¿Cómo sabemos si una página web es segura?
Para tener una web más segura o con mejores condiciones de privacidad, es importante tener en cuenta algunos aspectos que pueden ayudarnos a evaluar o elegir los servicios o proveedores que vamos a utilizar. Sin embargo es importante tener en cuenta que la seguridad digital como tal no existe, y que todo sistema informático puede ser vulnerado.
Existen múltiples herramientas y configuraciones que nos pueden ayudar a prevenir ataques e infiltraciones, y también procedimientos en el caso de ingresos no autorizados a nuestros sistemas. Los sitios web vulnerados son millones alrededor del mundo. Así que no desesperemos si hemos sufrido un ataque. Mejor pensemos en qué podemos hacer para protegernos mejor y así fomentar la prevención.
Factores a considerar para tener una web segura y libre
Siempre la consideración de los factores de riesgo en una web va a depender de una serie de preguntas cuya respuesta marcará el tipo de seguridad o precauciones necesarias para nuestro proyecto.
Intentaremos esbozar algunas de estas preguntas a manera de guía rápida, aunque lo recomendado es asesorarnos con alguna persona profesional en tema de seguridad web que nos pueda brindar una consultoría personalizada para nuestro caso particular. Parafraseando a la medicina, ante cualquier duda, consulte a su técnica o técnico especializado.
Preguntas generadoras
¿Dónde está el servidor donde se encuentra o se alojará la web?
- ¿El país tiene regulaciones favorables de privacidad y libertad de expresión?
- ¿Cuáles son las características del servidor?
- ¿Esta cifrado el disco?
- ¿Quiénes tienen acceso?
- ¿Quién actualiza el servidor?
- ¿Existe una relación de confianza con quién nos provee el servicio de alojamiento?
¿Se almacenará información sensible en la página web?
Esta es una pregunta clave, ya que no es lo mismo alojar una web con información pública, que un proyecto con información sensible cómo denuncias, asuntos legales, o documentos privados como archivos, fotos, nombres y apellidos de personas, u otros datos de un colectivo cuyo acceso no es público. Dependiendo del tipo de contenido que se guardará es el énfasis que debe ponerse en la seguridad del servidor.
¿Se cuenta con una política de accesos?
Por ejemplo, se sabe quién tiene acceso al servidor, qué políticas de conexión remota tiene el servidor, si permite accesos al sistema con contraseña o sólo con llaves SSH, si utiliza algún protocolo de autenticación como PAM y otros?
¿Cual es la política de actualización del sistema del servidor?
- ¿Dónde se almacenan los registros?
- ¿La distro que usa es la última versión?
- ¿Los paquetes que usa el servidor para funcionar, están en desarrollo o son paquetes abandonados?
- ¿Que gestor o CMS utiliza o utilizará el proyecto web?
- ¿Cuáles son las vulnerabilidades conocidas de estos gestores?
- ¿Cómo será la actualización de mi gestor de contenidos?
- ¿Estoy utilizando módulos, plugins o add ons que compliquen la actualización de mis aplicaciones?
Política de SSL
El proyecto web tendrá el protocolo SSL (https) para asegurar el tráfico de la información entre cliente-servidor?
Hoy en día, una web sin SSL es una web vulnerable, cuya información entre quién nos visita y nuestra página web está comprometida ya que viaja de forma que terceras personas pueden ver la comunicación y datos surgidos a raíz de estas conexiones. Esto incluye pero no limita a información enviada por medio de formularios, nombres de acceso y contraseñas, y ni hablar del uso de datos sensibles como puede ser número de tarjetas de créditos o información sobre denuncias. Gracias el esfuerzo de la Electronic Frontier Foundation EFF, contamos con un proyecto de software libre llamado Let’s Encrypt que sirve para poder establecer certificados SSL en nuestros proyectos web de forma gratuita. Por lo que no hay excusas para no usar SSL.
Respaldos de la información
Por otro lado es importante tener en cuenta el sistema de backups o respaldos de la información. Por eso debemos preguntarnos ¿Se hacen respaldos de la página web? Y de la base de datos? ¿Estos respaldos son incrementales? ¿Son diarios? ¿Semanales? ¿Mensuales? ¿Es posible la fácil restauración de mi proyecto web si sucediera algún problema con mi sitio? ¿La base de datos de mi sitio es respaldada regularmente? ¿Se ha comprobado que los respaldos efectivamente funcionen?
Cuadro descriptivo
Herramienta | Descripción | Óptimo | Buenas prácticas | Malas Prácticas |
Información | ¿Sensible? ¿Pública? | Si la información que vamos a almacenar en el sitio es sensible tenemos que tomar medidas de seguridad fuertes para proteger la información. | Información cifrada, más medidas de protección a ataques, cambio de contraseñas rigurosamente y con periodicidad, eliminar información que ya no sea necesaria. | No revisar periódicamente la seguridad de la información. Almacenar información que ya no necesitamos. |
Accesos | Política de Acceso | Saber que empresa o persona tiene acceso a que información. La organización tiene que tener una base de datos de contraseñas donde se almacenan los accesos al hosting, dominios, pagina, etc. | Tener una política de accesos y definir cuáles y quienes tienen acceso a cada cuenta. Contar con una base de datos actualizada y respaldada de la información de acceso a las cuentas. | Tener la información en varios lados, no se sabe quién tiene acceso a qué. Se puede perder información importante si no se definen estos procesos. |
Hosting | Hospedaje de la web | Proveedor alternativo, con políticas fuertes de protección de información y seguridad. Personas de confianza que gestionan. | Que esté cifrado el servidor, que contemple estándares de seguridad y privacidad, que este alojado en países que respeten la privacidad y seguridad. | Contratar empresas que comercializan con los datos que recopilan los medatados y venden a gobiernos o empresas información. |
Dominio | Identificación de la web | Tener un dominio que proteja nuestra identidad. | Estar pendiente del vencimiento del dominio y adquirirlo en lugares de confianza y con seguridad y que sea muy fácil de transferir. | Un dominio que no se puede transferir fácilmente, que la empresa este vinculada a políticas poco claras, etc. |
DNS | Administración | Manejar un lugar de confianza para la configuración y edición. | Tener acceso a editar el DNS, saber donde se encuentra. | Perder el control del DNS no saber donde se administra y no tener acceso a editarlo. |
Gestión de contenidos (Drupal, WordPress, Moodle, etc.) | Sistema de Gestor de Contenidos | Desarrollo constante, no tiene tantos problemas de seguridad y se mantiene siempre la útima versión al día. | Actualización Constante de parches o versiones del CMS. | Abandonar la web, instalar módulos o plugins desactualizados o innecesarios. |
SSL Let’s Encrypt | Capa de seguridad y cifrado de datos | Utilizar SSL forzado en todos los dominios y subdominios y renovar en tiempo y forma, mejor aun de forma automática. | Renovar a tiempo los Certificados. | No forzar el SSL, no renovar certificados. |
Respaldos Rsync | Tener una copia de la copia de nuestro sitio web. | Contar con la copia de la copia. Cifrar nuestro respaldos, hacer los respaldos regularmente en un plazo definido. Definir una persona o empresa que realiza el respaldo. Verificar cada cierto tiempo que el respaldo existe y que está actualizado. | Que la copia de respaldo no este alojada solamente en el servidor dónde estás los datos. Definir una persona o empresa que realiza el respaldo. | Tener una copia del sitio en el mismo servidor donde se encuentra el sitio sin ningún respaldo en otra locación, no programar respaldos. No verificar regularmente el funcionamiento de los mismos. |
Más Información
¿Qué es la seguridad de sitios web?
https://developer.mozilla.org/es/docs/Learn/Server-side/Primeros_pasos/seguridad_sitios_web
Aspectos Básicos de la Seguridad en Aplicaciones Web
https://www.seguridad.unam.mx/historico/documento/index.html-id=17
Cómo crear una contraseña segura
https://blog.codigosur.org/como-crear-una-contrasena-segura/
Herramienta para diferentes comprobaciones de dominios e IPs
https://mxtoolbox.com/
Conoce todas las opciones de análisis de VirusTotal para comprobar si tienes Malware en la página web
https://www.redeszone.net/tutoriales/seguridad/virustotal-analisis-archivos-webs-malware/