicio de envío y cerrará una puerta de entrada a los intrusos.
::: Post-Hackeo: ¿Qué es necesario hacer?
Para procurar que no vuelva a ocurrir, estas recomendaciones:
- Hacer uso y forzando, la conexión segura https.
- Al menos, activar las cabeceras de seguridad HSTS y CSP.
- Hacer uso de una buena estrategia de copias de seguridad.
- Instalar un buen plugin de seguridad.
- Realizar o contratar un buen mantenimiento de WordPress, manteniéndolo siempre actualizado.
- Imponer el cambio periódico de contraseñas y que éstas sean fuertes.
- Instalar un conector de registro de actividad -quizás el plugin de seguridad, ya lo incorpora-, para controlar y analizar el tráfico y uso de la web.
- Proteger contra escritura los archivos de configuración.
- Analizar si su empresa de alojamiento hace lo suficiente para proteger su alojamiento.
- Analizar con frecuencia toda la instalación para encontrar posibles vulnerabilidades.
::: ¿Qué acceso necesitaremos para acceder a su sitio web y/o al servidor?
Necesitaremos sus credenciales para acceder directamente -no por aplicaciones de conexión remota (anydesk, teamviewer, etc)- vía FTP/SFTP o SSH, así como un acceso al panel de administración de WordPress. También si hay un panel de administración de servidores (cPanel/WHM, Plesk, Webmin, etc.), poder acceder a ellos para investigar.
::: No tengo mi web alojada con vosotros: ¿En qué consiste la supervisión post-limpieza?
Para los clientes externos, que no tienen alojado su web en nuestra infraestructura, después de limpiar su web -WordPress o no-, le supervisaremos 24/7 durante 30 días para asegurarnos de que se han solucionado todos los problemas y que no se ha producido ninguna reinfección durante este período.
Nuestras propuestas de PLANES DE SEGURIDAD
- · BÁSICO ·
- Encriptación. Seguridad WordPress. 30 copies
- 0 € anuals
- · PROFESIONAL ·
- + Alta Seguridad WordPress
+ Escaneo - 400 € anuals
- · CORPORATIVO ·
- + Alta Personalización en Alojamiento
+ Rápida Respuesta en caso de Infección - 800 € anuals
Aplicamos una robusta política de seguridad a diferentes niveles: encriptación del tráfico web, forzar https, copias de seguridad (30 días), firewall, inteligencia artificial, actualizaciones y parches proactivos de seguridad:
- Implementación de certificado de encriptación SSL
SSL gratuito: sistema de encriptación de datos transferidos entre el navegador y el servidor, que añade una capa de seguridad para evitar intrusiones y robo de datos.
Forzar el uso de https (encriptación). - Vigilancia y prevención proactiva constante:
· WordPress: tamaños especiales anti-hackers.
· Servicio de seguimiento de vulnerabilidades wordpress.
· Actualización constante de parches de seguridad y de reglas añadidas al firewall. WAF, customización contra exploits
· IA (inteligencia artificail) contra botes maliciosos.
· SSL gratuito: sistema de encriptación de datos transferidos entre el navegador y el servidor.
· Copias diarias (30 días) - Copias diarias
Tanto las copias de seguridad manuales como las automatizadas se conservan durante 30 días después de la creación y 7 días para la nube.
Posibilidadesde recuperación:
· Todos los archivos y bases de datos
· Los archivos
· Las bases de dade
· El correo
Plan Profesional
Suscripción Anual: 400 € (incluye las prestaciones del plan básico)
Mayor personalización de la plataforma WordPress.
Existen determinados ajustes de parámetros de la instalación y acciones a llevar a cabo, de carácter general y aplicables en:
Ámbitos de actuación WP:
- Protección de archivos y bases de datos:
- Asegurando la última versión estable de wp.
- Cambiar el prefijo de las bases de datos.
- Eliminar al usuario instalador y crear un nuevo administrador.
- Deshabilitar las notificaciones de pingbacks y trackbacks por entrada para posibles ataques masivos de denegación de servicio (DDoS).
- No listar directorios, bloquear archivos sensibles, bloquear archivos de instalación.
- Repasar el archivo robots.txt, para que no aparezca información relacionada con la instalación.
- Verificar / arreglar permisos de archivos y carpetas.
- Bloquear PHP en determinadas carpetas.
- Deshabilitar la edición de archivos en WordPress.
- Sitio Web > protección contra malware, exploits y acciones malintencionadas
- Bloquear y proteger las carpetas del sistema
- Ocultar la versión de WordPress
- Desactivar el editor de temas y conectores
- Desactivar XML-RPC
- Desactivar el HTTP TRACE / TRACK > para evitar algunos posibles ataques de Cross Site Tracing (XST) y Cross site Scripting (XSS) que podrían robar los datos de las cookies y alguna otra información de servidor web.
- Desactivar los canales RSS y ATOM -excepto si hay lectores RSS del propio sitio-
- Protección XSS: para evitar ejecuciones de scripts y evitar inyecciones en mensajes de formularios de contacto, comentarios, etc
- Eliminar el documento Readme.html por defecto
- Añadir cabeceras de seguridad HSTS, XSS y X-Content-Type
- Acciones de recuperación post-hackeo
- Asegurar la página de acceso y sesiones > Dificultamos la entrada al hacker y accesos no deseados:
- Acceso de inicio de sesión IP (específica o rango) > sólo pueden acceder las IPs que designamos, para evitar ataques de fuerza bruta.
- Autenticación de dos factores para usuarios de administradores y editores.
- Forzar HTTPS.
- Desactivar sugerencias de sesión para dar la menor información posible al atacante.
- Mover el acceso de la página de administración a url personalizada.
- Limitar los intentos fallidos de acceso.
- Registro de actividades > para conocer la actividad de los visitantes (registrados, desconocidos y bloqueados):
- Qué: Hora, tipos, IP, página, respuesta.
- Quién: Desconocidos, usuarios, bloqueos.
- Filtros varios, incluidos por IP.
- Mantener la instalación de WordPress segura:
- Plugins y temas sólo de sitios reconocidos. Actualizaciones.
- Elimina información de versión de WordPress.
- Desactivar el reporte de errores por pantalla.
- Esconde la información de servidor web apache y de PHP.
Ámbitos de actuación generales:
- Sistema de escaneo.
Un sistema que detecta y advierte de la presencia de malware. El sistema te permite realizar escaneos de tu sitio web a demanda y realizar escaneos completos para detectar listas negras de dominios y malware.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas. Rastrea y analiza constantemente tus archivos, páginas y dominio.
Una vez identificada la amenaza, te lo notifica de inmediato para tomar medidas y limpiar tu sitio web. - Escaneos diarios
Escanea tus archivos, URL y nombres de dominio a diario y detecta el malware más reciente y las amenazas potenciales. - Informes programados
Puedes recibir informes semanales y estar informado sobre el estado de tu página web vía email. - Alertas inmediatas
Si se encuentra una amenaza, recibirás una notificación inmediata por e-mail para tomar medidas y evitar el tiempo de inactividad, la violación de datos u otros problemas.
Plan Corporativo
Suscripción Anual: 800 € (incluye las prestaciones del plan profesional)
Impide ataques via:
- Plugin de tipo Firewall
- Cabeceras de seguridad:
- Prevenir que una de nuestras páginas pueda ser abierta en un frame o iframe externo, ayudándonos a prevenir ataques tipo clickjacking
- Ataques XSS (cross-site scripting) en navegadores antiguos
- Especificar qué contenidos están permitidos cargar dinámicamente de nuestro sitio o de terceros.
- Protegernos de cargas no deseadas en estilos y scripts
- Impedir ataques XML-RPC · Desactivar algunas aplicaciones y programas puedan comunicarse con WordPress o es de alta su uso sólo para la IP desde donde queremos.
- Cerrar la puerta a posibles ataques en nuestro sitio, sobre todo para ataques tipo DDoS.
- Prevenir que una de nuestras páginas pueda ser abierta en un frame o iframe externo, ayudándonos a prevenir ataques tipo clickjacking
Potente motor de desinfección rápida y escaneo:
Apliquem accions de desinfecció y defensa preventiva per rebutjar atacs, a través de la implementació y depuració de programari y polítiques de seguridad en:
:: MONITORIZACIÓN Y DETECCIÓN
Incorporamos un nuevo sistema de escaneo que detecta y advierte de la presencia de malware. Este sistema permite realizar escaneos del alojamiento web a demanda y realizar escaneos completos para detectar malware y etiquetado en listas negras de dominios.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas.
Rasgos
- Protección de su sitio web
Ayuda a proteger su sitio web rastreando y analizando constantemente sus archivos, páginas y dominio. Puede identificar incluso las últimas amenazas de malware y, cuando lo hace, le notifica inmediatamente para que tomamos medidas y limpiar su alojamiento.
La detección y explotación de vulnerabilidades se realiza vía OWASP TopTen (https://owasp.org/www-project-top-ten/). - Escaneos cada 12h
Escanea sus archivos, URL y nombres de dominio y detecta el malware más reciente y las amenazas potenciales. Alertas opcionales sobre cambios de contenido e integridad de archivos principales, cada 12h. - Informes programados
Puedes recibir informes diarios o de otra periodicidad o sólo cuando se disparen alarmas, vía email. - Alertas inmediatas
Si se encuentra una amenaza, recibirá una notificación inmediata por e-mail para estar informado y tomar medidas y evitar el tiempo de inactividad, la violación de datos u otros problemas. - Monitorización y envío de notificaciones, en su caso, en cambios en los registros DNS, cada 24h.
- Monitorización y envío de notificaciones, en su caso, en cambios en el certificado SSL, cada 24h.
:: PROTECCIÓN (infraestructura y software especializado)
- Web Application Firewall (WAF basado en la nube que filtra y bloquea activamente el acceso no autorizado y/o el tráfico malicioso).
- Ataques DDoS: protección y mitigación: Nuestra red distribuida a nivel mundial de Anycast y la entrega de contenido seguro mantienen su sitio online durante grandes subidas de tráfico y ataques masivos de DDoS.
- Ataques de Fuerza Bruta: nuestro cortafuegos de aplicaciones web (WAF) y el sistema de prevención de intrusos (IPS) proporcionan la protección necesaria contra las amenazas en el sitio web.
- Zero-day Exploits: detiene los intentos de explotación de vulnerabilidadesdesconocidos.
- Correlación Heurística: máquina que aprende a detectar comportamientos maliciosos en toda nuestra red.
:: RESPUESTAS EN CASO DE INFECCIÓN
- Desinfección rápida de malware, antes de que perjudique su reputación.
- En caso de necesidad pedimos en su nombre, la eliminación de su sitio web de las listas negras, argumentando las acciones llevadas a cabo para demostrar la desinfección y la corrección de vulnerabilidades.
- Eliminamos las puertas traseras (backdoors), encontrando y corrigiendo la vulnerabilidad para evitar la reinfección.
- Si el alojamiento no está con nosotros, hacemos un seguimiento post-limpieza durante 30 días.
- Realizamos una copia de seguridad de todos los archivos manipulados durante el proceso de eliminación de software malicioso.
Realizamos un informe que identifica los cambios y pasos realizados en caso de infección.