seis amenazas letales para su sitio web y cómo combatirlas
Libro blanco Publicado en abril de 2013
El sitio web de su empresa constituye su punto de venta, el escaparate de su marca y un instrumento de ventas y marketing esencial. Ha invertido mucho dinero en crearlo y en impulsar su tráfico. Es un recurso crítico para el negocio: sería un desastre que ese escaparate sufriera un ataque, pues su reputación podría verse manchada y correría el riesgo de que los internautas dejasen de visitar su empresa. Por eso es tan importante garantizar la seguridad de los sitios web.
Además, la gente todavía tiene ciertos recelos a la hora de realizar transacciones por Internet. Para garantizar el éxito de su sitio web, debe dar tanta importancia a la confianza y la seguridad como al diseño, el alojamiento, el marketing y la optimización de motores de búsqueda. Sin embargo, es frecuente que las empresas no presten suficiente atención a estos factores, lo cual puede desembocar en consecuencias desastrosas. En este libro blanco comentaremos las seis amenazas que acechan a su sitio web y le sugeriremos posibles formas de evitarlas.
1. Software malicioso (malware) en sitios web Los servidores de sitios web pueden sufrir ataques de malware del mismo modo que los equipos de sobremesa. Cada vez es más frecuente que los cibercriminales se hagan con el control de sitios web legítimos y los utilicen para infectar a los internautas: según los estudios de Symantec, este tipo de ataque se multiplicó por tres en el año 2012.1 Lo peor es que los propietarios de los sitios web afectados no suelen ser conscientes del ataque hasta que los motores de búsqueda los añaden en una lista negra o empiezan a recibir quejas de clientes que se han infectado al visitar el sitio web. En estos casos, el efecto puede ser devastador para el tráfico del sitio web y la confianza de la clientela. Para atacar, los delincuentes solo tienen que comprar malware listo para el uso, como el conocido kit de herramientas Sakura, e instalarlo en el sitio web de otra persona. A continuación, este software analiza los equipos de los visitantes para detectar vulnerabilidades y elegir la forma más eficaz de infectarlos.2
1
Informe de Symantec sobre las amenazas para la seguridad en Internet (ISTR) 18. Firmas de ataques de Symantec: kit de herramientas Sakura
2
(http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=25761)
¿Cómo logran los cibercriminales infiltrarse en un sitio web? Recordemos que existen documentos y kits de herramientas que permiten detectar sistemas vulnerables y atacarlos con toda facilidad. Un ejemplo es el kit de herramientas LizaMoon, que llegó a infectar millones de sitios web mediante ataques de inyección SQL.3 Sin embargo, también hay técnicas que aprovechan vulnerabilidades en los sistemas de gestión de contenidos, en el software de alojamiento de sitios web o en los sistemas operativos de los servidores.
Publicidad en Internet de un kit de herramientas de malware Para evitar estos peligros, recomendamos lo siguiente: • Mantenga siempre al día el software del servidor de su sitio web con los parches y las actualizaciones de seguridad más recientes. • Controle el acceso a los sistemas clave y utilice contraseñas seguras o autenticación de dos factores. • Elija certificados SSL Secure Site Pro, Secure Site con EV o Secure Site Pro con EV de Symantec, que incluyen análisis diario contra software malicioso y evaluaciones de vulnerabilidad.
2. Publicidad dañina Otra técnica que usan los hackers consiste en usar publicidad dañina (o malvertising) para infectar con malware sitios web legítimos que se financian con anuncios publicitarios. El año pasado, este tipo de ataque afectó a casi 10 000 millones de anuncios.4 Este tipo de ataque resulta especialmente peligroso porque el propietario del sitio web suele tener pocos medios para controlar qué anuncios se publican en este y de dónde proceden. Además, es posible que los análisis convencionales no detecten una infección si el anuncio afectado no está visible durante la exploración. Para infectar los sitios web, los hackers tienen dos opciones: comprar el espacio publicitario mediante redes de anuncios comerciales, o bien manipular o atacar anuncios ya existentes. Basta acceder a una página con un anuncio dañino para correr el riesgo de infectarse: por lo general, ni siquiera es necesario hacer clic en el anuncio en cuestión. Si el internauta no tiene instalado en su equipo un buen sistema de protección frente al malware, podría infectarse sin darse cuenta. Aun en el caso de que detecte la infección, probablemente piense (con razón) que el sitio web en que se encuentra es peligroso y, con toda seguridad, no se formará una buena opinión de la empresa propietaria del sitio web. Para evitar estos peligros, recomendamos lo siguiente: • Recurra a redes de publicidad fiables. • Siempre que sea posible, impida que los anuncios ejecuten código (por ejemplo, utilice solo imágenes estáticas o texto sin formato). • Plantéese adquirir Symantec AdVantage, una herramienta de seguridad en la nube diseñada para bloquear la publicidad dañina mediante un sistema de supervisión en tiempo real y de seguimiento del malware hasta su origen.
3
CNNMoney: LizaMoon attack infects millions of websites (El ataque de LizaMoon infecta a millones de sitios web): http://money.cnn.com/2011/04/01/technology/lizamoon/index.htm
4
Online Trust Alliance, información consultada el 12 de marzo de 2013, https://otalliance.org/resources/malvertising.html
3. Listas negras de los motores de búsqueda Los motores de búsqueda como Google y Bing analizan los sitios web para detectar malware y, si lo encuentran, los incluyen en una lista negra. Si esto le ocurriera a su sitio web, dejaría de aparecer en los resultados de las búsquedas, con la consiguiente disminución del tráfico. De hecho, dependiendo del navegador que utilicen, los internautas pueden incluso recibir un aviso de infección antes de entrar en el sitio web, aunque hayan escrito ellos mismos la dirección. Acabar en una lista negra podría tener consecuencias devastadoras para el tráfico de su sitio web y para la reputación de su marca, lo cual echaría por tierra gran parte de la inversión realizada en optimización de motores de búsqueda. Además, aunque resuelva el problema, es posible que pase un tiempo antes de que salga de la lista negra. Su sitio web también podría acabar en una lista negra en caso de infracción (real o aparente) de las directrices de los motores de búsqueda, es decir, si intentara engañar al sistema para obtener una posición mejor en los resultados de las búsquedas. Google ha publicado una serie de directrices sobre buenas y malas prácticas, en las que se especifican los motivos que pueden hacer que un sitio web acabe en una lista negra.5 Se dice que Google bloquea 6000 sitios web al día.6 Incluso sitios web importantísimos, como los de TechCrunch y The New York Times, han acabado en listas negras porque mostraban anuncios infectados, sin que las empresas propietarias lo supieran.7 • Proteja su sitio web frente a la publicidad dañina y el malware (consulte las anteriores secciones). • No recurra a técnicas dudosas de optimización de motores de búsqueda. • Inscríbase en las herramientas para administradores de web de Google y Bing con el fin de recibir avisos por correo electrónico si su sitio web acaba en una lista negra.
4. Avisos de seguridad y certificados caducados Imagínese que está a punto de comprar algo por Internet y, cuando llega el momento de confirmar el pago, el navegador muestra un aviso de seguridad debido a un certificado SSL caducado. Sería muy improbable que llegara a realizar la transacción. De hecho, se lo pensaría dos veces antes de volver a visitar ese sitio web. Del mismo modo, si caducan los certificados SSL que utiliza su empresa para proteger los servicios y las aplicaciones en línea, la confianza de los usuarios en su marca caerá en picado.
TheVerge.com
5
Directrices de Google para administradores de web: http://support.google.com/webmasters/bin/answer.py?hl=es&answer=35769
6
http://mobile.businessweek.com/articles/2012-05-07/protect-your-companys-website-from-malware Google Flags Ad Network isocket for Alleged Malware; Chrome blocks TechCrunch, Cult of Mac, others (Updated) [Google señala
7
una presunta infección de malware en la red publicitaria isocket; Chrome bloquea TechCrunch y Cult of Mac, entre otros sitios web (actualización)], The Next Web, información consultada el 12 de marzo de 2013, http://thenextweb.com/google/2013/01/15/google-flagsad-network-isocket-for-alleged-malware-chrome-blocks-techcrunch-cult-of-mac-others/
USUARIOS QUE NO REPARAN EN LAS ADVERTENCIAS
DESAPROVECHAMIENTO DE OPORTUNIDADES COMERCIALES
APLICACIONES EXTERNAS
LLAMADAS AL SERVICIO DE ASISTENCIA
APLICACIONES INTERNAS
PÉRDIDA DE PRODUCTIVIDAD
PÉRDIDA DE CUOTA DE MERCADO
REPUTACIÓN DAÑADA Y PÉRDIDA DE CREDIBILIDAD
LLAMADAS AL SERVICIO DE ATENCIÓN AL CLIENTE
Consecuencias de los certificados caducados por descuido y las advertencias en el navegador
Para las empresas que tienen una gran cantidad de servidores y certificados, la gestión no resulta nada fácil. ¿Quién se ocupa de comprar y renovar los certificados? ¿Cómo se llevan los registros? ¿Cómo se evitan las compras no autorizadas? ¿Cómo se gestionan los procesos para garantizar que los certificados se renueven a tiempo? Centralizar la gestión de certificados, además de ser una práctica recomendada, resulta esencial para evitar tener que renovarlos a toda prisa en el último momento o, peor aún, dejar pasar por error la fecha de caducidad. Para protegerse de estos peligros, recomendamos lo siguiente: • Haga un seguimiento de los certificados de toda la empresa para saber cuántos tiene, quiénes son sus proveedores y cuándo caducan. • Reúna todos los certificados en un solo sistema de gestión. • Opte por Symantec® Managed PKI for SSL, que proporciona un kit de herramientas de gestión en la nube que permite centralizar la gestión de los certificados y, además, realiza a diario análisis contra software malicioso en sus sitios web públicos. • Configure avisos y notas en la agenda para recibir recordatorios antes de que caduquen los certificados. Symantec pone a su disposición un gestor personal que se ocupará de su cuenta y le ayudará en todos estos procesos.
5. Usurpación de marca (phishing) Los hackers a veces utilizan marcas y nombres conocidos para instalar malware o conseguir que la gente revele información confidencial. A menudo, usan sitios web falsos para engañar a los internautas. El caso más conocido de este tipo de ataque, denominado phishing, tiene lugar cuando el defraudador imita el aspecto del sitio web de un banco para lograr que los clientes revelen los datos de su cuenta, el número de su tarjeta de crédito y sus contraseñas. Otra forma de engaño más reciente consiste en el uso de redes sociales por parte de los estafadores para atraer a los internautas a sitios web falsos en los que se les pide que revelen ciertos datos (por ejemplo, sus contraseñas de acceso a dichas redes sociales) para recibir algún premio, como cupones o teléfonos gratis.
Estafa habitual en una red social
Sitio web falso con una encuesta ficticia Ante la proliferación de sitios web falsos y usurpadores de marcas, es imprescindible que las empresas de confianza protejan sus sitios web y muestren claramente que estos son legítimos. Por ejemplo, cuando se instalan certificados SSL con Extended Validation, aparece el nombre de la empresa y un fondo verde en la barra de direcciones para confirmar que el sitio web es legítimo. Para obtener un certificado con Extended Validation, hay que superar un proceso de autenticación en el que se llevan a cabo una serie de comprobaciones sobre el propietario del sitio web, con lo que resulta más difícil fingir una identidad falsa. Muchas de las empresas más destacadas, como Twitter y Facebook, utilizan el protocolo SSL desde que los usuarios inician una sesión hasta que la cierran, un método al que se denomina AlwaysOn SSL. De este modo, no dejan lugar a dudas sobre la seguridad del sitio web. Con este sistema, se cifran todas las páginas, no solo aquellas en las que se realizan pagos o se facilita información confidencial. La principal ventaja es que los usuarios se quedan tranquilos desde el primer momento.
Para evitar problemas, recomendamos lo siguiente: • Utilice certificados SSL con Extended Validation para autenticar su sitio web y dejar claro a los clientes que este es legítimo. • Plantéese adoptar el sistema Always-On SSL y los certificados SSL Secure Site Pro de Symantec, para demostrar con toda claridad a los usuarios que pueden realizar transacciones con su sitio web sin correr riesgos y que se cifrarán todos los datos que se transmitan.
6. Preocupación de los clientes sobre la seguridad Ahora que se producen tantos delitos en Internet y que la seguridad despierta tanta preocupación, no es de extrañar que los internautas tomen precauciones y busquen indicios que les garanticen que no corren ningún riesgo. Además, hoy en día, la competencia por captar la atención de los consumidores es feroz: hay 634 millones de sitios web8 y la gente los evalúa con gran rapidez. Por término medio, cada visita a una página web dura menos de un minuto9 y los primeros diez segundos son fundamentales. En consecuencia, resulta esencial demostrar la seguridad de forma claramente visible. Si utiliza distintivos de confianza, como el sello Norton™ Secured, dejará claro que se toma la seguridad en serio. Además, demostrará que realiza análisis periódicos del sitio web para detectar malware y otras vulnerabilidades. Tenga en cuenta que, en una encuesta reciente, el 94 % de los participantes declararon que era más probable que continuaran con un proceso de compra electrónica si veían este sello.10
Ejemplo de resultados con Seal-in-Search
Con sello
Sin sello
De todos modos, la confianza empieza incluso antes de que el internauta entre en su sitio web. Por supuesto, lo primero es no acabar en las listas negras de los motores de búsqueda. Sin embargo, si además usa la función Symantec Seal-in-Search™, los usuarios sabrán que su sitio web es seguro con solo ver la página de resultados. Al igual que el sello Norton Secured, la función Symantec Seal-in-Search™ se incluye con la compra de cualquier certificado SSL de Symantec. Para evitar peligros, le recomendamos lo siguiente: • Muestre distintivos claramente visibles en su sitio web y, a ser posible, también en los resultados de las búsquedas, para demostrar que su sitio web es un lugar seguro y de confianza que supera análisis periódicos contra software malicioso.
Encuesta sobre servidores web realizada por Netcraft en diciembre de 2012: http://news.netcraft.com/archives/2012/12/04/december-2012-
8
web-server-survey.html. Jakob Nielsen’s Alertbox: How long do users stay on web pages? (¿Cuánto tiempo permanecen los usuarios en las páginas web?),
9
12 de septiembre de 2011: http://www.nngroup.com/articles/how-long-do-users-stay-on-web-pages/. 10
Estudio de Symantec realizado a internautas estadounidenses, febrero de 2011.
Elija el mejor partner Cuando se trata de seguridad, hay mucho en juego, así que es más importante que nunca elegir un partner conocido y con prestigio. Symantec protege más de un millón de servidores web en todo el mundo11 con un enfoque global que abarca, además de los certificados SSL, el cifrado, la gestión de los certificados, los análisis contra software malicioso, las evaluaciones de vulnerabilidad, los distintivos de confianza y un largo etcétera. Además, Symantec garantiza su propia seguridad con los estándares más exigentes: por ejemplo, sus procesos de autenticación se someten a auditorías llevadas a cabo por KPMG y los centros de datos de su infraestructura SSL garantizan una seguridad comparable a la que se exige para usos militares. Si quiere que su sitio web esté bien protegido e inspire confianza, Symantec tiene lo que necesita.
Para obtener más información sobre los certificados SSL de Symantec y sobre las ventajas que ofrecen a su empresa, comuníquese con nosotros: Certicamara S.A. Tel: (57)1 3790300 ext.1404 – 1414 1415 Tel S. Cliente: (57) 1 7442727 Op. 6 Línea gratuita nacional: 018000181531 Op. 6.
[email protected]
11
Se incluyen las empresas subsidiarias de Symantec o afiladas a esta, así como sus distribuidores.
Síganos en:
Compartir este documento:
Certicamara S.A. Carrera 7 # 26 - 20 Piso 18 Edificio Seguros Tequendama Bogotá D.C. - Colombia www.certicamara.com Symantec.certicamara.com