Contenido
Introducción
La presencia en línea a través de sitios web no solo implica la creación de una plataforma digital, sino también la gestión, administración y configuraciones básicas de seguridad digital. La falta de medidas de seguridad adecuadas en los sitios puede tener graves consecuencias, como la pérdida de datos sensibles o el acceso no autorizado a información privada.
En el contexto de la defensa y promoción de los derechos humanos, los sitios web son vulnerables a diferentes ataques, que veremos más adelante. También veremos cómo protegerse contra estas amenazas.
La seguridad en los sitios web es una responsabilidad compartida entre quienes lo gestionan y lo usan. En conjunto, podemos prevenir resultados indeseados. Aquí exploraremos las estrategias clave para lograrlo.
¿Por qué es importante?
Te presentamos algunos datos para dimensionar la relevancia de la seguridad de sitios web.
-
- Protege la información almacenada en las bases de datos de una empresa ante ciberataques, accesos no autorizados y manipulaciones de datos por personas malintencionadas. En países como Chile, México, Argentina y Colombia la seguridad digital juega un papel cada vez más crítico, ya que las empresas de estas zonas han tenido un promedio de pérdidas de 2,8 millones de dólares durante el 2022, a causa de haber sido víctimas de algún tipo de ataque informático.
- Alarga la vida útil de los equipos informáticos al evitar que se contagien con programas malignos que los ralenticen, disminuyan sus recursos computacionales, borren sus datos, etc.
- Protege los valiosos datos y activos que se encuentran en los servidores de una organización.
- Resiste mejor ataques de terceros desde Internet y así se consigue mitigar intrusiones remotas, ataques man in the middle, inyecciones de código malicioso, ataques DOS y DDOS.
Conceptos básicos
Cuando hablamos de seguridad digital de sitios web nos referimos a todos aquellos mecanismos que podemos implementar para asegurar que nuestros sitios web estén lo mejor protegidos contra ataques digitales.
Los sitios web funcionan esencialmente como se ve en el diagrama que sigue:
En el esquema se observan 3 elementos generales, los clientes, el Internet y el Servidor. Tanto clientes como servidores tienen características diferentes. Los clientes, por un lado, se componen de dos partes:
Dispositivos: A menudo celulares, tablets, computadoras de escritorio, laptops, entre otros.
Agentes: en inglés user-agent están principalmente representados por navegadores, aplicaciones, bots, etc.
Los servidores, por otro lado, los hay de diversos tipos, tanto en su aspecto físico como digital. Se puede trabajar con servidores directamente o con servicios que proporcionan acceso a servidores.
Servidores
Existen tres tipos de servidores físicos: Torre, Rack y Blade.
El servidor tipo torre se usa normalmente para pequeñas empresas y asociaciones. Es el más económico, pero esto no implica que le falte potencia, ya que son, por lo general, bastante escalables. Dentro de la torre se encuentran todas las características técnicas necesarias: procesadores, tarjeta de red, discos duros, RAM, etc.
El servidor tipo rack está hecho para apilarse uno encima de otro, de tal manera que se pueden tener varios de estos servidores en un espacio reducido. Su uso es más frecuente en empresas y asociaciones que, con el tiempo, necesitarán de más servidores.
Los servidores tipo blade son servidores que ocupan muy poco espacio y, por lo general se utilizan en data centers, es decir en centros de datos (o granjas de servidores) donde la capacidad de procesamiento que se necesita y el almacenamiento suele ser muy grande. Justo en los data centers es donde normalmente se almacenan los sitios web que viven en servidores “rentados”. Estos pueden ser de tres tipos. Desde el punto de vista de los servicios de acceso a servidores, podemos encontrar de almacenamiento compartido, servidores dedicados o VPS (Virtual Private Server):
Almacenamiento compartido: diferentes sitios web tienen accesos a los mismos recursos de un sólo servidor. Por lo general los servidores ya vienen configurados de antemano, de tal manera que las opciones de configuración pueden llegar a ser algo reducidas, pero la configuración es mucho más sencilla. También, en este tipo de servidores, los problemas que afectan un sitio web, podrían afectar a los otros; además, dependiendo del uso de ancho de banda que tenga cada sitio, algunos podrían ralentizarse.
Servidores dedicados: estos son servidores físicos que se rentan en su totalidad. Pueden escalarse y no se comparte con nadie más sus recursos.
VPS (Virtual Private Server): un servidor virtual privado usa una tecnología en la cual, en un servidor físico, se virtualiza un servidor (de ahí lo virtual) al cual se le pueden otorgar distintas características técnicas como número de procesadores, espacio de almacenamiento y memoria RAM. Las ventajas de este tipo de servidores es que, en la medida que sea necesario, las especificaciones técnicas pueden ir cambiando. En el caso de los servidores virtuales, normalmente tendremos un programa que nos ayudará a administrar este servidor.
Recomendamos el empleo de cPanel porque su uso es frecuente y el manejo sencillo.
Sistema de Gestión de Contenidos (CMS)
Adicional a este programa de administrador de servidores, necesitaremos un programa llamado Sistema de Gestión de Contenidos (CMS por sus siglas en inglés).
Imagina que tienes una vitrina de tienda, y cada cierto tiempo necesitas cambiar los productos que exhibes, los precios, o incluso la decoración. Podrías pedir asesoría externa cada vez que necesitas hacer un cambio, o podrías tener un sistema que te permita hacer esos cambios directamente, sin necesidad de conocimientos especializados. Eso es, en esencia, lo que hace un CMS, pero en lugar de una vitrina física, estamos hablando de tu sitio web.
Un CMS, o gestor de contenidos, es como una caja de herramientas digital que te ayuda a construir y mantener tu sitio web sin necesidad de escribir o entender código. Es como un armario lleno de estantes y cajones donde puedes guardar y organizar tus textos, fotos, videos, y cualquier tipo de contenido digital que desees mostrar en tu sitio web. El CMS que es, probablemente, el más utilizado es WordPress, también recomendamos Drupal.
WordPress es como el supermercado más grande y popular de las herramientas CMS. Empezó siendo una especie de libreta de notas para bloggers, pero con el tiempo creció hasta convertirse en una tienda gigante donde puedes encontrar de todo para construir tu sitio web, desde plantillas prediseñadas (como las casas prefabricadas) hasta pequeñas aplicaciones llamadas «plugins» que añaden funcionalidades específicas a tu sitio, como un carrito de compras o un formulario de contacto.
Drupal, por otro lado, es como una tienda especializada en herramientas de construcción. No es tan intuitivo como WordPress y podría parecer más complejo al principio, pero ofrece un nivel de personalización y flexibilidad muy alto. Es como si, en lugar de comprar muebles prefabricados, pudieras diseñar y construir tus propios muebles a medida. Es ideal para proyectos que requieren soluciones más específicas y personalizadas.
Si bien este texto está enfocado en servidores web (es decir, servidores cuya meta principal es conectarse a Internet y hacer disponible un servicio, en este caso una página web), es importante tener en cuenta que los usos de los servidores físicos pueden ser muy distintos. Se puede usar un servidor dentro de una organización sin que esté conectado a Internet para funcionar como alojamiento centralizado de recursos, por ejemplo. También vale la pena destacar que existen otros tipos de servidores web que no abordaremos particularmente aquí, entre otros: de correo, FTP, IRC, NTP, etc.
¿Qué riesgos y amenazas acechan a los sitios web?
Al abordar la seguridad de los sitios web debemos preguntarnos: ¿Qué información de mi servidor web quiero proteger y contra qué amenazas específicas? Cada servidor web tiene sus propios riesgos, dependiendo del contenido que maneje y de su funcionalidad.
¿Estás consciente de las vulnerabilidades únicas de tu servidor? Antes de implementar soluciones de seguridad al azar, recomendamos realizar una evaluación de riesgos. Esto te permitirá priorizar y defender las áreas más esenciales de tu servidor web. ¡Mantén tu sitio protegido y a la medida de tus necesidades!
¿Qué tipos de ataques digitales se suelen dirigir contra los sitios web?
Desde Protege.la el área de seguridad digital SocialTIC, desarrollamos una tipología para clasificar y entender los distintos tipos de ataques que enfrentan los sitios web. Esta clasificación nos permite diseñar mejores estrategias de defensa y anticiparnos a posibles amenazas. Apoyándonos en la tipología, identificamos tres ataques principales que afectan a los sitios web:
Aunque hay robustos sistemas de seguridad en las empresas que ofrecen almacenamiento compartido y VPS, es diferente si tu sitio web está en un servidor físico propio. En ese caso, proteger el acceso físico es crucial. La estrategia de seguridad de un sitio web debe adaptarse al tipo de contenido y al perfil de riesgo. No es lo mismo proteger un blog personal que un portal de noticias con datos sensibles. Algunos atacantes buscan vulnerar sitios web sin objetivos claros. Por ello, es esencial que las personas y equipos responsables de un sitio web consideren implementar y actualizar prácticas de seguridad digital.
¿Qué buscamos para asegurar un sitio web?
Sugerimos llevar a cabo estas medidas con apoyo técnico, desde el área de seguridad digital de SocialTIC, podemos apoyarte a revisar esta lista de comprobación. Escríbenos a seguridad@socialtic.org
Higiene digital
-
- Controla los permisos de acceso: Limita quién puede ver o editar partes específicas de tu sitio, como publicaciones o archivos. Al segmentar los permisos, un problema con un usuario no comprometerá todo el sitio.
- Ajusta quién ve tu información: Decide si tu contenido es público, solo para contactos o para personas específicas. Personalizar la visibilidad asegura que solo las personas adecuadas accedan a la información, reduciendo riesgos de exposición indebida.
- Revisa y depura tu servidor: Regularmente, verifica la información almacenada y elimina lo que ya no es necesario. Menos información almacenada significa menos datos en riesgo en caso de un ataque.
- Realiza copias de seguridad regularmente: Dependiendo del contenido generado, respalda semana o mensua. Puedes automatizar este proceso, pero siempre guarda una copia fuera del servidor principal. Tener respaldos actualizados te permite restaurar tu sitio rápidamente en caso de problemas.
- Crea imágenes o snapshots en el servidor. Estos ofrecen una rápida restauración de todo el entorno del servidor en caso de fallos.
- Crea respaldos detallados según la herramienta. Cada componente de tu sitio es esencial y necesita su propia protección.
- En cPanel (o software similar): Guarda archivos, bases de datos y configuraciones.
- En el gestor de contenidos: Asegura contenidos, temas y plug-ins.
- Cifra la información sensible en las copias de seguridad. Si sucede que alguien accede de forma no autorizada a tus respaldos, no podrá leer la información sin la clave.
- Verifica la integridad de tus copias. Confirma que la información esté actualizada, completa y correcta. Un respaldo es útil solo si refleja fielmente tu sitio actual.
Ante ataques técnicos
-
- Limita los intentos de inicio de sesión: Implementa un sistema que bloquee o retrase intentos consecutivos de inicio de sesión fallidos. Esto desalienta a los atacantes y previene los intentos de fuerza bruta, protegiendo tu sitio de accesos no autorizados.
Adopta buenas prácticas con tus contraseñas
-
- Longitud Mínima de 16 Caracteres. Esto aumenta la complejidad y dificulta los intentos de adivinación o ataques de fuerza bruta.1
- Uso de frases aleatorias. Crea frases que se compongan de 4 a 6 palabras aleatorias2, añade algunos números y mayúsculas y sustituye los espacios entre las palabras por símbolos. Si utilizas palabras medio inventadas, mejor aún, ya que esto añade un nivel extra de dificultad para adivinar o descifrar la contraseña, pues no se encuentran en diccionarios. Algunos ejemplos ¡No uses estos ejemplos! Son solo ilustrativos:
- Santa_Frio_7Ser_Pientes
- Murciégalos+Hantónimos=3Murcielónimos
- Renueva anualmente tus contraseñas. Esto reduce el riesgo a largo plazo, en caso de que una contraseña se haya visto comprometida sin tu conocimiento.
- Mantén tus contraseñas privadas y si necesitas compartirlas, utiliza canales y herramientas seguras.
- Usa un gestor de contraseñas para resguardarlas en un lugar seguro y crear contraseñas robustas sin tener que recordarlas todas.
Fortalece tus contraseñas
-
- Evita pistas obvias. No utilices pistas de contraseña que faciliten a un adversario adivinar o probar múltiples contraseñas hasta dar con la correcta.
- Cuidado con las preguntas de seguridad:
- Trátalas como contraseñas, pues a menudo pueden usarse como sustituto de tu contraseña en caso de que la olvides o pierdas. En ese caso, cumplen la función de la contraseña: permitir el acceso a tu cuenta.
- Evita preguntas de seguridad predecibles (como el nombre de tu primera mascota) ya que para un adversario podría ser más fácil responder estas preguntas que adivinar tu contraseña.
- Evita que las preguntas entre tus cuentas sean las mismas.
- Verifica la fortaleza de tus contraseñas. Utiliza las herramientas especializadas que recomendamos para verificarlo. Hemos escogido estas herramientas con mucha cautela; la idea es que tus contraseñas tarden siglos en ser descifradas con la tecnología disponible en el momento.
- Revisa frecuentemente las filtraciones de datos: Evalúa que tus contraseñas y otros datos no se hayan filtrado en Internet debido a alguna brecha en las cuentas que usas, y si encuentras una cuenta tuya comprometida, cambia la contraseña de inmediato. Dependiendo de tu gestor de contraseñas, podrías recibir informes automáticos sobre la seguridad de estas.
Evita las malas prácticas con contraseñas
-
- Evita reutilizar las contraseñas para minimizar el riesgo de compromiso en múltiples servicios en caso de una brecha de seguridad o incidente.
- Excluye información personal identificable o deducible en tus contraseñas, ya que esto podría facilitar la tarea de los atacantes que tienen conocimiento sobre ti.
- Almacenarlas en un lugar seguro. No guardes tus contraseñas en lugares como post-its, hojas de cálculo o libretas; en su lugar, utiliza gestores de contraseñas seguros que cifren tu información.
- Evita usar patrones predecibles en contraseñas, ya que los atacantes pueden identificarlos fácilmente. Un patrón muy conocido para cumplir con los requerimientos de seguridad de las contraseñas es del tipo: Contraseña123!. El patrón es sencillo: iniciar con una mayúscula, seguir con algunas minúsculas, incluir un número al final y terminar con un símbolo. Si tus contraseñas son así, nuestra recomendación es cambiarlas pronto.
Adopta la Autenticación de Dos Factores
Esta tecnología añade un segundo nivel de seguridad a tus cuentas. Tras ingresar tu email y contraseña, se te solicitará un código, el cual es aleatorio. En 2FA Directory puedes buscar si las cuentas que usas tienen esta opción. Te recomendamos activarla al menos en:
-
- Aplicaciones de mensajería instantánea
- Redes sociales
- Correo electrónico
- Almacenamiento en la nube
Por otra parte, hay varias formas de recibir el código:
- SMS o llamada telefónica, no recomendados por la posibilidad de interceptación relativamente fácil
- Correo electrónico, aunque mejor que los SMS, pueden ser interceptados o comprometidos más fácilmente que otros métodos de 2FA
- A través de una aplicación dedicada o llave física es nuestra mayor recomendación, pues no requieren acceso a Internet, no revelan información personal y ofrecen protección superior ante phishing.
- Resguarda bien tus códigos de recuperación en un lugar seguro y accesible solo para ti, ya que pueden ser vitales si pierdes acceso a tu método de 2FA. Estos códigos son tu salvavidas en caso de que tu dispositivo de 2FA se pierda o se dañe, permitiéndote acceder a tus cuentas y actualizar tus opciones de 2FA.
Se puede incorporar la autenticación en dos pasos en WordPress con los siguientes plugins:
Ante la Intervención de sistemas y dispositivos
-
- Actualiza tu servidor regularmente. Esto evita que atacantes se aprovechen de vulnerabilidades antiguas en tu sistema operativo.
- Elige software original y de confianza. Te garantiza seguridad y funcionalidad sin sorpresas.
- Usa solo el software esencial para tu web. Menos software significa menos vulnerabilidades y un control más sencillo del sitio.
- Mantén las aplicaciones y plugins al día. Esto incluye herramientas de administración como cPanel y los gestores de contenidos como WordPress o Drupal. Es importante porque las actualizaciones suelen corregir fallos y mejorar la seguridad.
- Mantén Todo Actualizado: Actualiza regularmente tu CMS y sus complementos (plugins, temas, módulos y núcleo) para protegerte contra vulnerabilidades conocidas.
- Backups Regulares: Realiza copias de seguridad frecuentes para no perder datos en caso de un problema. La copia debería incluir: base de datos, plugins, temas.
- Instala antivirus o antimalware para detectar y prevenir infecciones o actividades no autorizadas.
- Activa y mantén un firewall.3 Esto añade una capa extra de protección contra amenazas externas, defendiendo tu sitio.
Ante ataques de denegación distribuída de servicios (DDoS)
-
- Utiliza un CDN (Content Delivery Network)4 para tu web. Esto acelera la carga de tu sitio, reduce el ancho de banda y puede ayudar a proteger contra algunos tipos de ataques, como los de denegación de servicio.
Protege a tus visitantes
-
- Configura HTTPS con certificados de seguridad (TLS). Así, se asegura una conexión protegida para tus visitantes, resguardando los datos que intercambian con tu sitio.
Seguridad de WordPress
-
- Instala herramientas de seguridad específicas para WordPress. Por ejemplo: WordFence, Sucuri, iThemes Security, AIOS. Estas herramientas están diseñadas para proteger tu sitio WordPress contra amenazas específicas, optimizando la defensa y la gestión de la seguridad.
¿Qué hago en caso de acceso no autorizado a mi servidor?
Si alguien ha obtenido acceso no autorizado a tu servidor web que utiliza WordPress, pero aún tienes acceso a él, es importante tomar medidas inmediatas para garantizar la seguridad de tu sitio web y servidor. A continuación, los siguientes pasos que debes seguir.
⚠️ NOTA IMPORTANTE
Sugerimos leer previamente la lista de acciones antes de llevarlas a cabo. Para implementar estas medidas con apoyo técnico, desde el área de seguridad digital de SocialTIC, podemos apoyarte. Escríbenos a seguridad@socialtic.org
- ambia las contraseñas:
- Cambia la contraseña de tu servidor.
- Cambia la contraseña de tu cuenta de administrador de WordPress.
- Si tienes otras cuentas de usuario en WordPress, cambia estas contraseñas también.
- Reconfigura la autenticación en dos pasos.
- Realiza copias de seguridad:
- Realiza una copia de seguridad completa del sitio web y base de datos antes y después de tomar estas medidas.
- Revisa y elimina cuentas no autorizadas:
- En tu panel de administración verifica la lista de usuarios registrados en tu sitio web y elimina cualquier cuenta no autorizada.
- Revoca permisos innecesarios:
- Asegúrate de que los usuarios tengan los permisos apropiados. Los usuarios deben tener acceso solo a lo que necesitan para su función específica.
- Verifica los archivos y directorios del sitio:
- Escanea los archivos y directorios de tu sitio web en busca de cualquier archivo desconocido o sospechoso. Si encuentras algo, elimínalo.
- Asegúrate de que los archivos legítimos no hayan sido modificados.
- Actualiza WordPress y plugins:
- Asegúrate de que WordPress y todos los plugins están actualizados a la última versión.
- Escanea en busca de malware:
- Utiliza un software de seguridad como Sucuri, Wordfence o MalCare para escanear tu sitio en busca de malware y amenazas.
- Investiga el incidente:
- Investiga cómo el atacante pudo acceder al servidor para evitar futuros ataques similares.
- Mantén un registro de incidentes:
- Documenta todas las acciones tomadas y los hallazgos en relación con la brecha de seguridad.
- Considera buscar ayuda profesional:
- Si no sabes cómo abordar la situación, considera contactar con una organización especialista en seguridad web para ayudarte a limpiar y asegurar tu sitio web. ¡Claro que puedes escribirnos! Contáctanos en seguridad@socialtic.org. También puedes contactar a Chequea.la.
Si estás bajo un ataque DDoS
-
- Contacta a los proveedores del servicio de defensa para que te ayuden.
Siguientes pasos
Para continuar fortaleciendo la seguridad de tu sitio web, es vital tener las herramientas correctas que protejan todos sus componentes esenciales.
En la lista de herramientas encontrarás herramientas específicas y categorizadas para cada ámbito de seguridad que tú y tu sitio web necesitan.
Adicionalmente, para responder eficazmente ante cualquier incidente de seguridad que pueda surgir, ya que ninguna solución es 100% a prueba de fallos. Te sugerimos:
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.
- La longitud de una contraseña es más determinante para su fortaleza que la complejidad debido al aumento exponencial de posibilidades que introduce. Por ejemplo, una contraseña de 12 caracteres tiene muchas más combinaciones posibles que una de 6 caracteres, incluso si la más corta utiliza una mezcla de tipos de caracteres. Los atacantes a menudo utilizan ataques de fuerza bruta o diccionarios de contraseñas comunes, y una contraseña más larga requiere más tiempo y recursos para ser adivinada en estos escenarios.
- Utilizar palabras aleatorias en un «passphrase» (frase de contraseña) ayuda a crear una contraseña fuerte y difícil de adivinar. Los atacantes a menudo utilizan diccionarios de palabras comunes, nombres, fechas importantes, etc., en sus intentos de adivinación. Una combinación aleatoria de palabras, especialmente si incluyen letras mayúsculas y minúsculas, números y símbolos, proporciona una mayor complejidad y resistencia frente a estos métodos de ataque, haciendo que la adivinación o el desciframiento sean significativamente más difíciles.
- Un firewall es similar a un guardián digital para tu computadora o red. Imagina un portero en un edificio lujoso que verifica a cada visitante antes de permitirle entrar. De la misma forma, el firewall examina el tráfico de datos que quiere entrar o salir y, basándose en reglas preestablecidas, decide si lo permite o lo bloquea. Su principal tarea es mantener a raya las amenazas, como virus o hackers, asegurando que solo las conexiones seguras y confiables tengan acceso. Es una de las primeras líneas de defensa en seguridad informática.
- Un CDN (Content Delivery Network) es una red de servidores distribuidos globalmente que almacenan y entregan contenido web, como imágenes y videos, de manera eficiente a los usuarios finales. Esto mejora la velocidad de carga de las páginas y reduce la carga en el servidor principal, mejorando así el rendimiento y la experiencia del usuario.