Todavía hoy es difícil explicar a un cliente la importancia de un buen mantenimiento de seguridad en su página web. Por desgracia, algunas empresas no acaban de entender su relevancia hasta que han sufrido un ataque y han tenido que pagar las consecuencias. Desde EMESA estamos preocupados y ocupados en ofrecer la máxima garantía de seguridad. Son muchas las empresas que no son consciente de las vulnerabilidades hasta que tienen el problema encima, y no merece la pena pasar por esto teniendo una solución a tu tranquilidad a un coste muy bajo.
Las razones de esta problemática son múltiples, y parte de la culpa recae sobre los propios proveedores de servicios web y de ciberseguridad. Aunque suene muy técnico y muy profesional, para un cliente final, hablar de conceptos tan ambiguos como XSS o SDE no sirve absolutamente para nada.
A lo largo de este artículo vamos a intentar explicar las consecuencias reales para las empresas de una vulneración de seguridad en su página web.
Trasfondo técnico de la seguridad web
Si nos centramos en los datos oficiales la mayoría de los ataques que reciben las páginas webs se engloban dentro de estas categorías:
- XSS (cross site scripting)
- SQL Injection
- Code Injection
- DOS (Denial of Service)
- Data Breach
Estos 5 tipos de ataque constituyen más del 75% de las vulneraciones web actuales. Sin embargo, como hemos comentado anteriormente, son palabras técnicas que no significan nada para el cliente, aunque las consecuencias de los mismos se transforman rápidamente en pérdidas de productividad y rentabilidad para su empresa.
Sí que es importante entender que todas las webs del mercado son potencialmente vulnerables a estos ataques. En informática no hay sistema 100%, y menos aún en el mundo de las soluciones en la nube que están siempre disponibles para recibir todo tipo de actividades fraudulentas en la nube. Profundizaremos más en esto en el siguiente punto.
Panorama actual de la seguridad web
Actualmente la mayoría de las webs funcionan bajo gestores de contenidos. Si nos basamos en uno de los motores de estadísticas más importantes de internet, W3Techs, más del 60% de las webs usan uno, y si nos vamos al sector de las webs corporativas o pequeños e-commerce el porcentaje aumentaría mucho más.
La elección de un gestor de contenidos para los proyectos web tanto por parte de los clientes como de las empresas se fundamentan en buscar soluciones estándares, con costes reducidos y desarrollo permanente que garantice la continuidad del proyecto a largo plazo.
Dentro de estos gestores, el rey absoluto es Wordpress, con una cuota de mercado del 65% aproximadamente, otros gestores y tiendas online utilizados con frecuencia son Joomla, Drupal, Prestashop y Magento. Analizar las vulnerabilidades y problemas de cada uno de estos gestores daría para una gran cantidad de artículos. Pero para entender el panorama actual de la seguridad web, basta con ver el número de parches de seguridad del último año de cada una de estas plataformas:
- Wordpress: 65 (entre todas sus versiones mantenidas)
- Joomla: 11
- Drupal: 42 (entre todas sus versiones mantenidas)
- Prestashop: 9
- Magento: 8
No hay un solo gestor de contenidos que no reciba actualizaciones de seguridad con periodicidad casi mensual. Y eso teniendo en cuenta que hablamos del software base, la web habitual de una empresa tiene un montón de extensiones que a su vez han de recibir sus propios parches para mantener la aplicación asegurada.
Hay que entender además, que estos parches, que una vez se publican, son accesibles para todo el mundo, se aplican porque las webs ya han sido vulneradas, y los hackers intentan lanzar ese ataque contra todas las webs que encuentren en internet que no están actualizadas. Se puede decir, que no realizar los mantenimientos apropiados a la web, son la garantía más directa para recibir un hackeo.
Otro punto relevante, como respuesta a un pensamiento generalizado que es “mi empresa no es tan grande como para que un hacker se fije en ella”, es que las vulneraciones de seguridad web no funcionan siempre de ese modo. Muchos hackers generan sistemas automáticos preparados para navegar por internet de forma aleatoria intentando lanzar un ataque contra esa vulnerabilidad. Estos ataques realizados por “bots” suceden continuamente en todas las webs, solo que la mayoría simplemente no afectan a una web en cuestión (por ejemplo, contra un Joomla podrán llegar todos los ataques diarios de wordpress que sea que no tendrán ningún efecto en el gestor).
No obstante, nada de esto responde a la principal duda de una empresa a la hora de decidir si debe asumir el coste de un mantenimiento de seguridad, o no, y es la pregunta: ¿Y si no pago el mantenimiento, qué me puede pasar?
Consecuencias de una vulneración de seguridad web para la empresa
Si no se realiza un mantenimiento de seguridad apropiado, el hackeo es prácticamente inevitable. Los panoramas más comunes que nos encontramos al auditar la página web hackeada de una empresa, por orden de menor a mayor gravedad son:
- Web Fuera de Servicio: Sencillamente la web no funciona, sólo es un error crítico para negocios que se basan en su imagen en internet (comercios electrónicos y negocios basados en el SEO).
- Contenidos ilegítimos: Aparecen en la web contenidos no autorizados por su propietario que pueden tener diferentes fines, casi todos enfocados al fraude o las actividades ilegítimas.
- Envíos de mail fraudulentos: Uno de los hackeos más comunes es usar una web hackeada enviar correos de forma fraudulenta a otras cuentas de correo electrónico. Normalmente para difundir encriptadores o fraudes. Los más avanzados puede mandar facturas en nombre de la empresa con una cuenta bancaria de terceros.
- Fraudes de ecommerce: Este tipo de hackeos específicos de las tiendas online, son realmente graves, porque consiguen cambiar las pasarelas de pago, y todas las compras realizadas son ingresadas a la cuenta del hacker.
- Secuestros de datos: Si la web almacena datos sensibles, el hacker puede robarlos y pedir rescate bajo la amenaza de publicar esos datos en canales de gran difusión. Es importante saber que la empresa está legalmente obligada a avisar de estas fugas de datos a las autoridades, si no se hace, se está cometiendo un delito con sanciones muy graves.
Además de la gravedad de cada hackeo comentado, tenemos que tener en cuenta dos puntos críticos:
- Es muy importante entender que una web hackeada recibe una penalización enorme en su posicionamiento orgánico y tardará meses en recuperarse, si alguna vez lo consigue).
- El dominio de la empresa entrará en lista negra y no se podrán mandar correos desde las cuentas de correo. Entrarán a spam o directamente serán rechazados por los proveedores de internet. Esta situación puede durar meses incluso después de subsanar el problema de seguridad.
Desde EMESA nos ponemos a tu disposición, conocemos el mercado y las horribles consecuencias de no estar bien protegidos. Solicita un consultoría gratuita y te analizaremos la web para ofrecerte un plan de seguridad personalizado y a un coste muy bajo. Estaremos encantados de poder atenderte, son ya muchas las empresas que confían en nosotros.
Roberto Sainz, Responsable Departamento Web EMESA Software
