Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SABER ES PODER:
GUA DE SYMANTEC SOBRE PROTECCIN DE SITIOS WEB
NDICE
Vulnerabilidades peligrosas para su sitio web
p. 2
p. 3
5291 vulnerabilidades,
frente a las
4989 vulnerabilidades
de 2011
p. 4
Qu es
Servidores sin
actualizar con
las ltimas
revisiones
Accesos de
personas no
autorizadas
Ataques de
secuencias de
comandos entre
sitios
Ataques de
fuerza bruta
Vulnerabilidades
de da cero
p. 5
2.
Para acceder a la informacin almacenada en su servidor y aprovechar las posibilidades que este ofrece.
En los servidores web se almacena informacin de todo tipo, como datos de los clientes y contraseas.
Adems, los hackers pueden usar los servidores infectados para distribuir cdigo daino (malware). En
definitiva, estos ataques pueden dar lugar a fugas de datos, desconfianza entre los clientes y reduccin de las
ventas, por lo que es importantsimo realizar evaluaciones de vulnerabilidad peridicas.
Para espiar la informacin que circula entre su empresa y los internautas. Los sitios web transmiten
informacin a los internautas (y viceversa) constantemente. Si no cuenta con certificados SSL actualizados
que cifren los datos, tanto su empresa como los visitantes del sitio web corren el riesgo de sufrir un ataque
interposicin (man-in-the-middle). Muchos sitios web, como Facebook y Google, ya han implantado la
de tecnologa SSL Always-On, que garantiza el cifrado de toda comunicacin que se establezca entre el sitio
web y el servidor, independientemente de si el visitante ha pasado o no por una pgina de inicio de sesin.8
3.
Para instalar malware en los dispositivos de los internautas. Si un cibercriminal logra inyectar cdigo
JavaScript oculto o unas cuantas lneas de cdigo que redirigen al usuario a otro sitio web capaz de instalar
malware, todo internauta que visite su sitio web estar en peligro, y lo mismo ocurrir con el dispositivo que
use para ello. El cdigo malicioso buscar vulnerabilidades en el equipo del visitante y, si encuentra una,
descargar el malware. A partir de ese momento, los hackers podrn desde registrar las pulsaciones de teclas
del usuario hasta acceder a sus archivos, pasando por bloquear el sistema o aprovecharlo para seguir
distribuyendo malware.
Para acceder a
la informacin
almacenada en su
servidor y aprovechar
las posibilidades que
este ofrece
p. 6
Para espiar la
informacin que circula
entre su empresa y los
internautas
Consecuencias tangibles
Est muy bien hablar de vulnerabilidades en abstracto,
pero no hay que olvidar que los efectos de un ataque
basado en web son muy tangibles. Encontrar ms
informacin sobre el mecanismo del malware en nuestro
libro blanco How Malware Works (Cmo funciona el
malware)9, pero tal vez le interese tambin conocer una
serie de ejemplos reales recientes que demuestran lo
peligrosas que pueden llegar a ser las vulnerabilidades:
Ataques de inyeccin de SQL: segn el reciente
informe sobre ataques a aplicaciones web elaborado por
Imperva, por trmino medio las aplicaciones web sufrieron ataques 12 das al mes. Sin embargo, en el peor
caso registrado, a lo largo de un semestre se produjeron
ataques en 176 das, lo que significa que la aplicacin
sufri ataques prcticamente a diario. La moraleja
es que las empresas deberan definir sus medidas de
seguridad en funcin del peor de los casos posibles, no
del trmino medio, concluye el informe.10
Datos sin cifrar: Kashmir Hill (periodista de Forbes)
no solo consigui encontrar una lista de viviendas con
una marca de software de domtica en concreto, sino
que tambin descubri la manera de hackear el software
y controlar los dispositivos electrnicos a distancia, y
todo ello con solo realizar bsquedas en Google. No se
necesitaba ningn nombre de usuario ni contrasea
para acceder al sistema y, adems, la lista de clientes
estaba al alcance de los rastreadores de los motores de
bsqueda, as que la encontr con facilidad y rapidez.11
Ataques de da cero: en mayo de 2013 se revel un
ataque de da cero para el kernel de Linux que poda
llegar a ser desastroso para los hosts web, pues exiga
reiniciar todo el sistema, lo cual hizo que numerosos
sitios web dejaran de estar disponibles sin previo aviso.12
p. 7
9%
De 1 501 a 2 500
2%
3%
1 001 a 1 500
501 a 1 000
5%
251 a 500
Aumento del
13 %
31 %
18 %
en 2011
De 1 a 250 empleados
En 2012, casi un tercio de los
ataques se dirigieron a empresas
de entre 1 y 250 empleados.
2012
p. 8
El WSTR de Symantec tambin revel que en 2012 aument el nmero de consumidores que visitan sitios web
con distintivos de confianza como el sello Norton Secured,
el ms conocido de Internet.15 Adems, con la tecnologa
Symantec Seal-in-Search, los internautas saben si un sitio
web es seguro antes incluso de acceder a l, porque los
motores de bsqueda muestran el sello Norton Secured
junto al nombre del sitio en los resultados de las bsquedas. De este modo, su empresa inspira ms confianza
entre los internautas, que visitarn su sitio web con la
tranquilidad de que no corrern peligro en l.
p. 9
REFERENCIAS
1. Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera,
https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf
2.
The Internet: Then and Now (Internet, antes y ahora). WhoIsHostingThis?,
http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.
3.
Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera,
https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf
4.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/campaigns/14385/es2/int/assets/symantec-WSTR1-ES.pdf.
5.
Evaluacin de vulnerabilidad de Symantec - Se siente vulnerable? Pues debera,
https://www.symantec-wss.com/campaigns/14601/es/assets/VA-WhitePaper-ES.pdf
6.
WP Sites Under Attack Across the Globe!!! (Ataques a sitios web de WP de todo el mundo!).
Synthesis, http://websynthesis.com/wp-bruce-force-protection/.
7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities.
8.
Facebook implements Always-On SSL (Facebook adopta la tecnologa SSL Always-On),
http://www.symantec.com/connect/blogs/facebook-implements-always-ssl.
9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf.
10.
Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute
(Los minoristas sufren el doble de ataques de inyeccin de SQL que las dems empresas; por trmino medio, cada 26 minutos una
aplicacin sufre un ataque), http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/.
11.
12.
How We Kept You Safe During Yesterdays Zero-Day Security Emergency (Cmo garantizamos su seguridad durante la emergencia de ayer
debida a una vulnerabilidad de da cero). Synthesis, http://websynthesis.com/zero-day-linux-exploit/.
13.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2013),
https://www.symantec-wss.com/campaigns/14385/es2/int/assets/symantec-WSTR1-ES.pdf.
14.
15.
Investigacin sobre consumo internacional en Internet realizada por Symantec WSS International: Estados Unidos, Alemania y Reino Unido,
julio de 2012.
p. 10
ACERCA DE SYMANTEC
Symantec ofrece una amplia gama de soluciones de seguridad para sitios
web, como el mejor cifrado SSL del sector, la gestin de los certificados, la
evaluacin de vulnerabilidad y el anlisis contra software malicioso. Adems,
el sello Norton Secured y la funcin Seal in Search de Symantec garantizan
a los clientes que en su sitio web pueden realizar bsquedas, navegar y
comprar sin ningn peligro.
Para obtener ms informacin, visite www.symantec.es/ssl
Symantec
Symantec Website
Website Security
Security Solutions
Solutions
Vulnerabilidades
peligrosas
para Report
su sitio2013
web
Website Security
Threat
SGANOS