Plan Básico
Incluido gratuitamente en todos los alojamientos
En un primer blog, le presentamos un apartado de Preguntas Frecuentes, introductorias y generalistas sobre la seguridad en internet, en el sitio web, en WordPress y qué hacer en caso de ataque o infección.
En un segundo bloque, nuestras propuestas de Planes de Seguridad (básico, profesional, corporativo), tanto aplicables a nuestros alojamientos, como externos y en los que cada plan de seguridad, incluye las propias prestaciones, añadidas a las del plan anterior.
Si tiene cualquier duda, conceptual o técnica, gustosamente le atenderemos.
::: Introducción generalista sobre seguridad a internet
CONTINGUTS
1. LA SEGURIDAD EN EL MUNDO DIGITAL
·······1.1 ¿Cuáles son los riesgos?
·······1.2 Protección empresarial y de la clientela
·······1.3 Normas básicas y buenas prácticas
·······1.4 Política de protección de datos (externa y interna)
·······1.5 Ciber Seguridad: ¿Inversión o gasto?
2. PROTEJA SU INFORMACIÓN (PERSONAL E IDENTITAT)
·······2.1 Copies de seguridad
·······2.2 Encriptación. Cómo hacerla
·······2.3 Suplantación de identidad (phishing)
·······2.4 Contraseñas
3. PROTEJA LAS HERRAMIENTAS DE SU TRABAJO
·······3.1 Análisis de equipos y plan de seguridad
·······3.2 Antivirus y antisoftware malicioso
·······3.3 Operaciones bancarias
·······3.4 Seguridad para los smartphones
4. PROTÉJASE DENTRO DE INTERNET
·······4.1 Wi-Fi
·······4.2 Red privada (VPN)
·······4.3 Router
·······4.4 Gestor de continenidos (CMS)
·······4.5 Datos de comercio electrónico
·······4.6 Redes sociales
·······4.7 Protocolos de actuación
·······5.1 Gran volumen de datos: compartir y almacenar
·······5.2 Vulneraciones de seguridad y privacidad
·······5.3 Denuncias
Actualmente los riesgos más frecuentes expuestos en nuestro negocio/actividad son:
• Malware
Software malicioso que invade, daña o desactiva equipos, puede robar, cifrar, borrar datos y alterar/secuestrar funciones básicas del dispositivo, así como espiarnos.
Es un término amplio que incluye:
·· Virus, un segmento de línea de código que altera el funcionamiento normal del ordenador, sin el permiso o el conocimiento de la persona usuaria.
·· Troyanos, que simulan ser un software legítimo inocuo que se introduce en un programa ya existente en el sistema, para engañar a la persona usuaria y abrir la puerta a otros tipos de malware que infecten el ordenador.
·· Spyware, que tiene como objetivo espiar a las personas usuarias y guardar sus contraseñas, datos de tarjetas de crédito, datos personales y patrones de comportamiento online (ejemplo: registra las pulsaciones del teclado del ordenador), para enviar esta información al delincuente.
·· Gusanos, que atacan redes enteras de dispositivos saltando de un ordenador a otro con el objetivo de propagar y afectar al mayor número de dispositivos posible. Crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de distintos medios, como el correo electrónico, mensajería instantánea o contenidos con temas que llaman la atención como sexo, personajes famosos, temas de actualidad o software pirata.
·· Ransomware, que secuestra archivos, les cifra y exige dinero a la víctima a cambio de una clave de descifrado, que a menudo no funciona.
·· Adware, que inunda las pantallas de las víctimas de anuncios no deseados y crea vulnerabilidadesde seguridad para que se pueda introducir otra clase de malware sin darnos cuenta.
• Phishing
Técnica muy extendida basada en la suplantación de identidad de una marca o entidad con reputación, como puede ser algún organismo oficial o empresa conocida o banco, para adquirir información comprometida.
Habitualmente, se presenta bajo la forma de correo electrónico pero también a través de mensajería (SMS, Whatsapp) y llamadas de voz. En todos los casos, se pide que la persona usuaria confirme o dé datos generalmente relacionados con cuentas bancarias, tarjetas de crédito o números de seguro y, a menudo, bajo la amenaza de cancelar los servicios en un tiempo determinado, si no se hace.
Por lo general, las amenazas digitales son más frecuentes y exitosas contra los más vulnerables, pequeños negocios, más fáciles de infiltrar, rastrear y amenazar, que las grandes corporaciones.
Si sufrimos algún ciberataque en nuestra empresa, podemos perder gran cantidad de información y documentos si no tenemos al día nuestras copias de seguridad y aparte, dejamos totalmente expuestos tanto nuestros datos como los de nuestra clientela. Tenemos una responsabilidad tan ética como legal de custodiar correctamente estos datos.
Las siguientes propuestas, especialmente dirigidas a personas autónomas, pequeñas y medianas empresas, así como su plantilla, son aplicables en cualquiera de los medios o dispositivos digitales que involucran a nuestra empresa, como:
• El BYOD (Bring Your Own Device), todos los dispositivos a través de los cuales nosotros o nuestro personal accede a información de la empresa: ordenadores, tabletas o teléfonos móviles, tanto particulares como corporativos.
• Cloud computing y big data, almacenamiento y gestión de datos, tanto en la nube como en local.
• Internet de las cosas, como los relojes inteligentes, la billetera electrónica…
• Aplicaciones móviles.
• Las múltiples identidades digitales en redes sociales.
Normas básicas
• Instalar un software de seguridad.
• Realizar copias de seguridad diarias de todos los documentos.
• Mantener el correo electrónico limpio y utilizar filtros de spam.
• Utilizar contraseñas complejas y cambiarlas regularmente.
• Mantener al día los sistemas operativos de los dispositivos relacionados con la empresa con las últimas actualizaciones, así como la página web.
• Entender y tener presente cómo actúan nuestras empresas interlocutoras que tratan con datos vulnerables. Es más fácil detectar una comunicación potencialmente peligrosa si sabemos cómo se comportan determinadas interlocutoras, por ejemplo: correos, bancos, empresas de mensajería, etc. Por ejemplo, sabemos que el banco nunca nos pedirá el código PIN en un correo electrónico, si detectamos faltas de ortografía o logos antiguos o pixelados, es altamente posible que esa comunicación se trate de un fraude. En caso de duda, no abra las comunicaciones.
• Verificar el origen de las comunicaciones que recibimos. • No acceder a sitios web o aplicaciones con información delicada, como bancos, a través de una red Wi-Fi pública.
• Vulnerabilidades off-line: no escribir los códigos PIN, es necesario firmar las tarjetas de crédito y débito, revisar las cuentas bancarias periódicamente, triturar los documentos confidenciales no necesarios.
• Crear una cultura de seguridad con las personas trabajadoras. Proporcionar criterios claros y normas para la seguridad preventiva y protección de datos en todos los procesos de la empresa, impulsando formaciones sobre el tema.
A partir del 25 de mayo de 2018 se instauró en Europa una normativa de protección de datos que afecta a todas las empresas. Esta ley exige documentar cómo actúa nuestra empresa internamente a la hora de recoger, procesar y almacenar datos, así como qué medidas de seguridad tomamos para prevenir quiebras de seguridad. Esta ley parte de la premisa de que los datos personales que recopilamos de nuestra clientela representan a personas reales y, si se hace un uso indebido de los datos, puede tener un impacto negativo en sus vidas. Por tanto hace responsable a las empresas de su seguridad en el tratamiento y custodia. En caso de incumplimiento, las sanciones pueden ser cuantiosas.
Con la normativa europea de protección de datos (GDPR), a partir del 25 de mayo de 2018, establece que todos los datos que recogemos deben ser con consentimiento, informando de por qué los utilizaremos y usándolos exclusivamente para lo que hemos comunicado que las utilizaremos. Además de todo esto, debemos almacenar los datos por un tiempo limitado y, a la hora de tratarlos, debemos garantizar la seguridad en el proceso.
La lei GDPR implica:
• Documentar cómo se cumple la RGPD
La Autoridad Catalana de Protección de Datos ha desarrollado una aplicación para crear, mantener y gestionar el registro de las actividadesde tratamiento: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el- registro-de-las-actividades-de-tratamiento/
• Análisis de riesgos
Es necesario analizar qué tipo de datos tenemos, de donde los hemos obtenido, el número de personas usuarias que involucran y la cantidad y variedad de datos que nuestra empresa está tratando. Después, es necesario clasificar estos datos en función del impacto que tendría para las personas usuarias, si hubiera una brecha de seguridad y estos datos se vieran expuestos. La Autoridad Catalana de Protección de Datos nos ofrece: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Medidas de seguridad a adoptar en función del riesgo.
• Quiebras de seguridad
En caso de que todas las medidas de seguridad hayan fallado, debemos notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo siempre inferior a 72 horas, que nos ofrece, la Guía para la gestión y notificación de brechas de seguridad
Por lo general en el ámbito de la ciber seguridad, cuesta entender, si no se ha sufrido un ataque, el tener que pagar por algo que no ha sucedido -no ocurre en otros ámbitos como en el seguro del coche, del hogar , de vida, etc-.
¿Compensa la inversión?
• El coste de los ciberataques siempre superan a los de la inversión. El coste medio de las grandes empresas es de 500.000€, mientras que las PYMES a pesar del coste es inferior, suelen desaparece alrededor de 6 meses después del ataque. Hasta ahora, 100.000€ es el coste medio que puede producirse para una PYME, en caso de ransomware.
• Proporcionalmente al número de ataques, la principal motivación es económica y el 48% de agujeros de seguridad involucran a PYMES.
• Para conseguir una política completa y adecuada en ciber seguridad, es necesario recurrir a una empresa especializada y de reconocido prestigio. Las soluciones que podemos aportar en nuestro caso, van dirigidas a a PYMES y especialmente a las que hacen uso de una web bajo WordPress.
Un backup o copia de seguridad se refiere al proceso de copia y almacenamiento de datos de cualquier dispositivo digital, ya sea un ordenador, tableta o móvil. Son vitales para la recuperación de un desastre (ciberataque, errores de hardware, colapso de disco, etc).
¿Cómo hacer la copia?
· Almacenar las copias de seguridad en lugares diferentes
Es recomendable disponer de copias de seguridad tanto en el ámbito local, como en servidores en otros sitios o en la nube. Todas las opciones se pueden realizar de forma manual, a través de USB o en memorias externas y softwares específicos. Nosotros uno ofrecemos copias del entorno web (sitio web y correo) diarias hasta 30 días.
En caso de optar por contratar los servicios de una empresa proveedora, con el fin de ampliar la copia a la propia instalación local (servidor y clientes de la organización), le recomiendan nuestro partner experto en copias en remoto de ámbito de ámbito local (empresarial ya particulares), https://agoobackup.es, tanto en cloud de google como de microsoft. Ofrecen auto-gestión remota de los servicios en el área de cliente.
· Seleccionar qué información es relevante o no
Es probable que no sea necesario realizar una copia de todos y cada uno de los archivos. En nuestro caso, hacemos copias totales de todo lo que hay en su alojamiento (web, ficheros del sitio y correo).
· Automatizar las copias
Lo mejor es confiar en alguno de los software para establecer la periodicidad o automatizar las copias de seguridad. Le ofrecemos copias automatizadas diarias (30 días).
· Calendario
La periodicidad mínima general recomendada para realizar copias de seguridad sería una vez a la semana. En nuestro caso llevamos a cabo copias diarias automatizadas durante 30 días.
· Encriptar los datos que consideramos más relevantes
Es necesaria una encriptación de los datos, especialmente aquellos archivos con información sensible, punto clave para cumplir con la GDPR.
· Comprobar las copias de seguridad
Es vital comprobar de vez en cuando que las copias de seguridad que vayamos haciendo son correctas.
· Hacer copias de todos los dispositivos
Recordar realizar backups no sólo del ordenador, sino también de los móviles y tabletas, para no perder contactos, agenda, listas de tareas, etc.
La encriptación de datos es un procedimiento mediante el cual los archivos, o cualquier tipo de documento, se vuelven completamente ilegibles gracias a un algoritmo que desordena sus componentes. Así, cualquier persona que no disponga de las claves correctas no podrá acceder a la información que contiene.
Gran parte de la información que enviamos por internet ya está encriptada, gracias a los protocolos HTTPS, pero ¿qué ocurre con la información que tenemos almacenada en nuestros dispositivos? ¿Es segura?
Por lo que respecta a los ordenadores, uno de los datos más sensibles que podemos tener en nuestra empresa son los nombres de usuarios y contraseñas (credenciales). Es nuestra responsabilidad proceder a encriptar esta información y demás datos que puedan ser comprometidos en el caso de robo o pérdida. Algunos softwares pueden ser: BitLocker para entornos de Windows y FileVault para entornos de Mac.
Cabe apuntar que en el caso de los móviles, las empresas proveedoras de sistemas operativos móviles han desarrollado distintas funciones de cifrado disponibles para todas las personas usuarias. La información importante se guarda en formato cifrado y se descifra cada vez que la persona usuaria introduce el PIN de desbloqueo. Así que, en cuanto a los datos que almacenamos en los
nuestros dispositivos móviles en principio, lo tenemos bastante cubierto.
¿Cómo podemos encriptar nuestros datos?
La mayoría de softwares para realizar copias de seguridad incluyen la opción de encriptación de los datos. Si hemos decidido realizar las copias de seguridad de forma manual, podemos utilizar algunos softwares para encriptar los datos. En los sistemas operativos relativamente actuales, incluyen software de encriptación (Windows: BitLocker y Mac: FileVault); si no disponemos, podemos recurrir a otros softwares como: AESCrypt, AxCrypt o 7-Zip.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguridad inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguridad de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker y Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
El phishing es un fraude de suplantación de identidad que se realiza por correo electrónico, mensajería instantánea, SMS o incluso llamada telefónica, donde se piden a los usuarios datos como tarjetas de crédito, claves bancarias u otro tipo de información altamente comprometida.
Para justificar la necesidad de estas solicitudesde datos, recurren a todo tipo de argumentos:
· Problemas de carácter técnico
· Detecciones recientes de fraudes
· Nuevas recomendaciones de seguridad
· Cambios en la política de seguridad de la entidad, etc
Tipos
· Por email: para capturar información relevante y/o descargar mailware, normalmente vía enlace.
· SMSishing: similar al de email. Pide hacer clic en un enlace o llamada telefónica.
· De lanza: Utiliza los mismos métodos que las estafas anteriores, pero se dirige a una persona o entidad específica.
· Whaling: Similar al phishing de lanza, la cacería de ballenas también se dirige a una persona u organización, con mucho que perder, como por ejemplo con un cargo en la directiva, celebridades, personajes públicos o personas vinculadas a la política.
¿Cómo prevenir un ataque de phishing?
• Comprobar desde qué correo electrónico se envía en realidad: datos del emisor (email descriptivo es diferente al email que hace realmente el envío).
• Asegurándonos bien de qué empresa proveedora hay detrás, para vislumbrar si se trata de una imitación.
• Comprobar que la URL no redirija a otro sitio.
• Las entidades bancarias siempre dicen que no pedirán nunca el PIN de una tarjeta a una persona usuaria.
• Revisa la ortografía y la gramática, a menudo los correos electrónicos o mensajes tienen incorrecciones.
• Analizar el mensaje, para ver si utiliza tácticas del miedo o es demasiado bueno para ser de verdad.
• Evitar clicar en enlaces de los que no tengamos la seguridad de que son auténticos.
¿Qué debemos hacer si nuestra empresa es víctima de un ataque de phishing?
1. Cambiar las claves de acceso de la información más sensible o vulnerable lo antes posible.
2. Revisar el correo electrónico y asegurarnos de que no tenemos correos de inicios de sesión en otros dispositivos o elementos nuevos en la papelera.
3. En los gestores de correo como Outlook o Gmail, existe una opción disponible a habilitar que se llama “Denunciar suplantación de la identidad”.
4. Bloquear nuestra tarjeta bancaria y comprobar con la entidad financiera que no se haya realizado ningún cargo fraudulento en nuestra cuenta.
5. Denunciar el caso a las autoridades competentes. En el caso del Estado español, en el Instituto Nacional de Ciberseguridad (INCIBE).
La correcta gestión de contraseñas en la política de seguridad es vital.
Propuestas para hacerlas lo más invulnerables posible y utilizar un gestor de contraseñas para recordarlas:
• No utilizar la misma contraseña en todos los servicios o herramientas.
• Que sea de una extensión mínima de 8 caracteres, pero lo recomendable sería de 12 caracteres.
• Que combine letras y números, mayúsculas y minúsculas, con algún símbolo.
• Evitar escribirla o guardarla en la cartera.
• Procurar realizar contraseñas basadas en palabras sin conexión.
• Cambiar cada seis meses.
Es necesario que tengamos un control de todos (tabletas, móviles, portátiles o USB) los elementos tecnológicos que acceden a nuestros datos digitales y que tomemos medidas para protegerlos.
¿Cómo proteger los dispositivos tecnológicos?
1. Hacer una lista de todos los aparatos empleados por todas las personas trabajadoras.
2. Anotar su número de identificación IMEI, para que la operadora y los cuerpos de seguridad puedan localizarlos y bloquearlos en caso de robo o pérdidas.
3. Definir unas políticas de uso y llevar a cabo acciones formativas.
4. Emplear una contraseña fuerte de más de cuatro dígitos.
5. Instalar barreras antimalware, la mayoría de antivirus para ordenadores tienen formato de aplicación móvil gratuita.
6. Desactivar las notificaciones, cuando la pantalla está bloqueada, y las sincronizaciones con otros servidores externos.
7. Tener instalado el menor número de aplicaciones posible.
También conviene definir un plan de ciberseguridad para que todos los miembros de la empresa tengan conocimiento de cómo proceder a la hora de protegerse y en caso de vulneración.
El documento del plan de ciberseguridad debería contemplar:
• Acceso: cómo se protegen los controles de acceso en plataformas digitales, por ejemplo: cómo se gestionan las contraseñas.
• Información: clasificación y manipulación de la información.
• Seguridad: consejos para la seguridad física y ambiental.
• Uso: uso adecuado de activos, programas o empresas proveedoras.
• Transferencias: cómo actuar en la transferencia de información, por ejemplo, en el caso de discos duros o USB.
• Dispositivos: consejos en el uso de dispositivos móviles, portátiles o tabletas en el trabajo.
• Restricciones: restricciones de uso e instalación de software.
• Backups: la política de copias de seguridad que se utiliza.
• Antimalware: protección de software malicioso.
• Vulneraciones: gestión de vulnerabilidades, información de riesgos.
• Incidentes: gestión de incidentes de ciberseguridad, información de los pasos a seguir en caso de vulneración.
• Continuidad: plan de continuidad del negocio que explique cómo se recuperarán los datos, en caso de crisis.
• Formación: formación y concienciación en ciberseguridad.
El malware es el software que intenta invadir, dañar o desactivar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles. Puede robar, cifrar o borrar nuestros datos, alterar o secuestrar funciones básicas de nuestros aparatos tecnológicos y espiarnos.
La mejor defensa es la prevención, es decir, no hacer uso de páginas web no seguras, no hacer clic en enlaces sospechosos -logra engañar incluso a usuarios bastante experimentados-.
También es conveniente: instalar un antivirus en todos nuestros dispositivos, actualizar todo el software -especialmente el antivirus/antimalware- y instalar un firewall que proteja la entrada y salida de datos.
Tipos:
En el momento actual, los que más podríamos destacar son:
• Adware: diseñado para mostrar anuncios en la pantalla, normalmente en un navegador. Para instalarlo, bien se hace pasar por legítimo o bien se adosa a otro programa para engañar a la persona usuaria.
• Spyware: observa las actividadesde los usuarios y usuarias en secreto, sin permiso y las comunica a la persona autora del software.
• Virus: malware que se adjunta a otro programa y, cuando se ejecuta, se replica modificando otros programas del ordenador, infectándolos.
• Gusanos: similar a los virus, que se replican por sí solos, para diseminar por otros ordenadores en una red provocando, normalmente, daños y destruyendo datos y archivos.
• Troyanos: bastante peligrosos. Normalmente se presenta como algo útil para engañar a la persona usuaria. Una vez que entra en el sistema, las personas atacantes que se ocultan detrás del troyano obtienen acceso no autorizado al dispositivo infectado. Suelen robar información financiera o instalar otras amenazas como virus y ransomware.
• Ransomware: bloquea el acceso de la persona usuaria al dispositivo o cifra sus archivos y pide un rescate para devolverlos. Ataque muy popular en la ciberdelincuencia, porque exige un pago rápido y que le ha hecho el pago, en la mayoría de casos, no desencriptan nada.
• MITM (Man-In-The-Middle): interceptan comunicaciones o las alteran, con el objetivo de instalar software malicioso, generalmente a través de la técnica del phishing.
También encontramos otros malwares como rootkit, keylogger, cryptojacking o exploits. Recordamos que el malware está en constante evolución y es necesario estar al día.
En internet banking, los datos que se tratan son particularmente sensibles y objeto de muchos ciberataques.
Algunos consejos para utilizarlas de forma segura son:
• No revelar nunca nuestras claves.
• No dar ni fotografiar los datos bancarios o números de tarjetas de crédito por WhatsApp, Telegram o correo.
• Acceder desde redes y terminales seguros.
• No guardar datos confidenciales.
• Teclear siempre la página web del banco.
• Comprobar que la página tiene un candado.
• Controlar las cuentas de forma regular.
• Cerrar la sesión.
• Desactivar el acceso de Bluetooth.
• Utilizar la aplicación móvil del banco, con frecuencia más segura que la de la página web.
• Ir con precaución con el phishing.
Normativa:
El 14 de septiembre de 2019 entró en vigor una ley europea (PSD2) que concierne a los pagos digitales. Los usuarios tendrán que utilizar diferentes accesos para confirmar sus acciones a través de la banca online, como pueden ser el DNI, la clave de acceso o un código de confirmación enviado por SMS.
En contra de lo que habitualmente se cree, los teléfonos inteligentes son especialmente vulnerables a los ciberataques, quizás incluso más que los ordenadores. Así pues, es necesario tomar medidas de seguridad como descargarse aplicaciones oficiales, gestionar bien los permisos, vigilar el acceso a redes Wi-Fi públicas, instalar un antivirus, mantener el sistema operativo actualizado o realizar copias de seguridad a menudo, entre otros.
Los ataques habituales suelen ser análogamente a los de los ordenadores, troyanos (en la banca móvil: aunque la aplicación del banco es más segura que la página web, igualmente se han detectado casos y tamble en el lado de los SMS), ransomware, spyware (fundamentalmente extracción de datos) y últimamente, stalkerware (espionaje completo y registro en un servidor de toda la actividad del móvil) y el juicejacking (el uso de puertos USB para cargar la batería de los dispositivos móviles en lugares públicos).
Ataques a través de la red Wi-Fi
Tener la Wi-Fi abierta o de fácil acceso implica, tener nuestra conexión a internet compartida con cualquiera y nos expone a diferentes riesgos:
• Reducción del ancho de banda.
• Robo de la información transmitida.
• Conexión directa con nuestros dispositivos y la información que contienen.
• Responsabilidad ante acciones ilícitas
Acciones para proteger nuestra Wi-Fi
• Cambiar la contraseña predeterminada.
• Asignar un sistema de seguridad más avanzado, como el WPA2.
• Modificar la contraseña para cambiar la configuración del router.
• Activar la restricción a MAC para conectar los dispositivos que escojamos en nuestra red.
• Apagar el router, si no debemos utilizarlo en varios días.
• Medir la propagación de la señal para que esté dentro de los límites de nuestra oficina.
• Rastrear qué dispositivos están conectados a nuestra red.
• Evitar el uso de redes Wi-Fi públicas.
Una red VPN es una red en la que no es necesaria la conexión física de los dispositivos (móviles, tabletas, ordenadores…), que se puede llevar a cabo mediante internet y donde nuestros datos viajan de forma aislada (tunel), aportando seguridad ( encriptación, habitualmente de 256 bits), disponibilidad geográfica y privacidad (un servicio de VPN no debería guardar registros de las conexiones, de modo que el registro de conexiones de nuestro operador sólo mostrara conexiones a los servidores de VPN, no a los puntos finales a los que se realiza la conexión).
¿Qué debe tener una VPN para considerarse segura?
La encriptación no siempre es suficiente, hay una serie de funcionalidades que necesitamos para reforzar la seguridad:
• KillSwitch
Mecanismo por el que la comunicación se interrumpe, si se pierde la comunicación con el otro extremo de la VPN. Si no se incluye esta funcionalidad en nuestra VPN, el sistema operativo puede seguir enviando paquetes de información a través de conexión normal, en lugar
de enviarlos a través de la VPN.
• Pérdidas de DNS (DNS leaks)
Algunas VPN no proporcionan mecanismos de seguridad frente a fugas de DNS: cuando existe una vulnerabilidad en el túnel de cifrado de VPN implicando que las consultas u operaciones que realizamos están expuestas a ser vigiladas. Las peticiones de DNS se realizan
por fuera de la VPN, poniendo en riesgo nuestra información y accesos.
• Pérdidas de WebRTC
Algunas VPN no proporcionan mecanismos de prevención de fugas de WebRTC (tecnología que permite comunicación en tiempo real) y podemos encontrarnos que, a pesar de contar con una buena VPN en nuestro sistema, nuestras videoconferencias se emitan por un canal no protegido.
• Registros
Las leyes de muchos países obligan a empresas operadoras y proveedoras de servicios de VPN a solicitar registros que estén disponibles bajo petición. Si realmente queremos tener una privacidad total, necesitaremos utilizar un servicio de VPN que resida en
una región que no obligue a solicitar registros de personas usuarias.
Hay muchas empresas que ofrecen servicios de VPN. Aunque las hay gratuitas, las más seguras y completas son las versiones de pago. Algunas empresas son NordVPN, ExpressVPN o PureVPN, con un rango de precios de 3 a 5€ al mes.
Algunas formas de aumentar la seguridad de nuestro router son:
• Actualizar el firmware del router.
• Desactivar el acceso remoto.
• Configurar el router WLAN por cable, la primera vez que lo conectamos al ordenador y cuando hagamos actualizaciones o mantenimiento.
• Cambiar la contraseña que el router tiene por defecto.
• Cambiar el SSID (nombre o identificador que tiene el router) u ocultarlo.
• Cambiar los canales de acceso, si comprobamos que otros routers vecinos circulan por el mismo canal que nosotros.
• Aprovechar la banda de 5 GHz, puesto que es más estable y tiene menos interferencias.
• Acceso concreto a personas invitadas: crear una subred con su propia SSID y su propia contraseña, sin acceso a nuestra red principal.
La mayoría de vulnerabilidades a las que nos exponemos en nuestra página web vienen a través de los plugins, módulos o temas que no son parte del código fuente del gestor de contenidos.
Riesgos y ataques habituales
• Inyección de SQL: infiltración de código intruso que aprovecha un error del software para realizar consultas de bases de datos.
• Cross SiteScripting (XSS): permite ejecutar un código de scripting, como VBScript o JavaScript en un sitio web.
• Ataques de fuerza bruta: intento de acceder a nuestras credenciales para manipular nuestra página web. Se basan en probar millones de combinaciones de nombres de usuaria y contraseña hasta encontrar los correctos.
• Clickjacking: engañar a un usuario para que haga clic en algún elemento (como un botón) que no es lo que parece. Este engaño puede revelar información confidencial o permitir que otras personas tomen el control de nuestro ordenador. Por ejemplo, una persona usuaria hace clic en un enlace a ver un vídeo y en realidad hace clic en comprar un producto en una página
web ajena a la que está visitando.
• Cross SiteRequestForgery (CSRF): ataque que fuerza al navegador web de la víctima, validado en algún servicio (como correo o internet banking) a enviar una petición a una aplicación web vulnerable. El objetivo específico son las solicitudesde cambio de estado, no el robo de datos.
Buenas prácticas para evitar vulneraciones:
• Activar las actualizaciones automáticas del CMS y los plugins.
• Usar una contraseña fuerte y segura.
• Descargar contenidos sólo de webs oficiales.
• Introducir CAPTCHAS en nuestros formularios.
• Buscar un CMS con comunidad fuerte para apoyar, en caso de vulneración de la seguridad.
• Contratar a un hosting seguro.
• Disponer de un certificado SSL.
Los comercios electrónicos son víctimas habituales de ataques potenciales, especialmente en períodos de campañas (navidad, black friday, rebajas).
Riesgos a los que nos exponemos:
• Tarjetas de crédito robadas
Cuando una persona compra un producto en nuestra tienda online con una tarjeta de crédito robada, ya que muy posiblemente el banco reclame este pago. Este tipo de fraude resulta especialmente peligroso en
aquellos comercios electrónicos que tratan con productos digitales y que deben entregarse a la clientela de forma inmediata, ya que es posible que ya hayamos entregado el producto.
• Una vulnerabilidad en la página web
Por ejemplo, que alguien cambie el precio de los productos para adquirirlos a menor precio. A efectos legales, es muy difícil probar que el ataque se realizó de forma intencionada (y no como fruto de un error) y, en la mayoría de las veces, el comercio tendrá que asumir el coste, sin opción a poder reclamar.
• Robo de información
La sustracción de datos
Almacenadas en la página web, como información bancaria de nuestra clientela, contraseñas, datos de acceso…
• Phishing
Que nos suplanten la identidad y utilicen nuestro nombre para conseguir información de nuestra clientela.
• Ataques DDoS o denegación de servicio
La persona atacante utilizará una botnet (red de ordenadores infectados y que están bajo su control) para lanzar miles de peticiones de conexión por segundo a nuestro comercio electrónico. El resultado será que el servidor no podrá afrontar todas las peticiones y nuestro negocio estará inaccesible durante el ataque.
Buenas prácticas para proteger nuestro comercio electrónico:
1. Elegir una plataforma de comercio electrónico segura.
2. Implementar certificados SSL.
3. Ofrecer formas de pago seguras, como las pasarelas de pago que tienen los bancos.
4. No almacenar datos sensibles, sólo los estrictamente necesarios y por un tiempo determinado.
5. Instalar alertas de actividades sospechosas en el sistema y revisar continuamente la página web.
Asimismo, las redes sociales también pueden ser fuente de riesgos de ciberataques.
Algunos consejos para prevenirlos son:
• Correo alternativo para registrarse.
• Emplear contraseñas seguras.
• Vigilar el intercambio de información confidencial.
• No hacer clic en enlaces de mensajes de usuarios sospechosos.
• Cuidado con las aplicaciones que se descargan.
• Controlar los permisos de administración otorgados con las personas que trabajan en nuestras redes sociales.
• Cerrar siempre la sesión, cuando hayamos terminado.
Es importante que tengamos trazado un protocolo de actuación (contingencia) para facilitar la implementación de medidas reactivas, en caso de ataque, en la mayor brevedad posible.
De entrada, empezamos trazando un plan básico e ir completando a medida que la cantidad de datos que gestionamos o la complejidad de la empresa vaya aumentando.
Puntos básicos de actuación
• Definición de los parámetros de una crisis de seguridad
Debemos definir el riesgo, para nuestro caso y en función de lo que marca la ley, los datos y los sistemas críticos. Es decir, debemos determinar qué tipo de datos tratamos y quién tiene acceso, así como cuáles son los elementos más críticos de ser vulnerables y dónde están ubicados (copias de seguridad, acceso a las salas de servidores, la localización de las contraseñas , etc.).
• Escalado de acciones y responsabilidades
Es necesario garantizar que las personas adecuadas tengan las herramientas necesarias para actuar en caso de crisis, como los teléfonos y correos de
contacto de personas o empresas clave para la gestión de una crisis (la empresa informática que gestiona las copias de seguridad, la empresa gestora de la página web o del hosting, o el Instituto Nacional de Ciberseguridad, por ejemplo), así como acceso ágil a las
contraseñas o autenticaciones necesarias.
• Implicaciones legales en caso de crisis de seguridad
En función de los datos que manipulamos, un incidente de seguridad está sujeto a diferentes requisitos legales, en cuanto a obligaciones y plazos para su ejercicio. Debemos tener claro cuál de nuestras empresas proveedoras o personal está potencialmente implicado en una situación de crisis.
• Organigrama de acción las primeras 24-48 horas
Debemos tener claras las tareas, funciones y comunicaciones que los y las miembros del equipo deben llevar a cabo en un plazo concreto. Como, por ejemplo, revisar cuentas bancarias, redes sociales, gestores de correo electrónico, página web y comercio electrónico, cambiar contraseñas en todas partes, restablecer la información vulnerada a través de una copia de seguridad o avisar a INCIBE.
Cada empresa debe desarrollar el suyo en función de los datos que se manejan y las dimensiones.
En general el protocolo de actuación debe contemplar los siguientes seis pasos:
1.- Preparación: Capacitar al personal para gestionar posibles incidentes.
2. Identificación: Determinar si el evento es realmente un incidente de seguridad.
3. Contención: Limitar el daño del incidente y aislar a los sistemas afectados para evitar daños añadidos.
4. Erradicación: Encontrar la causa del incidente y eliminarla.
5. Recuperación: Permitir que los sistemas afectados vuelvan al entorno de producción y garantizar que no queda ninguna amenaza.
6. Documentar: hacer un informe del caso y analizar cómo ha sucedido para que el personal pueda aprender de ello y mejore los esfuerzos de respuesta futuros.
Las plataformas de almacenamiento (Dropbox, Google Drive o Microsoft One Drive) y transmisión de datos (WeTransfer, Hightail o Wesendit) también pueden ser fuente de problemas en la seguridad y privacidad de los datos de nuestra empresa.
Almacenamiento
Dropbox: conviene activar unas opciones, que no lo están por defecto: Verificación en 2 pasos, revisar con detalle Comprobación de seguridad y activar todas las Notificaciones. En Dropbox para negocios, de pago, tienen algunas opciones de seguridad más exigentes.
Google Drive: activar la verificación en 2 pasos.
One Drive: activar la verificación en 2 pasos y uso de Personal Vault, que protege con una clave extra las carpetas que seleccionamos dentro de nuestra cuenta.
Estas plataformas tienen un sistema de encriptación de los datos bajo, podemos utilizar programas gratuitos como Cryptomator.
Compartir
Wetransfer: Lugar señalado como bastante inseguro y que ha sufrido numerosos ataques. Se recomienda el uso de servicios alternativos como plataforma de Mozilla Firefox, Hightail o Wesendit.
Otras vías de ataque por las que nuestra empresa puede ser atacada pueden ser:
• Los navegadores web, ya que hay que tener cuidado con la instalación de extensiones.
• El personal, porque gran parte de las vulneraciones vienen de malas praxis en el equipo de trabajo, y es necesario fomentar la formación.
• Uso de dispositivos externos, que conviene formatearlos antes de insertarlos en nuestro ordenador.
Por otra parte, para proteger la privacidad de nuestros contactos, si debemos enviar un correo electrónico a diferentes personas destinatarias, debemos ponerlas en CCO o copia oculta o realizar los envíos a través de programas de gestión de correos electrónicos como Mailchimp , SendInBlue o MailRelay.
Dependiendo del tipo de ataque y de su alcance, los protocolos de actuación, en caso de vulneración de los datos de nuestra empresa o privacidad, son diversos.
Es necesario notificarlo, a las autoridades, a las personas afectadas y denunciarlo a las plataformas gestoras de las redes sociales (twitter, facebook, instagram, etc) o correo electrónico (gmail, outlook, etc).
En caso de que la vulneración ponga en riesgo los derechos y libertadesde alguna persona, deben notificar a la autoridad de control sin demora y, a más tardar, 72 horas después de que hayamos tenido constancia del ataque. Si la vulneración de la seguridad de los datos supone un alto riesgo para las personas afectadas éstas también deben ser informadas de forma inmediata.
::: Mínima introducción sobre seguridad en el mundo web (wordpress)
CONTINGUTS
2. TIPOS DE ATAQUES HABITUALES SOBRE WORDPRESS
4. MÍNIMAS PRÁCTICAS NECESARIAS
La seguridad es el tema tecnológico en estos días, porque los sitios web han sido pirateados y la tendencia es creciente. Pero hay muchas cosas que puede hacer para proteger tu sitio web.
Haremos algunos breves comentarios sobre seguridad y WordPress, tratando algunos conceptos generales para ayudarte a mantener el sitio seguro:
4.2 Detecció
Por muy buena que sea tu protección, los delincuentes podrían encontrar una manera de doler en tu sitio. Y hay que saber cuándo se está produciendo un ataque. El ataque no siempre será un ataque frontal completo que hace que sea dolorosamente evidente que tu sitio ha sido pirateado. A veces, los robots insertan un montón de código oculto en su sitio web, sin síntomas aparentes. Nunca lo sabrás sin la detección, por lo que es necesaria una monitorización constante en la búsqueda de malware.
4.3 En cas d’ataque y/o infección
· Respuesta inmediata
Cancelación de las sesiones e ips involucradas, desinfección y eliminación de puertas de entrada para evitar la reinfección.
· Recuperación, si se considera
Por último, necesitas un plan para volver a poner en marcha tu sitio después de haber estado dañado. Las mejores estrategias de protección y detección todavía se pueden frustrar y es necesario estar preparado. Una buena copia de seguridad es vital, también aparte de la seguridad.
Es necesaria una política de copias, automatizada y comprobada para estar preparados para cualquier cosa.
TIPOS DE ATAQUES HABITUALES SOBRE WORDPRESS
Actualmente, existen bastantes posibles ataques a su sitio, ya que hay muchos posibles puntos de acceso, ya sean por el propio WordPress, pero también por el servidor, los usuarios, comentarios, códigos de script (pequeños programas que ejecutan órdenes), etc.
Algunos de los más habituales pueden ser:
Authentication Bypass: Agujero de seguridad que permite saltarse el formulario de acceso y acceder al sitio.
Brute Force: Se intenta iniciar sesión adivinando el nombre de usuario y la contraseña de la cuenta de administrador (o de un usuario).
Cross-Site Request Forgery (CSRF): El código se introduce y se ejecuta desde la URL.
Cross-site Scripting (XSS): Se puede inyectar código en un sitio, normalmente a través de un campo de formulario.
Denial of Service (DoS): Un sitio cae debido a un ataque constante de tráfico que suele proceder de una red de máquinas controladas.
Path Traversal: Posibilidad de listar los directorios de un sitio y ejecutar órdenes fuera de directorio raíz de servidor.
Distributed Denial of Service (DDoS): Similar a un ataque DOS, salvo que las redesde máquinas suelen haber sido infectadas.
File Upload: Se puede subir un archivo con malware en un servidor sin restricciones.
Full Path Disclosure (FPD): Se expone la ruta de acceso a la carpeta raíz del sitio; habitualmente es debido a que están activos los mensajes de error que las muestran.
Local File Inclusion (LFI): Un atacante es capaz de controlar qué archivo se ejecuta en una hora programada que fue configurada anteriormente.
Malware: Un sitio o programa malicioso con el propósito de infectar al usuario u otra máquina.
Open Redirect: El sitio redirige a otro debido a alguna vulnerabilidad, a menudo un sitio de spam o de suplantación de identidad.
Phishing (Identity Theft): Un sitio que se asemeja a otro conocido y de confianza, pero que se utiliza para recopilar credenciales de inicio de sesión, números de tarjetas de crédito, etc, engañando al usuario.
Remote Code Execution (RCE): Capacidad de ejecutar código en un sitio desde una máquina diferente.
Remote File Inclusion (RFI): Posibilidad de ejecutar un script externo en un sitio al que se suele cargar malware, desde un sitio diferente.
Security Bypass: Similar a la Authentication Bypass, pero en este caso permite saltar algún sistema de seguridad establecido.
Server-side Request Forgery (SSRF): Toma de control de un servidor, ya sea parcial o total, para obligarle a ejecutar peticiones de forma remota.
SQL Injection (SQLI): Se produce cuando en consultas SQL se pueden introducir y ejecutar desde la URL de un sitio.
User Enumeration: Posibilidad de encontrar la lista de usuarios de un sitio desde la zona pública, para posteriormente realizar un ataque de Brute Force.
XML External Entity (XX): Un archivo XML que por la generación de errores deja expuesto algún tipo de ruta, mensaje o acceso a información confidencial.
CAPAS DE SEGURIDAD
La seguridad de los sitios web de nuestros clientes es nuestra prioridad en nuestros servicios de alojamiento web, tanto a nivel de servidor, como de alojamiento individual y a nivel de aplicación.
La seguridad no es una acción en concreto, sino múltiples en una serie de capas que añades a tu sitio web -especialmente en WordPress-.
Por ejemplo:
Ninguna de estas políticas aplicadas a las diferentes capas, por sí solas hará que tu sitio sea seguro. Sin embargo, todas juntas pueden hacer que tu sitio esté lo suficientemente protegido para que los delincuentes se vayan a por otra web con menos seguridad.
MÍNIMAS PRÁCTICAS NECESARIAS
ÁMBITOS DE ACTUACIÓN són:
En general, als::: ¿Cómo sabe si tiene su web pirateada o infectada?
Síntomas directos
Comportamientos obvios entre otros, en la operatoria del entorno productivo:
No se muestran síntomas directos…
Éste es un contexto especialmente conflictivo porque permite al delincuente piratear a más largo plazo, habitualmente por:
Conclusión
Hay que prevenir: siempre es necesario hacer uso de acciones de seguridad constantes y actualizadas, en forma de monitorización a diferentes niveles -en caso contrario, podemos estar infectados y no saberlo- y al mismo tiempo, llevando a cabo respuestas inmediatas delante una sospecha o crisis manifiesta.
::: Tengo la web pirateada o infectada: ¿Qué hago?
Si no tiene capacidad/familiaridad de administración sobre los servicios de internet:
Si tiene capacidad/familiaridad de administración sobre los servicios de internet:
::: Post-Hackeo: ¿Qué es necesario hacer?
Para procurar que no vuelva a ocurrir, estas recomendaciones:
::: ¿Qué acceso necesitaremos para acceder a su sitio web y/o al servidor?
Necesitaremos sus credenciales para acceder directamente -no por aplicaciones de conexión remota (anydesk, teamviewer, etc)- vía FTP/SFTP o SSH, así como un acceso al panel de administración de WordPress. También si hay un panel de administración de servidores (cPanel/WHM, Plesk, Webmin, etc.), poder acceder a ellos para investigar.
::: No tengo mi web alojada con vosotros: ¿En qué consiste la supervisión post-limpieza?
Para los clientes externos, que no tienen alojado su web en nuestra infraestructura, después de limpiar su web -WordPress o no-, le supervisaremos 24/7 durante 30 días para asegurarnos de que se han solucionado todos los problemas y que no se ha producido ninguna reinfección durante este período.
Incluido gratuitamente en todos los alojamientos
Aplicamos una robusta política de seguridad a diferentes niveles: encriptación del tráfico web, forzar https, copias de seguridad (30 días), firewall, inteligencia artificial, actualizaciones y parches proactivos de seguridad:
Suscripción Anual: 400 € (incluye las prestaciones del plan básico)
Mayor personalización de la plataforma WordPress.
Existen determinados ajustes de parámetros de la instalación y acciones a llevar a cabo, de carácter general y aplicables en:
Ámbitos de actuación WP:
Ámbitos de actuación generales:
Suscripción Anual: 800 € (incluye las prestaciones del plan profesional)
Impide ataques via:
Potente motor de desinfección rápida y escaneo:
Apliquem accions de desinfecció y defensa preventiva per rebutjar atacs, a través de la implementació y depuració de programari y polítiques de seguridad en:
:: MONITORIZACIÓN Y DETECCIÓN
Incorporamos un nuevo sistema de escaneo que detecta y advierte de la presencia de malware. Este sistema permite realizar escaneos del alojamiento web a demanda y realizar escaneos completos para detectar malware y etiquetado en listas negras de dominios.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas.
Rasgos
:: PROTECCIÓN (infraestructura y software especializado)
:: RESPUESTAS EN CASO DE INFECCIÓN