Posibles amenazas a una web corporativa y cómo evitarlos
Guía de Incibe para que las empresas sepan cómo evitar posibles ataques a su web.
Los ataques a las páginas web corporativas son relativamente frecuentes. Los ciberdelincuentes buscan obtener información confidencial de la empresa o dañar su imagen.
La página web corporativa de una empresa es muy importante. Al fin y al cabo es el escaparate del negocio. Es la manera de dar a conocer los productos o servicios que se ofrecen, su filosofía, las principales características y detalles de lo que ofrecen, los precios, los servicios añadidos, etc. Es por ello que cuidarla y protegerla es vital para que la imagen de la empresa no se deteriore y no se pierdan potenciales nuevos clientes.
Principales motivos por los que se llega a dar un ataque informático
Según la guía “Ciberamenazas contra entornos empresariales”, publicado por el Instituto Nacional de Ciberseguridad de España (Incibe), estas son las razones por las que se dan incidentes de seguridad en las páginas web.
- Vulnerabilidades no parcheadas. Fallos o deficiencias en el software puede facilitar que un ciberdelincuente pueda llevar a cabo acciones delictivas como robo de información. Si estos fallos no se parchean es posible que los usuarios no autorizados puedan explotarlos en su propio beneficio.
- Malas configuraciones. En este sentido, no tener una buena contraseña de acceso o no aplicar sistemas de verificación pueden dar lugar a originar un incidente de seguridad. Desde Incibe se alerta sobre la posibilidad de mostrar más información de la necesaria o no incluir verificaciones tipo captcha.
- Errores de diseño. Otro de los errores que se indican desde el Instituto Nacional de Ciberseguridad de España es que hay portales web que no están diseñados bajo una serie de estándares de seguridad, un ciberdelincuente puede explotarlos.
Consecuencias de estos fallos en la página web
Las razones anteriores por los que se dan fallos en el diseño o estructura de la web, pueden derivar en las siguientes situaciones.
- Fugas de información. Una de las consecuencias más temidas en una web corporativa es que se produzca una fuga de información. Es decir, que el delincuente informático pueda llegar a filtrar información importante de la empresa o, incluso, confidencial de los clientes.
- Denegaciones de servicio. Según informan desde Indibe, esto se refiere al conjunto de técnicas que tienen como finalidad conseguir un servidor inoperativo. Es decir, que se pierda el control de la página web y los dueños no puedan interactuar con su contenido de forma normal.
- Inicio de otro incidente de seguridad. En el momento en el que un usuario externo vulnera la seguridad de la web puede dar como resultado fallos en otros sistemas o programas de la empresa. Por ejemplo, el correo electrónico o realizar ataques de tipo ransomware.
- Defacement. Este término es el que se utiliza para denominar a un ataque en el que se modifica la apariencia de de la página web corporativa. En su lugar lo habitual es colocar imágenes polémicas, como reivindicaciones políticas que puedan dañar la imagen del negocio.
- Ataques a terceros. También es común que se utilice la vulneración de la seguridad de una web para incurrir en otro tipo de fraudes, como la distribución de malware o campañas de phishing.
Tal y como se expone en la guía, este tipo de efectos son comunes una vez que el ciberdelincuente consigue vulnerar la seguridad. Las consecuencias pueden ser muy negativas en las empresas, llegando incluso al cierre en algunos casos. Es por ello que evitar estos ataques debe ser un objetivo principal.
Cómo evitar ataques a la web corporativa de una empresa
La guía de Incibe aporta una serie de consejos para no comprometer la privacidad y seguridad de la empresa. Para ello, se debe instaurar una política de seguridad que deberá incluir puntos como los que vamos a exponer a continuación.
- Certificado SSL. Este es el que se utiliza proteger las comunicaciones entre la página web y el dispositivo del usuario. Es la manera de evitar que un ciberdelincuente pueda robar información, como las contraseñas por ejemplo. Estos certificados SSL también son los que se utilizan para identificar la web y dar confianza a los usuarios. De hecho, si no se tiene este certificado, en la parte superior aparece un mensaje en el que se expone que la web no es segura.
- Actualizaciones de seguridad. Es importante tener las últimas versiones disponibles de los CMS y de los plugins instalados.
- Contraseñas. El nombre de usuario y la contraseña son las principales puertas de entrada a la administración de la web, por lo que escoger contraseñas robustas es muy importante para contar con una web segura. Se recomienda introducir símbolos, números, mayúsculas y minúsculas.
- Copias de seguridad. Es vital realizar copias de forma periódica y almacenarlas en un entorno seguro.
- Monitorización de tráfico. Esto sirve para identificar posibles indicios de ataques.
- Instalar sistemas de respaldo. Para poder seguir ofreciendo el servicio a los clientes, se debe instalar en un servidor uno de esos sistemas.
Es muy importante proteger la empresa poniendo en marcha sistemas como estos descritos. Es fundamental que la web corporativa esté segura y no sea accesible para los posibles ciberdelincuentes.