en sitios web

seis amenazas letales
para su sitio web
y cómo combatirlas
Libro blanco
Publicado en abril de 2013
El sitio web de su empresa constituye su punto de venta,
el escaparate de su marca y un instrumento de ventas y
marketing esencial. Ha invertido mucho dinero en crearlo y
en impulsar su tráfico. Es un recurso crítico para el negocio:
sería un desastre que ese escaparate sufriera un ataque, pues
su reputación podría verse manchada y correría el riesgo de
que los internautas dejasen de visitar su empresa. Por eso es
tan importante garantizar la seguridad de los sitios web.
Además, la gente todavía tiene ciertos recelos a la hora de realizar transacciones por Internet. Para
garantizar el éxito de su sitio web, debe dar tanta importancia a la confianza y la seguridad como
al diseño, el alojamiento, el marketing y la optimización de motores de búsqueda. Sin embargo, es
frecuente que las empresas no presten suficiente atención a estos factores, lo cual puede desembocar
en consecuencias desastrosas.
En este libro blanco comentaremos las seis amenazas que acechan a su sitio web y le sugeriremos
posibles formas de evitarlas.
1. Software malicioso (malware) en sitios web
Los servidores de sitios web pueden sufrir ataques de malware del mismo modo que los equipos de sobremesa. Cada vez es más frecuente que los cibercriminales se hagan con el control de sitios web legítimos y los
utilicen para infectar a los internautas: según los estudios de Symantec, este tipo de ataque se multiplicó por
tres en el año 2012.1
Lo peor es que los propietarios de los sitios web afectados no suelen ser conscientes del ataque hasta que
los motores de búsqueda los añaden en una lista negra o empiezan a recibir quejas de clientes que se han
infectado al visitar el sitio web. En estos casos, el efecto puede ser devastador para el tráfico del sitio web y
la confianza de la clientela.
Para atacar, los delincuentes solo tienen que comprar malware listo para el uso, como el conocido kit de
herramientas Sakura, e instalarlo en el sitio web de otra persona. A continuación, este software analiza los
equipos de los visitantes para detectar vulnerabilidades y elegir la forma más eficaz de infectarlos.2
1
Informe de Symantec sobre las amenazas para la seguridad en Internet (ISTR) 18.
Firmas de ataques de Symantec: kit de herramientas Sakura
2
(http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=25761)
¿Cómo logran los cibercriminales infiltrarse en un sitio web?
Recordemos que existen documentos y kits de herramientas
que permiten detectar sistemas vulnerables y atacarlos con
toda facilidad. Un ejemplo es el kit de herramientas LizaMoon,
que llegó a infectar millones de sitios web mediante ataques de
inyección SQL.3
Sin embargo, también hay técnicas que aprovechan
vulnerabilidades en los sistemas de gestión de contenidos,
en el software de alojamiento de sitios web o en los sistemas
operativos de los servidores.
Publicidad en Internet de un kit de herramientas de malware
Para evitar estos peligros, recomendamos lo siguiente:
•Mantenga siempre al día el software del servidor de su sitio web con los parches y las actualizaciones de
seguridad más recientes.
• Controle el acceso a los sistemas clave y utilice contraseñas seguras o autenticación de dos factores.
•Elija certificados SSL Secure Site Pro, Secure Site con EV o Secure Site Pro con EV de Symantec, que
incluyen análisis diario contra software malicioso y evaluaciones de vulnerabilidad.
2. Publicidad dañina
Otra técnica que usan los hackers consiste en usar publicidad dañina (o malvertising) para infectar con
malware sitios web legítimos que se financian con anuncios publicitarios. El año pasado, este tipo de ataque
afectó a casi 10 000 millones de anuncios.4
Este tipo de ataque resulta especialmente peligroso porque el propietario del sitio web suele tener pocos
medios para controlar qué anuncios se publican en este y de dónde proceden. Además, es posible que
los análisis convencionales no detecten una infección si el anuncio afectado no está visible durante la
exploración. Para infectar los sitios web, los hackers tienen dos opciones: comprar el espacio publicitario
mediante redes de anuncios comerciales, o bien manipular o atacar anuncios ya existentes.
Basta acceder a una página con un anuncio dañino para correr el riesgo de infectarse: por lo general, ni
siquiera es necesario hacer clic en el anuncio en cuestión. Si el internauta no tiene instalado en su equipo
un buen sistema de protección frente al malware, podría infectarse sin darse cuenta. Aun en el caso de que
detecte la infección, probablemente piense (con razón) que el sitio web en que se encuentra es peligroso y,
con toda seguridad, no se formará una buena opinión de la empresa propietaria del sitio web.
Para evitar estos peligros, recomendamos lo siguiente:
• Recurra a redes de publicidad fiables.
•Siempre que sea posible, impida que los anuncios ejecuten código (por ejemplo, utilice solo imágenes
estáticas o texto sin formato).
•Plantéese adquirir Symantec AdVantage, una herramienta de seguridad en la nube diseñada para
bloquear la publicidad dañina mediante un sistema de supervisión en tiempo real y de seguimiento del
malware hasta su origen.
3
CNNMoney: LizaMoon attack infects millions of websites (El ataque de LizaMoon infecta a millones de sitios web):
http://money.cnn.com/2011/04/01/technology/lizamoon/index.htm
4
Online Trust Alliance, información consultada el 12 de marzo de 2013, https://otalliance.org/resources/malvertising.html
3. Listas negras de los motores de búsqueda
Los motores de búsqueda como Google y Bing analizan los sitios web para detectar malware y, si lo
encuentran, los incluyen en una lista negra. Si esto le ocurriera a su sitio web, dejaría de aparecer en los
resultados de las búsquedas, con la consiguiente disminución del tráfico. De hecho, dependiendo del
navegador que utilicen, los internautas pueden incluso recibir un aviso de infección antes de entrar en el
sitio web, aunque hayan escrito ellos mismos la dirección.
Acabar en una lista negra podría tener consecuencias devastadoras para el tráfico de su sitio web y para la
reputación de su marca, lo cual echaría por tierra gran parte de la inversión realizada en optimización de
motores de búsqueda. Además, aunque resuelva el problema, es posible que pase un tiempo antes de que
salga de la lista negra.
Su sitio web también podría acabar en una lista negra en caso de infracción (real o aparente) de las
directrices de los motores de búsqueda, es decir, si intentara engañar al sistema para obtener una posición
mejor en los resultados de las búsquedas. Google ha publicado una serie de directrices sobre buenas y malas
prácticas, en las que se especifican los motivos que pueden hacer que un sitio web acabe en una lista negra.5
Se dice que Google bloquea 6000 sitios web al día.6 Incluso sitios web importantísimos, como los de
TechCrunch y The New York Times, han acabado en listas negras porque mostraban anuncios infectados,
sin que las empresas propietarias lo supieran.7
• Proteja su sitio web frente a la publicidad dañina y el malware (consulte las anteriores secciones).
• No recurra a técnicas dudosas de optimización de motores de búsqueda.
•Inscríbase en las herramientas para administradores de web de Google y Bing con el fin de recibir avisos
por correo electrónico si su sitio web acaba en una lista negra.
4. Avisos de seguridad y certificados caducados
Imagínese que está a punto de comprar algo por Internet y, cuando llega el momento de confirmar el pago,
el navegador muestra un aviso de seguridad debido a un certificado SSL caducado. Sería muy improbable
que llegara a realizar la transacción. De hecho, se lo pensaría dos veces antes de volver a visitar ese sitio
web. Del mismo modo, si caducan los certificados SSL que utiliza su empresa para proteger los servicios y las
aplicaciones en línea, la confianza de los usuarios en su marca caerá en picado.
TheVerge.com
5
Directrices de Google para administradores de web: http://support.google.com/webmasters/bin/answer.py?hl=es&answer=35769
6
http://mobile.businessweek.com/articles/2012-05-07/protect-your-companys-website-from-malware
Google Flags Ad Network isocket for Alleged Malware; Chrome blocks TechCrunch, Cult of Mac, others (Updated) [Google señala
7
una presunta infección de malware en la red publicitaria isocket; Chrome bloquea TechCrunch y Cult of Mac, entre otros sitios web
(actualización)], The Next Web, información consultada el 12 de marzo de 2013, http://thenextweb.com/google/2013/01/15/google-flagsad-network-isocket-for-alleged-malware-chrome-blocks-techcrunch-cult-of-mac-others/
USUARIOS QUE
NO REPARAN EN
LAS ADVERTENCIAS
DESAPROVECHAMIENTO
DE OPORTUNIDADES
COMERCIALES
APLICACIONES
EXTERNAS
LLAMADAS AL
SERVICIO DE
ASISTENCIA
APLICACIONES
INTERNAS
PÉRDIDA DE
PRODUCTIVIDAD
PÉRDIDA DE
CUOTA DE
MERCADO
REPUTACIÓN
DAÑADA Y PÉRDIDA
DE CREDIBILIDAD
LLAMADAS AL
SERVICIO DE
ATENCIÓN AL CLIENTE
Consecuencias de los certificados caducados por descuido y las
advertencias en el navegador
Para las empresas que tienen una gran cantidad de servidores y certificados, la gestión no resulta nada fácil.
¿Quién se ocupa de comprar y renovar los certificados? ¿Cómo se llevan los registros? ¿Cómo se evitan las
compras no autorizadas? ¿Cómo se gestionan los procesos para garantizar que los certificados se renueven
a tiempo?
Centralizar la gestión de certificados, además de ser una práctica recomendada, resulta esencial para
evitar tener que renovarlos a toda prisa en el último momento o, peor aún, dejar pasar por error la fecha
de caducidad.
Para protegerse de estos peligros, recomendamos lo siguiente:
•Haga un seguimiento de los certificados de toda la empresa para saber cuántos tiene, quiénes son sus
proveedores y cuándo caducan.
• Reúna todos los certificados en un solo sistema de gestión.
•Opte por Symantec® Managed PKI for SSL, que proporciona un kit de herramientas de gestión en la nube
que permite centralizar la gestión de los certificados y, además, realiza a diario análisis contra software
malicioso en sus sitios web públicos.
•Configure avisos y notas en la agenda para recibir recordatorios antes de que caduquen los certificados.
Symantec pone a su disposición un gestor personal que se ocupará de su cuenta y le ayudará en todos
estos procesos.
5. Usurpación de marca (phishing)
Los hackers a veces utilizan marcas y nombres conocidos para instalar malware o conseguir que
la gente revele información confidencial. A menudo, usan sitios web falsos para engañar a los
internautas. El caso más conocido de este tipo de ataque, denominado phishing, tiene lugar cuando el
defraudador imita el aspecto del sitio web de un banco para lograr que los clientes revelen los datos
de su cuenta, el número de su tarjeta de crédito y sus contraseñas.
Otra forma de engaño más reciente consiste en el uso de redes sociales por parte de los estafadores
para atraer a los internautas a sitios web falsos en los que se les pide que revelen ciertos datos (por
ejemplo, sus contraseñas de acceso a dichas redes sociales) para recibir algún premio, como cupones
o teléfonos gratis.
Estafa habitual en una red social
Sitio web falso con una encuesta ficticia
Ante la proliferación de sitios web falsos y usurpadores de marcas, es imprescindible que las
empresas de confianza protejan sus sitios web y muestren claramente que estos son legítimos.
Por ejemplo, cuando se instalan certificados SSL con Extended Validation, aparece el nombre de la
empresa y un fondo verde en la barra de direcciones para confirmar que el sitio web es legítimo.
Para obtener un certificado con Extended Validation, hay que superar un proceso de autenticación
en el que se llevan a cabo una serie de comprobaciones sobre el propietario del sitio web, con lo que
resulta más difícil fingir una identidad falsa.
Muchas de las empresas más destacadas, como Twitter y Facebook, utilizan el protocolo SSL desde
que los usuarios inician una sesión hasta que la cierran, un método al que se denomina AlwaysOn SSL. De este modo, no dejan lugar a dudas sobre la seguridad del sitio web. Con este sistema,
se cifran todas las páginas, no solo aquellas en las que se realizan pagos o se facilita información
confidencial. La principal ventaja es que los usuarios se quedan tranquilos desde el primer momento.
Para evitar problemas, recomendamos lo siguiente:
•Utilice certificados SSL con Extended Validation para autenticar su sitio web y dejar claro a los clientes
que este es legítimo.
•Plantéese adoptar el sistema Always-On SSL y los certificados SSL Secure Site Pro de Symantec, para
demostrar con toda claridad a los usuarios que pueden realizar transacciones con su sitio web sin correr
riesgos y que se cifrarán todos los datos que se transmitan.
6. Preocupación de los clientes sobre la seguridad
Ahora que se producen tantos delitos en Internet y que la seguridad despierta tanta preocupación, no es
de extrañar que los internautas tomen precauciones y busquen indicios que les garanticen que no corren
ningún riesgo. Además, hoy en día, la competencia por captar la atención de los consumidores es feroz:
hay 634 millones de sitios web8 y la gente los evalúa con gran rapidez. Por término medio, cada visita a una
página web dura menos de un minuto9 y los primeros diez segundos son fundamentales. En consecuencia,
resulta esencial demostrar la seguridad de forma claramente visible.
Si utiliza distintivos de confianza, como el sello Norton™ Secured, dejará claro que se toma la seguridad
en serio. Además, demostrará que realiza análisis periódicos del sitio web para detectar malware y otras
vulnerabilidades. Tenga en cuenta que, en una encuesta reciente, el 94 % de los participantes declararon
que era más probable que continuaran con un proceso de compra electrónica si veían este sello.10
Ejemplo de resultados con Seal-in-Search
Con sello
Sin sello
De todos modos, la confianza empieza incluso antes de que el internauta entre en su sitio web. Por supuesto, lo
primero es no acabar en las listas negras de los motores de búsqueda. Sin embargo, si además usa la función
Symantec Seal-in-Search™, los usuarios sabrán que su sitio web es seguro con solo ver la página de resultados.
Al igual que el sello Norton Secured, la función Symantec Seal-in-Search™ se incluye con la compra de cualquier
certificado SSL de Symantec.
Para evitar peligros, le recomendamos lo siguiente:
•Muestre distintivos claramente visibles en su sitio web y, a ser posible, también en los resultados de
las búsquedas, para demostrar que su sitio web es un lugar seguro y de confianza que supera análisis
periódicos contra software malicioso.
Encuesta sobre servidores web realizada por Netcraft en diciembre de 2012: http://news.netcraft.com/archives/2012/12/04/december-2012-
8
web-server-survey.html.
Jakob Nielsen’s Alertbox: How long do users stay on web pages? (¿Cuánto tiempo permanecen los usuarios en las páginas web?),
9
12 de septiembre de 2011: http://www.nngroup.com/articles/how-long-do-users-stay-on-web-pages/.
10
Estudio de Symantec realizado a internautas estadounidenses, febrero de 2011.
Elija el mejor partner
Cuando se trata de seguridad, hay mucho en juego, así que es más importante que nunca elegir un
partner conocido y con prestigio. Symantec protege más de un millón de servidores web en todo
el mundo11 con un enfoque global que abarca, además de los certificados SSL, el cifrado, la
gestión de los certificados, los análisis contra software malicioso, las evaluaciones de
vulnerabilidad, los distintivos de confianza y un largo etcétera. Además, Symantec garantiza su
propia seguridad con los estándares más exigentes: por ejemplo, sus procesos de autenticación se
someten a auditorías llevadas a cabo por KPMG y los centros de datos de su infraestructura SSL
garantizan una seguridad comparable a la que se exige para usos militares. Si quiere que su sitio
web esté bien protegido e inspire confianza, Symantec tiene lo que necesita.
Para obtener más información sobre los certificados SSL de
Symantec y sobre las ventajas que ofrecen a su empresa,
comuníquese con nosotros:
Certicamara S.A.
Tel: (57)1 3790300 ext.1404 – 1414 1415 Tel
S. Cliente: (57) 1 7442727 Op. 6
Línea gratuita nacional: 018000181531 Op. 6.
[email protected]
11
Se incluyen las empresas subsidiarias de Symantec o afiladas a esta, así como sus distribuidores.
Síganos en:
Compartir este documento:
Certicamara S.A.
Carrera 7 # 26 - 20 Piso 18
Edificio Seguros Tequendama
Bogotá D.C. - Colombia
www.certicamara.com
Symantec.certicamara.com