Plan Básico
Incluido en todos los alojamientos
En un primer bloc, us presentem un apartat de Preguntes Freqüents, introductòries y generalistes sobre la seguridad en internet, en el lloc web, en WordPress y què cal fer en cas d’atac o infecció.
En un segon bloc, les nostres propostes de Plans de Seguridad (bàsic, professional, corporatiu), tant aplicables als nostres alojamientos, com externs y on cada opció de plan de seguridad, inclou les pròpies prestacions y també afegint les del plan anterior.
Si teniu qualsevol dubte, conceptual o tècnic, gustosament us atendrem.
FAQS
::: Introducción generalista sobre seguridad a internet
CONTINGUTS
1. LA SEGURIDAD AL MÓN DIGITAL
·······1.1 Quins són els riscos?
·······1.2 Protecció empresarial y de la clientela
·······1.3 Normes bàsiques y bones pràctiques
·······1.4 Política de protecció de dades (externa y interna)
·······1.5 Ciber Seguridad: Inversió o despesa?
2. PROTEGEIX LA TEVA INFORMACIÓ (PERSONAL I IDENTITAT)
·······2.1 Còpies de seguridad
·······2.2 Encriptació. Com fer-la
·······2.3 Suplantació d’identitat (phishing)
·······2.4 Contrasenyes
3. PROTEGEIX ELS ESTRIS DE LA TEVA FEINA
·······3.1 Anàlisi d’equips y plan de seguridad
·······3.2 Antivirus y antiprogramari maliciós
·······3.3 Operacions bancàries
·······3.4 Seguridad pels smartphones
4. PROTEGEIX-TE DINS D’INTERNET
·······4.1 Wi-Fi
·······4.2 Xarxa privada (VPN)
·······4.3 Router
·······4.4 Gestor de continguts (CMS)
·······4.5 Dadesde comerç electrònic
·······4.6 Xarxes socials
·······4.7 Protocols d’actuació
·······5.1 Gran volum de dades: compartir y emmagatzemar
·······5.2 Vulneracions seguridad y privacitat
·······5.3 Denúncies
1. LA SEGURIDAD AL MÓN DIGITAL
1.1 Quins són els riscos?
Actualment les riscos més freqüents exposats al nostre negoci/activitat són:
• Malware
Programari maliciós que invaeix, danya o desactiva equips, pot robar, xifrar, esborrar dades y alterar/segrestar funcions bàsiques del dispositiu, així com espiar-nos.
És un terme ampli que inclou:
·· Virus, un segment de línia de codi que altera el funcionament normal de l’ordinador, sense el permís o el coneixement de la persona usuària.
·· Troians, que simulen ser un programari legítim innocu que s’introdueix en un programa ja existent al sistema, per tal d’enganyar la persona usuària y obrir la porta a altres tipus de malware que infectin l’ordinador.
·· Spyware, que té com a objectiu espiar les persones usuàries y guardar les seves contrasenyes, dadesde targetes de crèdit, dades personals y patrons de comportament en línia (exemple: registra les pulsacions del teclat de l’ordinador), per enviar aquesta informació al delinqüent.
·· Cucs, que ataquen xarxes senceres de dispositius saltant d’un ordinador a un altre amb l’objectiu de propagar y afectar el major nombre de dispositius possible. Creen còpies de si mateixos a l’ordinador afectat, que distribueixen posteriorment a través de diferents mitjans, com el correo electrònic, missatgeria instantània o continguts amb temes que criden l’atenció com ara sexe, personatges famosos, temes d’actualitat o programari pirata.
·· Ransomware, que segresta arxius, els xifra y exigeix diners a la víctima a canvi d’una clau de desxifrat, que sovint no funciona.
·· Adware, que inunda les pantalles de les víctimes d’anuncis no desitjats y crea vulnerabilitats de seguridad perquè es pugui introduir una altra classe de malware sense adonar-nos-en.
• Phishing
Tècnica molt estesa que es basa en la suplantació d’identitat d’una marca o entitat amb reputació, com pot ser algun organisme oficial o empresa coneguda o banc, per tal d’adquirir informació compromesa.
Habitualment, es presenta sota la forma de correo electrònic, però també a través de missatgeria (SMS, Whatsapp) y trucadesde veu. En tots els casos, es demana que la persona usuària confirmi o doni dades generalment relacionades amb comptes bancaris, targetes de crèdit o números d’assegurança i, sovint, sota l’amenaça de cancel·lar els serveis en un temps determinat, si no es fa.
1.2 Protecció empresarial y de la clientela
En general, les amenaces digitals són més freqüents y exitoses contra els més vulnerables, petits negocis, més fàcils d’infiltrar, rastrejar y amenaçar, que les grans corporacions.
Si patim algun ciberatac a la nostra empresa, podem perdre gran quantitat d’informació y documents si no tenim al dia les nostres còpies de seguridad y a banda, deixem totalment exposades tant les nostres dades com les de la nostra clientela. Tenim una responsabilitat tan ètica com legal de custodiar correctament aquestes dades.
1.3 Normes bàsiques y bones pràctiques
Les següentes propostes, especialment dirigides a persones autònomes, petites y mitjanes empreses, així com la seva plantilla, són aplicables en qualsevol dels mitjans o dispositius digitals que involucren la nostra empresa, com:
• El BYOD (Bring Your Own Device), tots els dispositius a través del quals nosaltres o el nostre personal accedeix a informació de l’empresa: ordinadors, tauletes o telèfons mòbils, tan particulars com corporatius.
• Cloud computing y big data, l’emmagatzematge y gestió de dades, tant al núvol com en local.
• Internet de les coses, com ara els rellotges intel·ligents, la bitlletera electrònica…
• Aplicacions mòbils.
• Les múltiples identitats digitals en xarxes socials.
Normes bàsiques
• Instal·lar un programari de seguridad.
• Fer còpies de seguridad diàries de tots els documents.
• Mantenir el correo electrònic net y utilitzar filtres de correo brossa.
• Utilitzar contrasenyes complexes y canviar-les regularment.
• Mantenir al dia els sistemes operatius dels dispositius relacionats amb l’empresa amb les darreres actualitzacions, així com la pàgina web.
• Entendre y tenir present com actuen les nostres empreses interlocutores que tracten amb dades vulnerables. És més fàcil detectar una comunicació potencialment perillosa si sabem com es comporten determinades interlocutores, per exemple: correos, bancs, empreses de missatgeria, etc. Per exemple, sabem que el banc mai ens demanarà el codi PIN en un correo electrònic, si detectem faltes d’ortografia o logos antics o pixelats, és altament possible que aquella comunicació es tracti d’un frau. En cas de dubte, no obriu les comunicacions.
• Verificar l’origen de les comunicacions que rebem. • No accedir a llocs web o aplicacions amb informació delicada, com ara bancs, a través d’una xarxa Wi-Fi pública.
• Vulnerabilitats off-line: no escriure els codis PIN, cal firmar les targetes de crèdit y dèbit, revisar els comptes bancaris periòdicament, triturar els documents confidencials no necessaris.
• Crear una cultura de la seguridad amb les persones treballadores. Proporcionar criteris clars y normes per a la seguridad preventiva y protecció de dades en tots els processos de l’empresa, y impulsar formacions sobre el tema.
A partir del 25 de maig del 2018 es va instaurar a Europa una normativa de protecció de dades que afecta a totes les empreses. Aquesta llei exigeix documentar com actua la nostra empresa internament a l’hora de recollir, processar y emmagatzemar dades, així com quines mesures de seguridad prenem per prevenir fallidesde seguridad. Aquesta llei parteix de la premissa que les dades personals que recollim de la nostra clientela representen a persones reals i, si es fa un ús indegut de les dades, pot tenir un impacte negatiu en les seves vides. Per tant fa responsable a les empreses de la seva seguridad en el tractament y custòdia. En cas d’incompliment, les sancions poden ser quantioses.
1.4 Política de protecció de dades (externa y interna)
Amb la normativa europea de protecció de dades (GDPR), a partir del 25 de maig del 2018, estableix que totes les dades que recollim han de ser amb consentiment, informant de per què les farem servir y usant-les exclusivament per allò que hem comunicat que les farem servir. A més de tot això, hem d’emmagatzemar les dades per un temps limitat i, a l’hora de tractar-les, hem de garantir la seguridad en el procés.
La llei GDPR implica:
• Documentar com es compleix la RGPD
L’Autoritat Catalana de Protecció de Dades ha desenvolupat una aplicació per crear, mantenir y gestionar el registre de les activitats de tractament: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/
• Anàlisi de riscos
Cal analitzar quin tipus de dades tenim, d’on les hem obtingut, el nombre de persones usuàries que involucren y la quantitat y varietat de dades que la nostra empresa està tractant. Després, cal classificar aquestes dades en funció de l’impacte que tindria per a les persones usuàries, si hi hagués una bretxa de seguridad y aquestes dades es veiessin exposades. L’Autoritat Catalana de Protecció de Dades ens ofereix: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Mesures de seguridad a adoptar en funció del risc.
• Fallidesde seguridad
En el cas que totes les mesures de seguridad hagin fallat, hem de notificar la bretxa de seguridad a l’Agència Espanyola de Protecció de Dades (AGPD) en un termini sempre inferior a 72 hores, que ens ofereix, la Guía para la gestión y notificación de brechas de seguridad
1.5 Ciber Seguridad: Inversió o despesa?
En general en l’àmbit de la ciber seguridad, costa entendre, si no s’ha patit un atac, el haver de pagar per quelcom que no ha succeit -no pasa en altres àmbits com en l’assegurança del cotxe, de la llar, de vida, etc-.
Compensa la inversió?
• El cost dels ciber-atacs sempre superen als de la inversió. El cost mig de les grans empreses és de 500.000 €, mentre que les PYMES malgrat el cost és inferior, solen desapareix al voltant de 6 mesos després de l’atac. Fins ara, 100.000 € és el cost mitjà que pot produir-se per a una PYME, en cas de ransomware.
• Proporcionalment al nombre d’atacs, la principal motivació es econòmica y el 48% de forats de seguridad involucren a PYMES.
• Per assolir una política completa y adient en ciber seguridad, és necessari recorrer a una empresa especialitzada y de reconegut prestigi. Les solucions que us podem aportar en el nostre cas, van adreçades a a PYMES y especialment a les que fan ús d’un web sota WordPress.
2. PROTEGEIX LA TEVA INFORMACIÓ (PERSONAL I IDENTITAT)
2.1 Còpies de seguridad
Un backup o còpia de seguridad es refereix al procés de còpia y emmagatzematge de dadesde qualsevol dispositiu digital, ja sigui un ordinador, tauleta o mòbil. Són vitals per a la recuperació d’un desastre (ciberatac, errors de maquinari, col·lapse de disc, etc).
Com cal fer la còpia?
· Emmagatzemar les còpies de seguridad en llocs diferents
És recomanable disposar de còpies de seguridad tant en l’àmbit local, com en servidors en altres llocs o al núvol. Totes les opcions es poden fer de manera manual, a través d’USB o en memòries externes y programaris específics. Nosaltres un oferim còpies de l’entorn web (lloc web y correo) diàries fins a 30 dies.
En cas d’optar per contractar els serveis d’una empresa proveïdora, per tal d’ampliar la còpia a la pròpia instal·lació local (servidor y clients de l’organització), us recomanen el nostre partner expert en còpies en remot d’àmbit d’àmbit local (empresarial y a particulars), https://agoobackup.es, tant en cloud de google com de microsoft. Ofereixen auto-gestió remota dels servei en l’àrea de client.
· Seleccionar quina informació és rellevant o no
És probable que no calgui fer una còpia de tots y cadascun dels fitxers. En el nostre cas, fem còpies totals de tot allò que hi ha en el vostre alojamiento (web, fitxers del lloc y correo).
· Automatitzar les còpies
El millor és confiar en algun dels programaris per establir la periodicitat o automatitzar les còpies de seguridad. Us oferim còpies automatitzades diàries (30 dies).
· Calendari
La periodicitat mínima general recomanada per fer còpies de seguridad seria un cop a la setmana. En el nostre cas portem a terme còpies diàries automatitzades, durant 30 dies.
· Encriptar les dades que considerem més rellevants
Cal una encriptació de les dades, especialment aquells arxius amb informació sensible, punt clau per complir amb la GDPR.
· Comprovar les còpies de seguridad
És vital comprovar de tant en tant que les còpies de seguridad que anem fent són correctes.
· Fer còpies de tots els dispositius
Recordar fer backups no només de l’ordinador, sinó també dels mòbils y tauletes, per tal de no perdre contactes, agenda, llistes de tasques, etc.
2.2 Encriptació. Com fer-la
L’encriptació de dades és un procediment mitjançant el qual els arxius, o qualsevol tipus de document, es tornen completament il·legibles gràcies a un algoritme que desordena els seus components. Així, qualsevol persona que no disposi de les claus correctes no podrà accedir a la informació que conté.
Gran part de la informació que enviem per internet ja està encriptada, gràcies als protocols HTTPS, però què passa amb la informació que tenim emmagatzemada als nostres dispositius? És segura?
Pel que fa als ordinadors, una de les dades més sensibles que podem tenir a la nostra empresa són els noms d’usuaris y contrasenyes (credencials). És la nostra responsabilitat procedir a encriptar aquesta informació y la resta de dades que puguin ser compromeses en el cas de robatori o pèrdua. Alguns programaris poden ser: BitLocker per a entorns de Windows y FileVault per a entorns de Mac.
Cal apuntar que en els cas dels mòbils, les empreses proveïdores de sistemes operatius mòbils han desenvolupat diferents funcions de xifrat disponibles per a totes les persones usuàries. La informació important es guarda en format xifrat y es desxifra cada vegada que la persona usuària introdueix el PIN de desbloqueig. Així que, pel que fa a les dades que emmagatzemem als
nostres dispositius mòbils en principi, ho tenim bastant cobert.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguridad inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguridad de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker y Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
2.3 Suplantació d’identitat (phishing)
El phishing és un frau de suplantació d’identitat que es fa per correo electrònic, missatgeria instantània, SMS o fins y tot trucada telefònica, on es demanen a les persones usuàries dades com ara targetes de crèdit, claus bancàries o altre tipus d’informació altament compromesa.
Per justificar la necessitat d’aquestes sol·licituds de dades, recorren a tot tipus d’arguments:
· Problemes de caràcter tècnic
· Deteccions recents de fraus
· Noves recomanacions de seguridad
· Canvis en la política de seguridad de l’entitat, etc
Tipus
· Per email: per capturar informació rellevant i/o descarregar mailware, normalment via enllaç.
· SMSishing: similar al d’email. Demana fer clic a un enllaç o trucada telefònica.
· De llança: Utilitza els mateixos mètodes que les estafes anteriors, però es dirigeix a una persona o entitat específica.
· Whaling: Semblant al phishing de llança, la cacera de balenes també es dirigeix a una persona o organització, amb molt per perdre, com ara amb un càrrec a la directiva, celebritats, personatges públics o persones vinculades a la política.
Com podem prevenir un atac de phishing?
• Comprovar desde quin correo electrònic s’envia en realitat: dadesde l’emissor (email descriptiu és diferent de l’email que fa realment l’enviament).
• Assegurant-nos bé de quina empresa proveïdora hi ha al darrere, per entreveure si es tracta d’una imitació.
• Comprovar que la URL no redirigeixi a un altre lloc.
• Les entitats bancàries sempre diuen que no demanaran mai el PIN d’una targeta a una persona usuària.
• Revisa l’ortografia y la gramàtica, sovint els correos electrònics o missatges tenen incorreccions.
• Analitzar el missatge, per veure si fa servir tàctiques de la por o és massa bo per ser de veritat.
• Evitar clicar a enllaços dels quals no tinguem la seguridad que són autèntics.
Què hem de fer, si la nostra empresa és víctima d’un atac de phishing?
1. Canviar les claus d’accés de la informació més sensible o vulnerable el més aviat possible.
2. Revisar el correo electrònic y assegurar-nos que no tenim correos d’inicis de sessió en altres dispositius o elements nous a la paperera.
3. En els gestors de correo com ara Outlook o Gmail, hi ha una opció disponible a habilitar que es diu “Denunciar suplantació de la identitat”.
4. Bloquejar la nostra targeta bancària y comprovar amb l’entitat financera que no s’hagi realitzat cap càrrec fraudulent al nostre compte.
5. Denunciar el cas a les autoritats competents. En el cas de l’Estat espanyol, a l’Institut Nacional de Ciberseguridad (INCIBE).
2.4 Contrassenyes
La gestió correcta de contrasenyes en la política de seguridad es vital.
Propostes per fer-les el més invulnerables possible y utilitzar un gestor de contrasenyes per recordar-les:
• No fer servir la mateixa contrasenya en tots els serveis o eines.
• Que sigui d’una extensió mínima de 8 caràcters, però el recomanable seria de 12 caràcters.
• Que combini lletres y números, majúscules y minúscules, amb algun símbol.
• Evitar escriure-la o guardar-la a la cartera.
• Procurar fer contrasenyes basades en paraules sense connexió.
• Canviar-la cada sis mesos.
3. PROTEGEIX ELS ESTRIS DE LA TEVA FEINA
3.1 Anàlisi d’equips y plan de seguridad
Cal que tinguem un control de tots (tauletes, mòbils, portàtils o USB) els elements tecnològics que accedeixen a les nostres dades digitals y que prenguem mesures per protegir-los.
Com puc protegir els dispositius tecnològics?
1. Fer una llista de tots els aparells emprats per totes les persones treballadores.
2. Anotar-ne el número d’identificació IMEI, per tal que l’operadora y els cossos de seguridad puguin localitzar-los y bloquejar-los en cas de robatori o pèrdues.
3. Definir unes polítiques d’ús y dur a termes accions formatives.
4. Emprar una contrasenya forta de més de quatre dígits.
5. Instal·lar barreres antimalware, la majoria d’antivirus per a ordinadors tenen format d’aplicació mòbil gratuïta.
6. Desactivar les notificacions, quan la pantalla està bloquejada, y les sincronitzacions amb altres servidors externs.
7. Tenir instal·lat el menor nombre d’aplicacions possible.
També convé definir un plan de ciberseguridad perquè tots els membres de l’empresa tinguin coneixement de com procedir a l’hora de protegir-se y en cas de vulneració.
El document del plan de ciberseguridad hauria de contemplar:
• Accés: de quina manera es protegeixen els controls d’accés en plataformes digitals, per exemple: com es gestionen les contrasenyes.
• Informació: classificació y manipulació de la informació.
• Seguridad: consells per a la seguridad física y ambiental.
• Ús: ús adequat d’actius, programes o empreses proveïdores.
• Transferències: com actuar en la transferència d’informació, per exemple, en el cas de discs durs o USB.
• Dispositius: consells en l’ús de dispositius mòbils, portàtils o tauletes a la feina.
• Restriccions: restriccions d’ús y instal·lació de programari.
• Backups: la política de còpies de seguridad que s’utilitza.
• Antimalware: protecció de programari maliciós.
• Vulneracions: gestió de vulnerabilitats, informació de riscos.
• Incidents: gestió d’incidents de ciberseguridad, informació dels passos a seguir en cas de vulneració.
• Continuïtat: plan de continuïtat del negoci que expliqui com es recuperaran les dades, en cas de crisi.
• Formació: formació y conscienciació en ciberseguridad.
3.2 Antivirus y anti-programari maliciós
El malware és el programari que intenta envair, danyar o desactivar ordinadors, sistemes informàtics, xarxes, tauletes y dispositius mòbils. Pot robar, xifrar o esborrar les nostres dades, alterar o segrestar funcions bàsiques dels nostres aparells tecnològics y espiar-nos.
La millor defensa és la prevenció, és a dir, no fer ús de pàgines web no segures, no fer clic a enllaços sospitosos -aconsegueix enganyar fins y tot a usuaris força experimentats-.
També és convenient: instal·lar un antivirus en tots els nostres dispositius, actualitzar tot el programari -especialment l’antivirus/antimalware- y instal·lar un firewall que protegeixi l’entrada y sortida de dades.
Tipus:
A hores d’ara, els que més podríem destacar són:
• Adware: diseñoat per mostrar anuncis a la pantalla, normalment en un navegador. Per instal·lar-lo, o bé es fa passar per legítim o bé s’adossa a un altre programa per enganyar a la persona usuària.
• Spyware: observa les activitats dels usuaris y usuàries en secret, sense permís y les comunica a la persona autora del programari.
• Virus: malware que s’adjunta a un altre programa i, quan s’executa, es replica modificant altres programes de l’ordinador, infectant-los.
• Cucs: similar als virus, que es repliquen per si sols, per tal de disseminar per altres ordinadors en una xarxa provocant, normalment, danys y destruint dades y arxius.
• Troià: força perillosos. Normalment es presenta com alguna cosa útil per enganyar a la persona usuària. Una vegada que entra en el sistema, les persones atacants que s’oculten darrere del troià obtenen accés no autoritzat al dispositiu infectat. Solen robar informació financera o instal·lar altres amenaces com virus y ransomware.
• Ransomware: bloqueja l’accés de la persona usuària al dispositiu o xifra els seus arxius y demana un rescat per retornar-los. Atac molt popular en la ciberdelinqüència, perquè exigeix un pagament ràpid y que us cop fet el pagament, en la majoria de casos, no desencripten res.
• MITM (Man-In-The-Middle): intercepten comunicacions o les alteren, amb l’objectiu d’instal·lar programari maliciós, generalment a través de la tècnica del phishing.
També trobem altres malwares com ara el rootkit, el keylogger, el cryptojacking o els exploits. Recordem que el malware està en constant evolució y cal estar al dia.
3.3 Operacions bancàries
En l’internet banking, les dades que es tracten són particularment sensibles y objecte de molts ciberatacs.
Alguns consells per utilitzar-les de manera segura són:
• No revelar mai les nostres claus.
• No donar ni fotografiar les dades bancàries o números de targetes de crèdit per WhatsApp, Telegram o correo.
• Accedir desde xarxes y terminals segurs.
• No guardar dades confidencials.
• Teclejar sempre la pàgina web del banc.
• Comprovar que la pàgina té un cadenat.
• Controlar els comptes de manera regular.
• Tancar la sessió.
• Desactivar l’accés de Bluetooth.
• Utilitzar l’aplicació mòbil del banc, sovint més segura que la de la pàgina web.
• Anar amb precaució amb el phishing.
Normativa:
El 14 de setembre de 2019 va entrar en vigor una llei europea (PSD2) que concerneix els pagaments digitals. Els usuaria hauran d’emprar diferents accessos per confirmar les seves accions a través de la banca online, com poden ser el DNI, la clau d’accés o un codi de confirmació enviat per SMS.
3.4 Seguridad pels smartphones
En contra del que habitualment es creu, els telèfons intel·ligents són especialment vulnerables als ciberatacs, potser fins y tot més que els ordinadors. Així doncs, cal prendre mesures de seguridad com ara descarregar-se aplicacions oficials, gestionar bé els permisos, vigilar l’accés a xarxes Wi-Fi públiques, instal·lar un antivirus, mantenir el sistema operatiu actualitzat o fer còpies de seguridad sovint, entre d’altres.
Els atacs habituals solen ser anàlogament als dels ordinadors, troians (a la banca mòbil: tot y que l’aplicació del banc és més segura que la pàgina web, igualment s’han detectat casos y tamble a la banda dels SMS), ransomware, spyware (fonamentalment extracció de dades) y darrerament, stalkerware (espionatge complet y registre en un servidor de tota l’activitat del mòbil) y el juicejacking (l’ús de ports USB per carregar la bateria dels dispositius mòbils en llocs públics).
4. PROTEGEIX-TE DINS D’INTERNET
4.1 Wi-Fi
Atacs a través de la xarxa Wi-Fi
Tenir la Wi-Fi oberta o d’accés fàcil implica, tenir la nostra connexió a internet compartida amb qualsevol y ens exposa a diferents riscos:
• Reducció de l’amplada de banda.
• Robatori de la informació transmesa.
• Connexió directa amb els nostres dispositius y a la informació que contenen.
• Responsabilitat davant d’accions il·lícites
Accions per protegir la nostra Wi-Fi:
• Canviar la contrasenya per defecte.
• Assignar un sistema de seguridad més avançat, com ara el WPA2.
• Modificar la contrasenya per canviar la configuració del router.
• Activar la restricció a MAC per connectar els dispositius que escollim a la nostra xarxa.
• Apagar el router, si no l’hem de fer servir en diversos dies.
• Mesurar la propagació del senyal perquè estigui dins dels límits de la nostra oficina.
• Rastrejar quins dispositius estan connectats a la nostra xarxa.
• Evitar l’ús de xarxes Wi-Fi públiques.
4.2 Xarxa privada (VPN)
Una xarxa VPN és una xarxa en la que no és necessària la connexió física dels dispositius (mòbils, tauletes, ordinadors…), que es pot portar a terme mitjançant internet y on les nostres dades viatgen de manera aïllada (tunel), aportant seguridad (encriptació, habitualment de 256 bits), disponibilitat geogràfica y privacitat (un servei de VPN no hauria de guardar registres de les connexions, de manera que el registre de connexions del nostre operador només mostrés connexions als servidors de VPN, no als punts finals als quals es realitza la connexió).
Què ha de tenir una VPN per considerar-se segura?
L’encriptació no sempre és suficient, hi ha una sèrie de funcionalitats que ens calen per reforçar la seguridad:
• KillSwitch
Mecanisme pel qual la comunicació s’interromp, si es perd la comunicació amb l’altre extrem de la VPN. Si no s’inclou aquesta funcionalitat a la nostra VPN, el sistema operatiu pot continuar enviant paquets d’informació a través de connexió normal, en lloc
d’enviar-los a través de la VPN.
• Pèrdues de DNS (DNS leaks)
Algunes VPN no proporcionen mecanismes de seguridad davant de fuites de DNS: quan hi ha una vulnerabilitat en el túnel de xifrat de VPN implicant que les consultes o operacions que fem estan exposades a ser vigilades. Les peticions de DNS es realitzen
per fora de la VPN, posant en risc la nostra informació y accessos.
• Pèrdues de WebRTC
Algunes VPN no proporcionen mecanismes de prevenció de fuites de WebRTC (tecnologia que permet comunicació en temps real) y ens podem trobar que, malgrat comptar amb una bona VPN en el nostre sistema, les nostres videoconferències s’emetin per un canal no protegit.
• Registres
Les lleis de molts països obliguen a empreses operadores y proveïdores de serveis de VPN a demanar registres que estiguin disponibles a petició. Si realment volem tenir una privacitat total, necessitarem utilitzar un servei de VPN que resideixi en
una regió que no obligui a demanar registres de persones usuàries.
Hi ha moltes empreses que ofereixen serveis de VPN. Tot y que n’hi ha de gratuïtes, les més segures y completes són les versions de pagament. Algunes empreses són NordVPN, ExpressVPN o PureVPN, amb un rang de preus de 3 a 5€ al mes.
4.3 Router
Algunes maneres d’augmentar la seguridad del nostre router són:
• Actualitzar el firmware del router.
• Desactivar l’accés remot.
• Configurar el router WLAN per cable, la primera vegada que el connectem a l’ordinador y quan en fem actualitzacions o manteniment.
• Canviar la contrasenya que el router té per defecte.
• Canviar l’SSID (nom o identificador que té el router) o ocultar-lo.
• Canviar els canals d’accés, si comprovem que altres routers veïns circulen pel mateix canal que nosaltres.
• Aprofitar la banda de 5 GHz, ja que és més estable y té menys interferències.
• Accés concret a persones convidades: crear una subxarxa amb la seva pròpia SSID y la seva pròpia contrasenya, sense accés a la nostra xarxa principal.
4.4 Gestor de continguts (CMS)
La majoria de vulnerabilitats a les quals ens exposem a la nostra pàgina web venen a través dels plugins, mòduls o temes que no són part del codi font del gestor de continguts.
Riscos y atacs habituals:
• Injecció de SQL: infiltració de codi intrús que aprofita un error del programari per realitzar consultes de bases de dades.
• Cross SiteScripting (XSS): permet executar un codi d’scripting, com ara VBScript o JavaScript en un lloc web.
• Atacs de força bruta: intent d’accedir a les nostres credencials per poder manipular la nostra pàgina web. Es basen en provar milions de combinacions de noms d’usuària y contrasenya fins a trobar els correctes.
• Clickjacking: enganyar a un usuari per a que faci clic en algun element (com ara un botó) que no és el que sembla. Aquest engany pot revelar informació confidencial o permetre que altres persones prenguin el control del nostre ordinador. Per exemple, una persona usuària fa clic a un enllaç a veure un vídeo y en realitat fa clic a comprar un producte en una pàgina
web aliena a la que està visitant.
• Cross SiteRequestForgery (CSRF): atac que força al navegador web de la víctima, validat en algun servei (com ara correo o internet banking) a enviar una petició a una aplicació web vulnerable. L’objectiu específic són les sol·licituds de canvi d’estat, no el robatori de dades.
Bones pràctiques per evitar vulneracions:
• Activar les actualitzacions automàtiques del CMS y els plugins.
• Usar una contrasenya forta y segura.
• Descarregar continguts només de webs oficials.
• Introduir CAPTCHAS als nostres formularis.
• Buscar un CMS amb comunitat forta per tenir suport, en cas de vulneració de la seguridad.
• Contractar un hosting segur.
• Disposar d’un certificat SSL.
4.5 Dadesde comerç electrònic
Els comerços electrònics són víctimes habituals d’atacs potencials, especialment en períodesde campanyes (nadal, black friday, rebaixes).
Riscos als que ens exposem:
• Targetes de crèdit robades
Quan una persona compra un producte a la nostra botiga online amb una targeta de crèdit robada, ja que molt possiblement el banc reclamarà aquest pagament. Aquest tipus de frau resulta especialment perillós en
aquells comerços electrònics que tracten amb productes digitals y que s’han de lliurar a la clientela de manera immediata, ja que és possible que ja haguem lliurat el producte.
• Una vulnerabilitat a la pàgina web
Per exemple, que algú canviï el preu dels productes per adquirir-los a un preu més baix. A efectes legals, és molt difícil provar que l’atac es va realitzar de manera intencionada (i no com a fruit d’un error) i, en la majoria de les vegades, el comerç haurà d’assumir el cost, sense opció a poder reclamar.
• Robatori d’informació
La sostracció de dades
Emmagatzemades a la pàgina web, com ara informació bancària de la nostra clientela, contrasenyes, dades d’accés…
• Phishing
Que ens suplantin la identitat y utilitzin el nostre nom per aconseguir informació de la nostra clientela.
• Atacs DDoS o denegació de servei
La persona atacant utilitzarà una botnet (xarxa d’ordinadors infectats y que estan sota el seu control) per llançar milers de peticions de connexió per segon al nostre comerç electrònic. El resultat serà que el servidor no podrà fer front a totes les peticions y el nostre negoci estarà inaccessible durant l’atac.
Bones pràctiques per protegir el nostre comerç electrònic:
1. Triar una plataforma de comerç electrònic segura.
2. Implementar certificats SSL.
3. Oferir formes de pagament segures, com ara les passarel·les de pagament que tenen els bancs.
4. No emmagatzemar dades sensibles, només les estrictament necessàries y per un temps determinat.
5. Instal·lar alertes d’activitats sospitoses al sistema y revisar contínuament la pàgina web.
4.6 Xarxes socials
Així mateix, les xarxes socials també poden ser font de riscos de ciberatacs.
Alguns consells per prevenir-los són:
• Correo alternatiu per registrar-se.
• Emprar contrasenyes segures.
• Vigilar l’intercanvi d’informació confidencial.
• No fer clic a enllaços de missatges de persones usuàries sospitoses.
• Compte amb les aplicacions que es descarreguen.
• Controlar els permisos d’administració atorgats amb les persones que hi treballen en les nostres xarxes socials.
• Tancar sempre la sessió, quan haguem acabat..
4.7 Protocols d’actuació
És important que tinguem traçat un protocol d’actuació (contingència) per facilitar la implementació de mesures reactives, en cas d’atac, en la major brevetat possible.
D’entrada, comencem traçant un plan bàsic y anar-lo completant a mesura que la quantitat de dades que gestionem o la complexitat de l’empresa vagi augmentant.
Punts bàsics d’actuació:
• Definició dels paràmetres d’una crisi de seguridad
Hem de definir el risc, per al nostre cas y en funció del que marca la llei, les dades y els sistemes crítics. És a dir, cal que determinem quin tipus de dades tractem y qui hi té accés, així com quins són els elements més crítics de ser vulnerables y on estan ubicats (còpies de seguridad, accés a les sales de servidors, la localització de les contrasenyes, etc.).
• Escalat d’accions y responsabilitats
Cal garantir que les persones adequades tinguin les eines necessàries per actuar en cas de crisi, com ara els telèfons y correos de
contacte de persones o empreses clau per a la gestió d’una crisi (l’empresa informàtica que gestiona les còpies de seguridad, l’empresa gestora de la pàgina web o del hosting, o l’Institut Nacional de Ciberseguridad, per exemple), així com accés àgil a les
contrasenyes o autenticacions necessàries.
• Implicacions legals en cas de crisi de seguridad
En funció de les dades que manipulem, un incident de seguridad està subjecte a diferents requisits legals, pel que fa a obligacions y terminis per exercir-los. Hem de tenir clar, doncs, quina de les nostres empreses proveïdores o personal està potencialment implicat en una situació de crisi.
• Organigrama d’acció les primeres 24-48 hores
Hem de tenir clares les tasques, funcions y comunicacions que els y les membres de l’equip han de dur a terme en un termini concret. Com, per exemple, revisar comptes bancaris, xarxes socials, gestors de correo electrònic, la pàgina web y el comerç electrònic, canviar contrasenyes a tot arreu, restablir la informació vulnerada a través d’una còpia de seguridad o avisar a INCIBE.
Cada empresa ha de desenvolupar el seu en funció de les dades que es manegen y les dimensions.
En general el protocol d’actuació ha de contemplar els següents sis passos:
1.- Preparació: Capacitar el personal per gestionar possibles incidents.
2. Identificació: Determinar si l’esdeveniment és realment un incident de seguridad.
3. Contenció: Limitar el dany de l’incident y aïllar els sistemes afectats per evitar danys afegits.
4. Erradicació: Trobar la causa de l’incident y eliminar-la.
5. Recuperació: Permetre que els sistemes afectats tornin a l’entorn de producció y garantir que no queda cap amenaça.
6. Documentar: fer un informe del cas y analitzar com ha succeït perquè el personal pugui aprendre d’això y millori els esforços de resposta futurs.
5. ALTRES
5.1 Gran volum de dades: compartir y emmagatzemar
Les plataformes d’emmagatzematge (Dropbox, Google Drive o Microsoft One Drive) y transmissió de dades (WeTransfer, Hightail o Wesendit) també poden ser font de problemes en la seguridad y privacitat de les dadesde la nostra empresa.
Emmagatzament:
Dropbox: convé activar unes opcions, que no ho estan per defecte: «Verificació en 2 pasos», revisar amb detall «Comprovació de seguridad» y activar totes les «Notificacions». En Dropbox per a negocis, de pagament, tenen algunes opcions de seguridad més exigents.
Google Drive: activar la verificació en 2 pasos.
One Drive: activar la verificació en 2 pasos y ús de «Personal Vault», que protegeix amb una clau extra les carpetes que seleccionem dins del nostre compte.
Aquestes plataformes tenen un sistema d’encriptació de les dades baix, podem fer servir programes gratuïts com ara Cryptomator.
Compartir:
Wetransfer: Lloc assenyalat com a força insegur y que ha patit nombrosos atacs. Es recomana l’ús de serveis alternatius com, plataforma de Mozilla Firefox, Hightail o Wesendit.
5.2 Vulneracions de seguridad y privacitat
Altres vies d’atac per les quals la nostra empresa pot ser atacada poden ser:
• Els navegadors web, ja que cal anar amb compte amb la instal·lació d’extensions.
• El personal, perquè gran part de les vulneracions venen de males praxis en l’equip de treball, y cal fomentar la formació.
• Ús de dispositius externs, que convé formatar-los abans d’inserir-los en el nostre ordinador.
Per altra banda, per protegir la privacitat dels nostres contactes, si hem d’enviar un correo electrònic a diferents persones destinatàries, les hem de posar en CCO o còpia oculta o fer els enviaments a través de programes de gestió de correos electrònics com ara Mailchimp, SendInBlue o MailRelay..
5.3 Denúncies
Depenent del tipus d’atac y del seu abast, els protocols d’actuació, en cas de vulneració de les dadesde la nostra empresa o de la privacitat, són diversos.
Cal notificar-ho, ales autoritats, a les persones afectades y denunciar-ho a les plataformes gestores de les xarxes socials (twitter, facebook, instagram, etc) o correo electrònic (gmail, outlook, etc).
En el cas que la vulneració posi en risc els drets y llibertats d’alguna persona, han de notificar a l’autoritat de control sense demora i, com a molt tard, 72 hores després que haguem tingut constància de l’atac. Si la vulneració de la seguridad de les dades suposa un alt risc per a les persones afectades aquestes també han de ser informadesde manera immediata.
::: Mínima introducción sobre seguridad en el mundo web (wordpress)
CONTINGUTS
2. TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
4. MÍNIMES PRÀCTIQUES NECESSÀRIES
La seguridad és el tema tecnològic en aquests dies, perquè els llocs web han estat piratejats y la tendència és creixent. Però hi ha moltes coses que podeu fer per protegir el teu lloc web.
Farem alguns breus comentaris sobre seguridad y WordPress, tractant alguns conceptes generals per ajudar-te a mantenir el lloc segur:
IDEES PRELIMINARS
- Sempre hi ha un risc
El vostre lloc web mai no pot ser 100% segur. Els pirates informàtics sempre innoven y descobreixen noves vulnerabilitats per explotar. El món en línia canvia ràpidament y el mateix passa amb la seguridad. Una bona seguridad consisteix a minimitzar el risc. Si algú intenta vendre-vos una solució 100% segura, us estafarà. Mai estaràs completament segur, però hi ha moltes coses que pots fer per minimitzar el risc. - No culpis a WordPress
La ciberdelinqüència es força activa especialment en l’entorn de major implantació web: WordPress.
És WordPress una plataforma insegura? No, depenent com de com configuris y utilitzis WordPress y sempre que s’apliquin y actualitzin les midesde seguridad adients.
Molts problemes de seguridad tenen poc a veure amb WordPress y més a veure amb les vulnerabilitats del servidor, la contaminació creuada y les contrasenyes deficients.
Conclusió: cal estar protegit y actualitzat constantment. - Seguridad y Usabilitat
Hi ha un bon equilibri entre seguridad y usabilitat. De vegades, bloquejar el lloc ho fa segur, però és difícil d’utilitzar. De vegades, fer que el teu lloc web sigui més fàcil d’utilitzar fa que sigui menys segur. Cal trobar l’equilibri. - Tipus de seguridad que necessita el teu lloc web
La seguridad té tres fases: protecció, detecció y resposta/restauració y cal complir-les totes:4.1 Protecció
En primer lloc, cal bloquejar el lloc y mantenir-lo segur:
· Impedir la intromissió en l’àmbit que ens és propi (servidor, bases de dades, web, correo, transferència de fitxers). Concretament en WordPress, substituint les portes d’accés habituals per altres amb diferent ubicació y validació reforçada.
· Amagar informació d’interès pel delinqüent (servidor, bases de dades, WordPress en quasevol dels seus àmbits).
· Protecció de l’entorn (blindatge sobre canvis en fitxers y carpetes del sistema, del servidor, configuració segura de tots els àmbits de WordPress).4.2 Detecció
Per molt bona que sigui la teva protecció, els delinqüents podrien trobar una manera de fer mal al teu lloc. I cal saber quan s’està produint un atac. L’atac no sempre serà un atac frontal complet que fa que sigui dolorosament evident que el teu lloc ha estat piratejat. De vegades, els robots insereixen un munt de codi ocult al vostre lloc, sense símptomes aparents. Mai no ho sabràs sense la detecció, per la qual cosa és necessària una monitorització constant a la cerca de codi maliciós.4.3 En cas d’atac i/o infecció
· Resposta immediata
Cancel·lació de les sessions y ips involucrades, desinfecció y eliminació de portes d’entrada per evitar la re-infecció.
· Recuperació, si s’escau
Finalment, necessites un plan per tornar a posar en marxa el teu lloc després d’haver estat malmés. Les millors estratègies de protecció y detecció encara es poden frustrar y cal estar preparat. Una bona còpia de seguridad és vital, també a banda de la seguridad.
Cal una política de còpies, automatitzada y comprovada per tal d’estar preparats per a qualsevol cosa.
TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
Fins hores d’ara, hi han força possibles atacs al teu lloc, ja que hi han molts possibles punts d’accés, ja siguin pel mateix WordPress, però també pel servidor, els usuaris, comentaris, codis de script (petits programes que executen ordres), etc.
Alguns dels més habituals poden ser aquests:
- Authentication Bypass: Forat de seguridad que permet saltar-se el formulari d’accés y accedir a el lloc.
- Brute Force: S’intenta iniciar sessió endevinant el nom d’usuari y la contrasenya del compte d’administrador (o d’un usuari).
- Cross-Site Request Forgery (CSRF): El codi s’introdueix y s’executa desde la URL.
- Cross-site Scripting (XSS): Es pot injectar codi en un lloc, normalment a través d’un camp de formulari.
- Denial of Service (DoS): Un lloc cau a causa d’un atac constant de trànsit que sol procedir d’una xarxa de màquines controlades.
- Path Traversal: Possibilitat de llistar els directoris d’un lloc y executar ordres fora de directori arrel de servidor.
- Distributed Denial of Service (DDoS): Similar a un atac DOS, excepte que les xarxes de màquines solen haver estat infectades.
- File Upload: Es pot pujar un fitxer amb codi maliciós en un servidor sense restriccions.
- Full Path Disclosure (FPD): S’exposa la ruta d’accés a la carpeta arrel de el lloc; habitualment és a causa que estan actius els missatges d’error que les mostren.
- Local File Inclusion (LFI): Un atacant és capaç de controlar quin arxiu s’executa en una hora programada que va ser configurada anteriorment.
- Malware: Un lloc o programa maliciós amb el propòsit d’infectar a l’usuari o una altra màquina.
- Open Redirect: El lloc redirigeix a un altre a causa d’alguna vulnerabilitat, sovint un lloc d’spam o de suplantació d’identitat.
- Phishing (Identity Theft): Un lloc que s’assembla a un altre conegut y de confiança, però que s’utilitza per recopilar credencials d’inici de sessió, números de targetes de crèdit, etc, enganyant l’usuari.
- Remote Code Execution (RCE): Capacitat d’executar codi en un lloc des d’una màquina diferent.
- Remote File Inclusion (RFI): Possibilitat d’executar un script extern en un lloc a què se sol carregar malware, des d’un lloc diferent.
- Security Bypass: Similar a l’Authentication Bypass, però en aquest cas permet saltar-algun sistema de seguridad establert.
- Server-side Request Forgery (SSRF): Presa de control d’un servidor, ja sigui parcial o total, per obligar-lo a executar peticions de forma remota.
- SQL Injection (SQLI): Es produeix quan en consultes SQL es poden introduir y executar desde la URL d’un lloc.
- User Enumeration: Possibilitat de trobar la llista d’usuaris d’un lloc desde la zona pública, per a posteriorment realitzar un atac de Brute Force.
- XML External Entity (XXè): Un fitxer XML que per la generació d’errors deixa exposat algun tipus de ruta, missatge o accés a informació confidencial.
CAPES DE SEGURIDAD
La seguridad dels llocs web dels nostres clients és la nostra prioritat en els nostres serveis d’alojamiento web, tant a nivell de servidor, com d’alojamiento individual y a nivell d’aplicació.
La seguridad no és una acció en concret, sinó múltiples en una sèrie de capes que afegeixes al teu lloc web -especialment en WordPress-.
Per exemple:
- La capa superior és un tallafocs de xarxa.
- La següent capa és el tallafoc de la teva aplicació (en WordPress, això sol ser un complement).
- La següent capa són les contrasenyes segures.
- La següent capa és la verificació de dos passos per a connectar-se com a administrador.
- La següent capa és moure el teu directori wp-admin a un nom diferent.
- La següent capa, no fer servir el nom «admin» per iniciar sessió.
- La propera capa és desactivar XML-RPC.
- Etc…
Cap d’aquestes polítiques aplicades a les diferents capes, per si soles farà que el teu lloc sigui segur. No obstant això, totes juntes poden fer que el teu lloc estigui prou protegit perquè els delinqüents es vagin a per una altra web amb menys seguridad.
MÍNIMES PRÀCTIQUES NECESSÀRIES
- Mantenir-ho tot actualitzat
Una de les vulnerabilitats de seguridad més grans de WordPress és el programari antic. WordPress s’actualitza amb força freqüència i, sempre que hi ha un nou problema de seguridad, llança una actualització immediatament. Però això, no et serveix de res si no mantens la instal·lació actualitzada. També has de mantenir els temes y els connectors (plugins) actualitzats, ja que també poden tenir problemes de seguridad -un connector desactivat, també és una amenaça, cal suprimir-lo-. - Contrasenyes fortes
La teva seguridad només és tan bona com la teva contrasenya. Si teniu una contrasenya senzilla, teniu un lloc senzill per piratejar. Cal utilitzar contrasenyes segures. La teva contrasenya ha de tenir números, majúscules, caràcters especials (@, #, *, etc.) y ser llarga y única. La teva contrasenya de WordPress pot incloure espais y ser una frase.
No utilitzes la mateixa contrasenya en diversos llocs. Recordar contrasenyes diferents per a diferents llocs és difícil, però un lloc piratejat és pitjor. - Gestiona els usuaris
La teva pròpia contrasenya segura no serveix de res si un altre administrador en té una de feble. Cal gestionar els teus usuaris. No tothom necessita accés d’administrador. Com més persones tinguin accés d’administrador, més possibilitats de piratejar el vostre lloc. Assegurat que només dones accés d’administrador a les persones que realment ho necessiten. I assegurat que aquests pocs administradors segueixen bones pràctiques de seguridad. - Fes còpies de seguridad
Si alguna cosa falla amb al teu lloc, és menester recuperar-lo ràpidament. Necessites un plan de còpia de seguridad. Per tal que la còpia de seguridad funcioni, ha de ser completa y automàtica. No és suficient fer una còpia de seguridad de la vostra base de dades. D’aquesta manera es desarà el contingut, però haurà de reconstruir tot el lloc, inclosos els ajustaments del tema y la configuració dels connectors. I si la còpia de seguridad no és automàtica, se n’oblidarà.
En general, als ÀMBITS D’ACTUACIÓ són:
- Entorn servidor:
Cal procurar una base el més segura possible via:
· Certificat d’encriptació (SSL/TLS).
· Còpies de seguridad distribuïdes (datacenters geogràficament diferents) y redundants d’arxius, bases de dades y emails (30 dies).
· Supervisió y administració server 24h.
· Pegats de seguridad actualitzats constantment (intel·ligència artificial contra bots maliciosos, programari base y php, escaneig y personalització).
· Regles afegides al firewall web (WAF).
· Reforçament de les polítiques de seguridad, via capçaleres de seguridad, fonamentalment per a la desactivació de portes susceptibles d’atacs. - Entorn WordPress:
Algunes accions recomanables serien:
· Assegurar la pàgina d’accés y sessions (url d’accés personalitzada, inici de sessió per ip, identificació de 2 factors -2FA-, limitar intents accés) i registre d’activitats dels visitants (registrats, desconeguts, bloquejats y hora, ip, pàgina, resposta).
. Ocultar versió wp.
· Desactivar editor temes y plugins.
· Desactivar XML-RPC: desactivació del protocol, porta de relació amb l’exterior.
· Forçar http amb seguridad de transport estricta (HSTS), via capçalera.
· Desactivar feeds RSS y ATOM: desactivació del protocol, porta de relació amb l’exterior -excepte pels blogs-.
· Protecció XSS avançada: via capçaleres en .htaccess per evitar injeccions de codi.
· Desactivar usuaris comuns.
· Tot el programari actualitzat: plataforma, tema, plugins. - Comú als 2 entorns anteriors. Infeccions:
· Desconnexió de tots els usuaris.
· Forçar restabliment de contrasenyes.
· Monitorització, detecció y neteja de malware.
· Protecció post-infecció:
·· Reinstal·lació de WordPress, si s’escau.
·· Reinstal·lació del repositori de connectors gratuïts y temes.
·· Repàs de tancament de vulnerabilitats.
· Tornar a monitoritzar, cercant sospites de re-infecció.
::: ¿Cómo se si tengo la web pirateada o infectada?
Simptomes directes:
Comportaments obvis entre d’altres, en l’operatòria de l’entorn productiu:
- Generació de finestres y anuncis emergents no sol·licitats.
- Canvi de continguts en el propi web.
- Impossibilitat d’accés a entorns de gestió, per exemple el panell de WordPress.
- Redireccions a pàgines no sol·licitades i/o enganyoses.
- Aparició de programari instal·lat sense el teu coneixement y aprovació.
- Encriptació de l’entorn local, amb missatges intimidatoris i/ o sol·licitud de pagaments per recuperar informació.
- Connexions de xarxa entrants y sortints per ports y protocols comunament no utilitzats.
No es mostren simptomes directes…:
Aquest és un context especialment conflictiu perquè permet al delinqüent piratejar a més llarg plaç, habitualment per:
- Robar informació (contactes, contingut de correspondència, dades econòmiques o privades, etc). En general, a banda de la tàctica d’explotar de la manera més ràpida el delicte, també hem de tenir en compte que es pot tractar de permetre un delicte més el·laborat y perillós, per exemple: ens intercepten un email on es fa referència a una comanda y on els delinqüents, via email i/o telèfòn, es posen en contacte amb l’empresa y exposen un cas d’urgent resolució, que argumentat pels detalls de la comanda, dóna credibilitat a la trampa, com podria ser, el canvi del nombre de compte a l’hora de fer la transferència de pagament o qualsevol altra acció -habitualment són d’acció ràpida, però es pot donar el cas en el que es vagi iniciant una trama força ben construïda y a un termini major-.
- Fer ús de la màquina infectada per a portar a terme delictes quan ho estimin: spam, incorporació a un exercit «zombie», habitualment per a l’execució d’atacs massius.
- Convertir-nos en distribuïdor de malware via correo o fitxers (pàgines, documents, tot tipus de material).
- Comunicar col·laborativament entre ciberdelinqüents, habitualment són robots, tant per informar de les portes d’accés a l’entorn, com per a propiciar major vulnerabilitat amb l’execució de codi extern, de tal manera que diferents codis maliciosos de diferents delinqüents, actuen per obrir / augmentar vulnerabilitats y executar atacs més importants y qüantiosos.
Conclusió
Cal previndre: sempre és menester fer ús d’accions de seguridad constants y actualitzades, en forma de monitorització a diferents nivells -en cas contrari, podem estar infectats y no saber-ho- y al mateix temps, portant a terme respostes immediates al davant d’una sospita o crisi manifesta.
::: Tengo la web pirateada o infectada. ¿Qué hago?
Si no tens capacitat/familiaritat d’administració sobre els serveis d’internet:
- Passa un antivirus / anti-malware sobre el teu parc informàtic y paral·lelament, contacta’ns.
Si tens capacitat/familiaritat d’administració sobre els serveis d’internet:
- Passa un antivirus / anti-malware, actualitzats a la seva darrera versió, sobre el teu parc informàtic y paral·lelament, contacta’ns.
- Connecta per FTP y descarregat tot el teu lloc web. Segons es vagi descarregant el lloc s’anirà passant l’antivirus de manera que si hi ha algun virus o malware conegut el sistema ho detectarà y tu seràs capaç de poder eliminar-lo de servidor igualment-els virus que s’executen en els llocs web, en general, no són virus que afectin al teu ordinador, de manera que si vas amb compte no hauria de passar res indesitjat-.
- Canvia totes les contrasenyes (FTP, cPanel / Plesk, SSH, etc.).
Assegurat de fer-ho des d’un ordinador segur que no està infectat per cap virus o keylogger. - No aturis o reiniciïs cap servei (servidor HTTP, etc.) ni tampoc y especialment, el servidor,perquè eliminaria detalls importants per al nostre treball.
- No modifiquis ni suprimeixis cap fitxer (fitxer infectat, portes posteriors d’escolta, etc).
- Si tens el lloc web infectat per un programari maliciós, protegiu els visitants redirigint-los a una pàgina de manteniment via un fitxer .htaccess -existeix abundant documentació en internet al respecte de redireccions via .htaccess-. Si aquest .htaccess estigués manipulat, canvia-li el nom y crea un de nou-. Així també evitaràs que el teu lloc no aparegui a la llista negra de motors de cerca com Google.
- Regenera els permisos sobre carpetes y fitxers.
- Repassa el WordPress a la recerca de configuracions o coses rares que no hagin de ser-hi.:
· Valida les les entrades y categories per revisar que no trobis cap article que no hagi de ser-hi; el mateix que amb les pàgines.
· En els mitjans, revisa la galeria per d’un cop d’ull verificar que no hi hagi imatges, fitxers ZIP o similars desconeguts.
· En les plantilles y plugins, elimina aquells que no utilitzis, y els que utilitzis confirma que estan actualitzats.
· Revisa tots els usuaris de el lloc. En cas de tenir dubtes, obliga que els usuaris hagin d’accedir amb un sistema de doble verificació.
· Força un canvi de contrasenya y canvia els Security Keys al wp-config. Aprofita a revisar en el fitxer wp-config que no hi hagi cap element que no creguis que hagi de ser-hi.
· Confirma que els textos y configuracions generals són les correctes.
· Regenera els enllaços permanents.
· Assegurat que en les carpetes en les que es pugen fitxers (per exemple, en la galeria o alguna carpeta requerida a través d’algun plugin) es pugui executar qualsevol tipus de codi, ni que existeix cap fitxer executable.
· En ocasions, el servidor web envia correos degut algun servei web específic. Si és el cas, plantejat externalitzar aquest servei d’enviament y tancaràs una porta d’entrada a intrusos.
::: Post-Hackeo. ¿Qué he de hacer?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web amb WordPress, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes y que no s’ha produït cap re-infecció durant aquest període.
::: ¿Qué acceso necesitamos para acceder a su sitio web y/o al servidor?
Necessitarem les vostres credencials per accedir directament -no per aplicatius de connexió remota (anydesk, teamviewer, etc)- via FTP / SFTP o SSH, així com un accés al tauler d’administració de WordPress. També si hi ha un tauler d’administració de servidors (cPanel / WHM, Plesk, Webmin, etc.), poder accedir-hi per investigar.
::: No tengo la web con vosotros: ¿En qué consiste la supervisión post-limipeza?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web amb WordPress, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes y que no s’ha produït cap re-infecció durant aquest període.
Nuestras propuestas de PLANES DE SEGURIDAD
- · BÁSICO ·
- Encriptación. Seguridad WordPress. 30 copias
- 0 € anuales
- · PROFESIONAL ·
- + Alta Seguridad WordPress
+ Escaneo - 400 € anuales
- · CORPORATIVO ·
- + Alta Personalización en Alojamiento
+ Rápida respuesta en caso de infección - 800 € anuales
Aplicamos una robusta política de seguridad a diferentes niveles: encriptación del tráfico web, forzar https, copias de seguridad (30 días), firewall, inteligencia artificial, actualizaciones y parches proactivos de seguridad:
- Implementación de certificado de encriptació SSL
SSL gratuito: sistema de encriptación de datos transferidos entre el navegador y el servidor, que añade una capa de seguridad para evitar intrusiones y robo de datos.
Forzar el uso de https (encriptación). - Vigilancia y prevención proactiva constante:
· WordPress: tamaños especiales anti-hackers.
· Servicio de seguimiento de vulnerabilidades wordpress.
· Actualización constante de parches de seguridad y de reglas añadidas al firewall. WAF, customización contra exploits
· IA (inteligencia artificail) contra botes maliciosos.
· SSL gratuito: sistema de encriptación de datos transferidos entre el navegador y el servidor.
· Copias diarias (30 días) - Copias diarias
Tanto las copias de seguridad manuales como las automatizadas se conservan durante 30 días después de la creación y 7 días para la nube.
Posibilidadesde recuperación:
· Todos los archivos y bases de datos
· Los archivos
· Las bases de datos
· El correo - Partner experto en copias en remoto de ámbito local (empresarial y particulares), tanto en cloud de google como de microsoft.
Ofrecen auto-gestión remota de los servicios en el área de cliente: https://agoobackup.es.
Plan Profesional
Suscripción Anual: 400 € (incluye las prestaciones del plan básico)
Mayor personalización de la plataforma WordPress.
Llevamos a cabo determinados ajustes de parámetros de la instalación de wordpress, junto acciones concretas de ámbito general y aplicable en:
Ámbitos de actuación WP:
- Protección de archivos y bases de datos:
- Asegurando la última versión estable de wp.
- Cambiar el prefijo de las bases de datos.
- Eliminar al usuario instalador y crear un nuevo administrador.
- Deshabilitar las notificaciones de pingbacks y trackbacks por entrada para posibles ataques masivos de denegación de servicio (DDoS).
- No listar directorios, bloquear archivos sensibles, bloquear archivos de instalación.
- Repasar el archivo robots.txt, para que no aparezca información relacionada con la instalación.
- Verificar / arreglar permisos de archivos y carpetas.
- Bloquear PHP en determinadas carpetas.
- Deshabilitar la edición de archivos en WordPress.
- Sitio Web > protección contra malware, exploits y acciones malintencionadas
- Bloquear y proteger las carpetas del sistema.
- Ocultar la versión de WordPress.
- Desactivar el editor de temas y conectores.
- Desactivar XML-RPC.
- Desactivar el HTTP TRACE / TRACK > para evitar algunos ataques posibles de Cross Site Tracing (XST) y Cross site Scripting (XSS) que podrían robar los datos de las cookies y alguna otra información de servidor Web.
- Desactivar los canales RSS y ATOM -excepto si hay lectores RSS del propio sitio-
- Protección XSS: para evitar ejecuciones de scripts y evitar inyecciones en mensajes de formularios de contacto, comentarios, etc.
- Eliminar el documento Readme.html por defecto.
- Añadir cabeceras de seguridad HSTS, XSS y X-Content-Type.
- Acciones de recuperación post-hackeo.
- Asegurar la página de acceso y sesiones > Dificultamos la entrada al hacker y accesos no deseados:
- Acceso de inicio de sesión IP (específica o rango) > sólo pueden acceder las IPs que designamos, para evitar ataques de fuerza bruta.
- Autenticación de dos factores para usuarios de administradores y editores.
- Forzar HTTPS.
- Desactivar sugerencias de sesión para dar la menor información posible al atacante.
- Mover el acceso de la página de administración a url personalizada.
- Limitar los intentos fallidos de acceso.
- Registro de actividades > para conocer la actividad de los visitantes (registrados, desconocidos y bloqueados):
- Qué: Hora, tipos, IP, página, respuesta.
- Quién: Desconocidos, usuarios, bloqueos.
- Filtros varios, incluidos por IP.
- Mantener la instalación de WordPress segura:
- Plugins y temas sólo de sitios reconocidos. Actualizaciones.
- Elimina información de versión de WordPress.
- Desactivar el reporte de errores por pantalla.
- Esconde la información de servidor web apache y de PHP.
Ámbitos de actuación generales:
- Nuevo sistema de escaneo
Un sistema que detecta y advierte de la presencia de malware. El sistema te permite realizar escaneos de tu sitio web a demanda y realizar escaneos completos para detectar listas negras de dominios y malware.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas. Rastrea y analiza constantemente tus archivos, páginas y dominio.
Una vez identificada la amenaza, te notifica inmediatamente para tomar medidas y limpiar tu sitio web. - Escaneos diarios
Escanea tus archivos, URL y nombres de dominio a diario y detecta el malware más reciente y las amenazas potenciales. - Informes programados
Puedes recibir informes semanales y estar informado sobre el estado de tu página web vía email. - Alertas inmediatas
Si se encuentra una amenaza, recibirás una notificación inmediata por e-mail para tomar medidas y evitar el tiempo de inactividad, la violación de datos u otros problemas.
Plan Corporativo
Suscripción Anual: 800 € (incluye las prestaciones del plan profesional)
Impide ataques via:
- Plugin de tipus Firewall
- Cabeceras de seguridad:
- Prevenir que una de nuestras páginas pueda ser abierta en un frame o iframe externo, ayudándonos a prevenir ataques tipo clickjacking
- Ataques XSS (cross-site scripting) en navegadores antiguos
- Especificar qué contenidos están permitidos cargar dinámicamente de nuestro sitio o de terceros.
- Protegernos de cargas no deseadas en estilos y scripts.
- Impedir ataques XML-RPC · Desactivar algunas aplicaciones y programas puedan comunicarse con WordPress o es de alta su uso sólo para la IP desde donde queremos.
- Cerrar la puerta delante de posibles ataques en nuestro sitio, sobre todo para ataques tipo DDoS.
Potente motor de desinfección rápida y escaneo:
Aplicamos acciones de desinfección y defensa preventiva para rechazar ataques a través de la implementación y depuración de software y políticas de seguridad en:
:: MONITORIZACIÓN Y DETECCIÓN
Incorporamos un nuevo sistema de escaneo que detecta y advierte de la presencia de malware. Este sistema permite realizar escaneos del alojamiento web a demanda y realizar escaneos completos para detectar malware y etiquetado en listas negras de dominios.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas.
Rasgos:
- Protección de vuestro sitio web
Ayuda a proteger su sitio web rastreando y analizando constantemente sus archivos, páginas y dominio. Puede identificar incluso las últimas amenazas de malware y, cuando lo hace, le notifica inmediatamente a fin de que tomamos medidas y limpiar su alojamiento.
La detección y explotación de vulnerabilidades se realiza mediante OWASP TopTen (https://owasp.org/www-project-top-ten/). - Escaneos cada 12h
Escanea sus archivos, URL y nombres de dominio y detecta el malware más reciente y las amenazas potenciales. Alertas opcionales sobre cambios de contenido e integridad de archivos principales, cada 12h. - Informes programados
Puedes recibir informes diarios o de otra periodicidad o sólo cuando se disparen alarmas, vía email. - Alertas inmediatas
Si se encuentra una amenaza, recibirá una notificación inmediata por e-mail para estar informado y tomar medidas y evitar el tiempo de inactividad, la violación de datos u otros problemas. - Monitorización y envío de notificaciones, en su caso, en cambios en los registros DNS, cada 24h.
- Monitorización Monitorización y envío de notificaciones, en su caso, en cambios en el certificado SSL, cada 24h.
:: PROTECCIÓN (infraestructura y software especializado)
- Web Application Firewall (WAF basado en la nube que filtra y bloquea activamente el acceso no autorizado y/o el tráfico malicioso).
- Ataques DDoS: protección y mitigación: Nuestra red distribuida a nivel mundial de Anycast y la entrega de contenido seguro mantienen su sitio online durante grandes subidas de tráfico y ataques masivos de DDoS.
- Ataques de Fuerza Bruta: nuestro cortafuegos de aplicaciones web (WAF) y el sistema de prevención de intrusos (IPS) proporcionan la protección necesaria contra las amenazas en el sitio web.
- Zero-day Exploits: detiene los intentos de explotación de vulnerabilidadesdesconocidos.
- Correlación Heurística: máquina que aprende a detectar comportamientos maliciosos en toda nuestra red.
:: RESPUESTAS EN CASO DE INFECCIÓN
- Desinfección rápida de malware, antes de que perjudique su reputación.
- En caso de necesidad pedimos en su nombre, la eliminación de tu sitio web de las listas negras, argumentando las acciones llevadas a cabo para demostrar la desinfección y la corrección de vulnerabilidades.
- Eliminamos las puertas escondidas (backdoors), encontrando y corrigiendo la vulnerabilidad para evitar la reinfección.
Si el alojamiento no está con nosotros, hacemos un seguimiento post-limpieza durante 30 días.. - Realizamos una copia de seguridad de todos los archivos manipulados durante el proceso de eliminación de software malicioso.
Realizamos un informe que identifica los cambios y pasos realizados en caso de infección.