WHITEPAPER El futuro de la protección de sitios...
Transcript of WHITEPAPER El futuro de la protección de sitios...
El futuro de la protección de sitios web
WHITEPAPER
UN NUEVO CONCEPTO DE CONFIANZA
Proteja su empresa, su marca y a sus clientes frente a la evolución constante de las amenazas.
2 I Symantec Corporation
Hoy en día, tanto las empresas como el mercado están evolucionando, y los ciber-delincuentes siguen inmersos en una guerra tecnológica contra el sector de la seguridad. No es de extrañar, por tanto, que los medios necesarios para velar por la seguridad de un sitio web o de Internet en general también estén cambiando.
Este documento analiza los riesgos, retos y oportunidades
que supone esta realidad desde un punto de vista técnico
y empresarial, y explica cómo elaborar una estrategia de
seguridad viable a largo plazo.
Un mercado que cambia y madura constantementeLos riesgos aumentan día a día. Las amenazas cibernéticas
son cada vez más numerosas y complejas y, a raíz de ataques
sonados como Heartbleed, existe una mayor preocupación por
las vulnerabilidades y por sus consecuencias para las empresas
y sus clientes si alguien llegara a explotarlas.
Todo esto está impulsando un modelo de defensa más basado
en la prevención, mientras que antes la tendencia era respon-
der a cada incidente. Ahora que los datos importantes están
dispersos en un gran número de dispositivos e incluso en apli-
caciones alojadas en la nube, los responsables de TI no tienen
una visión completa de los usuarios ni de los derechos de
acceso en todos los entornos. Esta falta de control y visibilidad
amplía la superficie de ataque de los ciberdelincuentes y
aumenta en gran medida los costos y la dificultad para propor-
cionar una solución de protección eficaz.
Además, los presupuestos de seguridad no aumentan al mismo
ritmo que las amenazas, lo que obliga a las empresas a tomar
riesgos calculados y a invertir solo en las áreas más urgentes.
La ciberseguridad está pasando a formar parte de la gestión
empresarial y de riesgos, con lo que el rendimiento se ha vuelto
tan importante como la protección y hay más presión para
reducir los costos operativos y la inversión de capital.
En consecuencia, muchas empresas están tratando de simpli-
ficar la gestión de sus operaciones de seguridad, reducir el
número de proveedores y adoptar entornos de soluciones
consolidados que permitan automatizar más procesos y tener
acceso centralizado a la información útil.
Los servicios de seguridad en la nube, una tendencia que cobra
fuerza en todos los ámbitos informáticos, son una forma eficaz
de controlar los costos y, al mismo tiempo, mejorar la agilidad
y la flexibilidad. Sin embargo, en el caso de la ciberseguridad,
existe una diferencia importante: la reticencia a externalizar.
Un momento crítico para la seguridad de los sitios web y de Internet en general La seguridad web se encuentra en fase de transición, pues
ahora que hay tantos dispositivos móviles y servicios en la
nube, no es fácil visualizarlos y controlarlos todos. Los ataques
se están volviendo más complejos y reiterados, y los agresores
son más selectivos a la hora de elegir a sus víctimas. Cada vez
más sitios web legítimos se utilizan para distribuir malware y
spam, y los ataques de ransomware se hacen más frecuentes.
Muy pocas empresas optan por desechar las soluciones exis-
tentes para responder a estas nuevas amenazas, ya que hacer-
lo sería costoso y chocaría con su política interna. Lo habitual
es ir adoptando nuevas líneas de defensa cada vez que surge la
necesidad, dando prioridad a las amenazas más graves.
Esta es la razón por la cual los proveedores tratan de ofrecer
soluciones de seguridad cada vez más potentes, con una
cobertura más amplia y modelos SaaS o híbridos que
complementen las soluciones de protección tradicionales.
3 I Symantec Corporation
Los autores de malware firman sus creaciones maliciosas con certificados digitales robados para que no las detecten los antivirus tradicionales ni otros mecanismos de defensa.
El futuro de la protección de sitios web
4 I Symantec Corporation
El futuro de la protección de sitios webEn casi todas las interacciones con los clientes, si no en
todas, el sitio web es un escaparate público y un instrumento
comercial de gran importancia. El problema es que, muchas
veces, también es la parte más vulnerable de la empresa.
Mientras que un buen sitio web puede ser garantía de éxito,
uno malo puede conducir irremediablemente al fracaso.
Para garantizar el futuro de su empresa, es indispensable
que tanto las aplicaciones como el sitio web cuenten con
mecanismos de protección eficaces. Así, sus activos y opera-
ciones estarán a salvo, sus clientes y empleados tendrán una
opinión más favorable sobre usted y, además, mejorará la
interacción con ellos.
Las oportunidadesCuando se habla de protección de sitios web, no es frecuente
que salga a relucir la palabra «oportunidad». Pero lo cierto
es que sí existen oportunidades, y no solo para los ciber-
delincuentes sin escrúpulos.
Internet se está convirtiendo en un lugar cada vez más
peligroso. En la actualidad, más del 40 % de la población
mundial está conectada1 y los ingresos procedentes de las
ventas por Internet superan los 2,2 billones de dólares2: todo
un estímulo para los ciberdelincuentes. Cada día surgen más
de un millón de nuevos tipos de malware, obra de bandas
con financiación externa3 entre cuyos medios de distribución
favoritos se encuentran los sitios web de empresas, seguidos
de las aplicaciones para móviles y otros programas.
Atraiga y fidelice nuevos clientes
Por suerte, los internautas ya son más conscientes de estos
peligros y evitan hacer transacciones en sitios desprotegidos.
Según las investigaciones, las empresas que demuestran de
forma visible que se preocupan por la seguridad de quienes
visitan su sitio web (por ejemplo, mostrándoles el sello Norton
Secured o la barra de direcciones verde) consiguen más clics
y obtienen tasas de conversión más altas.
Además, al proteger el sitio web y las aplicaciones frente al
malware y los ataques, se mejora el rendimiento y el tiempo
de actividad, lo que brinda a los clientes una experiencia más
homogénea y satisfactoria.
Una red nunca puede ser totalmente inmune a los ataques,
pero sí pueden tomarse medidas para protegerla de la mayoría
de las amenazas. Más del 75 % de los sitios web legítimos
presenta vulnerabilidades conocidas pero sin resolver4,
y este es precisamente el blanco en el que la mayoría de
los ciberdelincuentes centran sus esfuerzos. Por tanto, la
oportunidad radica en formar parte del 25 % restante a través
de la detección regular de malware y otras vulnerabilidades.
Mejore su reputación
Por último, ahora que cada vez se hacen públicos más inci-
dentes de seguridad, cabe destacar la importancia de contar
con un historial completamente limpio. Si su sitio web no
se ha visto envuelto en ningún escándalo, su empresa y su
departamento de seguridad ganarán muchos puntos.
1. http://www.internetlivestats.com/internet-users/2. https://hostingfacts.com/internet-facts-stats-2016/3. https://www.symantec.com/connect/blogs/latest-intelligence-october-20164. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
El futuro de la protección de sitios web
5 I Symantec Corporation
Los riesgosPara determinar cuánto se debería invertir en proteger el sitio
web y las aplicaciones web, primero hay que cuantificar los
riesgos financieros (y también algunos de otro tipo).
Riesgos que ponen en peligro los activos y las operaciones de la empresa
Los casos de robos masivos de datos están aumentando a un
ritmo alarmante. Hace poco, Yahoo5 reveló que más de mil
millones de cuentas podrían haberse visto afectadas por un
incidente de este de tipo, lo que da una idea muy clara del
riesgo que existe.
La gravedad de cada caso depende de factores como el valor
de la propiedad intelectual de la empresa, el efecto inmediato
que la interrupción del servicio tendrá sobre los ingresos y el
posible perjuicio económico que ocasionaría la mala reputación
y la pérdida de la confianza de los clientes.
Los riesgos se manifiestan principalmente de
dos maneras:
• La infiltración de un hacker, de programas autónomos
o de una combinación de ambos con uno o varios de los
objetivos indicados a continuación:
• Trobar o manipular datos confidenciales (por ejemplo,
su base de datos de clientes);
• servirse de los recursos informáticos de la empresa
para atacar otros sitios web, infectar a los internautas
con malware o enviarles spam;
• bloquear los archivos importantes de la empresa o
interrumpir el servicio del sitio web para exigir el pago
de un rescate (lo que se conoce como ransomware);
• aprovechar la notoriedad de un sitio web para mejorar
el posicionamiento de otros mediante técnicas de
black-hat SEO (en concreto, la inserción ilícita de
enlaces de retroceso);
• impedir el acceso a páginas web públicas como forma
de protesta (el denominado hacktivismo) o, en casos
más raros, por pura diversión.
• realizar ataques de denegación de servicio para inutilizar
servidores públicos (ya sea mediante un envío masivo de
solicitudes o la explotación de alguna vulnerabilidad del
servidor).
En solo un mes aparecieron 96,1 millones de nuevos tipos de malware6.
5. https://www.wsj.com/articles/yahoo-discloses-new-breach-of-1-billion-user-accounts-1481753131 6. https://www.symantec.com/connect/nl/blogs/latest-intelligence-october-2016?page=1
6 I Symantec Corporation
Riesgos que ponen en peligro la reputación de la empresaPérdida de confianza de los clientes
Los clientes que hacen transacciones en su sitio web confían
en la capacidad de su empresa para proteger su privacidad y,
hasta cierto punto, para velar por su seguridad en Internet
ahora y en el futuro. Si alguien espía sus sesiones, roba sus
datos personales o infecta con malware sus dispositivos
de acceso mientras navegan por el sitio web o lo usan para
descargar archivos, esa confianza se romperá de inmediato.
Cuando se roban los datos de un cliente, se pone en peligro
mucho más que los datos de su tarjeta de crédito. Aunque
estos tienen cierto valor en el mercado negro, a los ciber-
delincuentes suele interesarles más la información personal
identificable (el nombre y la dirección del cliente, números
de identificación de carácter administrativo como el de la
seguridad social o su historial médico), con la que se puede
usurpar la identidad del propietario o crear documentos de
identidad falsos.
Peor posicionamiento en los buscadores
Algunos incidentes de seguridad no solo hacen que los
clientes y otras partes interesadas tengan una mala opinión
sobre la empresa, sino que también arruinan la reputación
del sitio web en los motores de búsqueda.
Google bloquea automáticamente un promedio de 10 000
sitios web al día, lo que equivale a borrarlos de los resultados
de las búsquedas. Algo así puede perjudicar a una empresa
que obtenga la mayoría del tráfico y las ventas a través de la
búsqueda orgánica. Salir de la lista negra puede llevar meses
y, aun después, tal vez haya que hacer una inversión notable
en SEO para recuperar el posicionamiento en las páginas de
resultados de los motores de búsqueda (SERP).
El riesgo de infringir la normativa
En algunos países o sectores, su empresa no solo se expone
a la pérdida de confianza de los clientes y a todo lo que
esta conlleva, sino también a sanciones por incumplir la
legislación o la normativa sectorial aplicables.
En Europa, el reglamento general de protección de datos7
multa a quienes no protegen adecuadamente los datos
personales de los ciudadanos europeos.
En algunos casos, como el incumplimiento deliberado de la
ley de protección de datos del Reino Unido7, la infracción no
se salda con una multa, sino que el personal de la empresa
podría enfrentarse a procesos judiciales e incluso a penas
de prisión.
Según un estudio de Econsultancy, casi el 50 % de los clientes que abandonan una transacción en Internet lo hace por falta de confianza8.
7. http://www.eugdpr.org/8. https://econsultancy.com/blog/7730-why-do-consumers-abandon-online-purchases/
7 I Symantec Corporation
Riesgos no financieros
Nadie quiere exponerse a acabar en la cárcel debido a un
incidente de seguridad web grave, pero aunque no se llegue a
esos extremos, el simple hecho de sentirse responsable tiene
consecuencias psicológicas.
Velar por la seguridad del sitio web de una gran empresa
es una gran obligación Si su empresa pierde millones de
dólares de ingresos y ve arruinada su reputación, parte de
la responsabilidad podría ser suya aunque usted no lo sepa.
Y si miles de personas descargan malware de su sitio web y
algunas pierden los ahorros de toda una vida, también será
indirectamente culpable. Los trastornos resultantes (estrés,
insomnio, pérdida de tiempo) no suelen tenerse en cuenta,
pero a veces son la peor consecuencia para quienes los sufren.
Reducción del riesgoEvidentemente, no es posible eliminar todos los riesgos
mencionados, ya que cada semana surgen nuevas vulnera-
bilidades de día cero (ataques que se realizan por primera
vez y que explotan vulnerabilidades desconocidas hasta ese
momento).
Sin embargo, con los componentes tecnológicos adecuados y
un entorno de protección de sitios web completo y sin fallas,
su empresa estará a salvo de la mayoría de las amenazas. La
clave es armonizar y reforzar la seguridad del sitio web para
mejorar la protección en general y reducir el perfil de riesgo
hasta niveles aceptables.
Proteja sus sitios web y refuerce la seguridad de su empresa Hay tres aspectos básicos que ayudan a mantener
protegido un sitio web a corto y a largo plazo:
Tener una visibilidad ininterrumpida y en tiempo real de
la seguridad del sitio web.
Si no ve ni comprende el riesgo real o desconoce si cumple
o no la normativa, le será prácticamente imposible tomar
decisiones acertadas y adoptar las medidas necesarias para
proteger el entorno del sitio web.
Lo mejor es utilizar una solución que armonice la visibilidad
y aporte información sobre la seguridad general del sitio
web mediante una amplia gama de funciones, incluida la
posibilidad de consultar al instante si los servidores web, las
aplicaciones y los datos están protegidos.
Contar con soluciones ágiles que faciliten el control
Las soluciones de seguridad que carecen de adaptabilidad
hacen a las empresas más vulnerables a los ataques y
les impiden crecer. Para detectar amenazas avanzadas y
responder a ellas con rapidez sin perder el control, la agilidad
es un aspecto cada vez más importante.
Muchos negocios ya están tratando de integrar todos los
servicios en una única solución que, al agilizar y reforzar la
seguridad del sitio web, haga también más ágil a la empresa.
Contar con un buen modelo de seguridad por niveles
Mantener protegido el entorno de un sitio web es difícil
y lleva tiempo. Muchas empresas intentan resolver este
problema acumulando soluciones de distintos proveedores de
seguridad, lo que se ve reflejado en una cierta incoherencia
que dificulta la protección del sitio web y crea puntos débiles
que los ciberdelincuentes no dudan en aprovechar.
En la actualidad, los directivos exigen que el personal se
responsabilice en mayor medida del rendimiento y las
operaciones de la empresa. Sin embargo, estas expectativas
no van acompañadas de un aumento de la plantilla ni del
presupuesto de seguridad, por lo que es fundamental
utilizar una solución de protección de sitios web multinivel,
multipunto y con una gran interoperatividad
En las siguientes secciones, se analizan algunas de las
tecnologías más útiles para reducir los riesgos de
seguridad y conseguir lo que buscan las empresas como
la suya: protección exhaustiva y en profundidad, así como
una visibilidad y agilidad mayores.
8 I Symantec Corporation
Herramientas de administración de certificados SSL/TLS para empresas
Certificados SSL/TLS con Extended Validation
Es fundamental que sus sitios web inspiren confianza para
que quienes los visitan sepan que pueden hacer transac-
ciones sin temor.
Una de las maneras más seguras de proteger las sesiones web
de los clientes es cifrar las claves públicas que se transmiten
entre el servidor web y el navegador. La forma más habitual
de hacerlo es combinar los protocolos TLS (Transport Layer
Security) y SSL (Secure Sockets Layer, su antecesor).
Con este sistema, se inicia una sesión protegida mediante
HTTPS, un protocolo más seguro que el HTTP. Siempre que
sea posible validar los certificados del sitio web, todos los
datos transmitidos a partir de ese momento pasarán a estar
cifrados, lo que se mostrará mediante un candado en la barra
de direcciones del navegador.
Los certificados con Extended Validation también son útiles
para inspirar aún más confianza a los clientes. Con ellos, la
barra de direcciones del navegador se muestra en verde y se
ve qué entidad legal controla el sitio web.
Criptografía de curva elíptica
Pese al uso generalizado del cifrado SSL/TLS, desde 2009 se
han detectado varias vulnerabilidades9 que han impulsado la
búsqueda de soluciones más seguras.
La criptografía de curva elíptica (ECC) es una de las alterna-
tivas al cifrado RSA estándar que se emplea en la tecnología
SSL tradicional. El cifrado ECC de 256 bits no solo utiliza
un algoritmo más avanzado y 64 000 veces más difícil de
descifrar que el sistema RSA estándar de 2048 bits10, sino
también una clave más pequeña (de solo 256 bits), que
requiere muchos menos ciclos de CPU para cifrar los datos, lo
que reduce los costos y mejora el rendimiento del sitio web.
Otra opción en la actualidad son los certificados SSL/TLS
híbridos, que combinan la raíz RSA estándar con las ventajas
de la criptografía de curva elíptica. ¿El resultado? Un servidor
más seguro y eficiente.
Problemas relacionados con la gestión de certificados
En principio, las tareas de gestión de los certificados con los
que se cifran las sesiones web o se firma el código parecen
relativamente sencillas: registrar los datos de cada nuevo
certificado en una hoja de cálculo, mantenerlos actualizados y
renovar los certificados cuando vayan a caducar.
Muchas empresas gestionan de esta manera su entorno
de certificados, pero cuanto más complejo sea este y más
certificados se administren, es más probable que se cometan
errores humanos, se infrinja la legislación o la normativa y
aumenten otros riesgos.
9. https://www.us-cert.gov/10. Publicación especial 800-57 del NIST (parte 1, revisión 4), titulada «Recommendation for Key Management», enero de 2016 http://dx.doi.org/10.6028/NIST.SP.800-57pt1r4
9 I Symantec Corporation
Todo esto permite distinguir cuatro tipos de retos
relacionados con la gestión de certificados. Para no
sucumbir a las amenazas cibernéticas, que seguirán
siendo cada vez más frecuentes y complejas, habrá que
diseñar estrategias para abordarlos todos:
1. Infracción de políticas: identificación y gestión de los
certificados que infringen las políticas de la empresa.
2. Cumplimiento de la normativa del sector: identi-
ficación y gestión de los certificados que incumplen la
normativa del sector.
3. Amenazas y vulnerabilidades: identificación y gestión
de los certificados que hacen vulnerable a la empresa o
la exponen a determinadas amenazas.
4. Capacidad de gestión: adopción de herramientas de au-
ditoría, elaboración de informes y detección de deficien-
cias que ayuden a combatir los tres riesgos anteriores.
Caducidad de los certificados
Si se equivoca al escribir los datos de algún certificado o se
olvida de registrarlos, lo más probable es que la fecha de
caducidad también se le pase por alto. Con frecuencia, los
certificados caducados son la principal causa de la interrup-
ción del servicio o del incumplimiento de la normativa, por lo
que es muy recomendable usar soluciones que detecten los
certificados de forma automática.
Estado de los certificados
Tal vez esté seguro de que los datos de todos los certificados
que ha comprado se han registrado correctamente, pero
¿tiene manera de comprobar si no hay ningún certificado mal
instalado?
Si no puede inspeccionar cada certificado por separado
para determinar qué nivel de cifrado utiliza o cómo está
configurado en el servidor, difícilmente podrá saber si su
empresa está bien protegida, cumple la normativa y no está
expuesta a riesgos innecesarios.
Una vez más, una solución de detección automática de
certificados permite consultar el estado de cada certificado
de manera sencilla y eficaz.
Vulnerabilidades de los certificados
En 2014, se descubrió que OpenSSL estaba afectado por la
vulnerabilidad Heartbleed, lo que obligó a reemitir alrededor
de medio millón de certificados SSL/TLS en todo el mundo11.
Tras publicarse la noticia, las empresas necesitaban evaluar
con urgencia si sus servidores web corrían peligro. Si fueran
po cos, habrían podido hacerlo manualmente, pero muchas
tenían decenas, cientos o miles, y la detección manual tenía
varias desventajas: más riesgos, más gastos operativos y
más trabajo para un personal de seguridad informática ya
desbordado.
Para reducir el riesgo y los costos, se recomienda utilizar una
solución automatizada que permita consultar en tiempo real
el inventario de certificados SSL y las configuraciones de
servidor asociadas a cada certificado.
Otros sistemas
La seguridad está en constante evolución. Sin ir más lejos,
las directivas del CA/Browser (CAB) han provocado la
desaparición de los algoritmos SHA-1, y hay sistemas que
pueden quedarse desfasados a raíz de estos cambios. Nos
referimos, por ejemplo, a dispositivos de gran importancia
para las empresas (terminales de punto de venta o cajeros
automáticos, entre otros), plataformas de desarrollo y otros
dispositivos especializados. Aunque estos dispositivos siguen
necesitando certificados SSL/TLS que los protejan, algunas
autoridades de certificación ya no los emiten.
11. https://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
Análisis contra software malicioso y evaluaciones de
vulnerabilidad
Aunque el hacking y el malware pueden evitarse, muchas
empresas siguen siendo víctimas de estos ataques, ya que no
se someten a las comprobaciones de seguridad más básicas.
Las consecuencias son alarmantes. Google bloquea unos
10 000 sitios web al día, y los dominios afectados tardan
un promedio de seis semanas en aparecer de nuevo en los
resultados de búsqueda12.
Algunos incidentes son aún más graves, como los ataques
de denegación de servicio distribuida (DDoS), que pueden
inutilizar por completo un sitio web y deteriorar gravemente
la experiencia del cliente, las transacciones y la fidelidad, con
las consiguientes pérdidas económicas y de prestigio.
Para que el sitio web esté protegido, todos los elementos
del entorno (las páginas web, las aplicaciones, el software
del servidor y los puertos de red) deben someterse de forma
periódica y automática a evaluaciones de vulnerabilidad y
análisis contra software malicioso.
Servicios de protección de aplicacionesFirma de código
El software distribuido de su empresa estará más protegido
si usa una infraestructura de clave pública (PKI) para firmar
todo el código digitalmente con claves criptográficas de
seguridad. Así, será difícil infectarlo con malware y los
clientes no pondrán en duda su integridad, autenticidad o
procedencia.
Antes de que los clientes usen por primera vez una aplicación,
podrán ver los datos del certificado (de un modo u otro según
el sistema operativo) y verificar que proviene de su empresa
y que nadie lo ha manipulado. También es posible incluir
información sobre la versión y otros metadatos.
Al igual que con la tecnología SSL/TLS, se recomienda utilizar
claves EV (Extended Validation) y determinadas opciones de
implantación, como el uso de claves únicas, la rotación de
claves o los grupos de claves.
Problemas relacionados con la firma de código
Comprar los certificados necesarios para firmar el código
de las aplicaciones es sencillo y económico. Sin embargo,
gestionar y controlar este proceso de un modo que asegure
el acceso a las claves sin que corran peligro es sumamente
complicado, sobre todo en las grandes empresas de
desarrollo de software.
Retrasos en el lanzamiento de productos
Para que solo los desarrolladores autorizados tengan acceso
a las claves de firma de código y no las compartan con otras
personas, hay que adoptar flujos de trabajo y métodos de
aprobación rigurosos. En empresas con plantillas grandes
y dispersas, esto no solo supone una inversión de recursos
considerable, sino que puede retrasar de forma inaceptable el
lanzamiento de productos.
10 I Symantec Corporation
1,4 millones de servi-dores web seguían corriendo peligro una semana después de que Heartbleed saliera a la luz13.
12. http://www.forbes.com/sites/drewhendricks/2013/11/11/avoid-googles-blacklist-by-protecting-your-business-site/#18eccadb40ad13. https://zmap.io/heartbleed/
11 I Symantec Corporation
Robo de claves
Adoptar flujos de trabajo y procedimientos de aprobación
complejos no elimina el riesgo de que los creadores de
malware se apropien de las claves. En algunos casos, el robo
de claves de firma se debe al uso de métodos imperfectos;
en otros, a que los desarrolladores tienden a incumplir las
normas (por ejemplo, al compartir las claves con compañeros
cuando están apurados). Pero sea cual sea el motivo, las
consecuencias son siempre igual de graves.
Como nos recuerdan los medios, hasta las empresas mejor
estructuradas y con más experiencia y recursos pueden ser
víctimas del robo de claves: un duro golpe para su reputación
que puede costarles millones de dólares, tanto por la pérdida
de ingresos como por la inversión necesaria para recuperar su
buen nombre.
El problema es que ahora los usuarios son más precavidos y es
más difícil lograr que instalen malware y lo ejecuten. Además,
como las autoridades de certificación se han vuelto más estric-
tas con la emisión de certificados, ha surgido un pujante mer-
cado negro en el que se comercia con claves de firma robadas.
A menudo, una empresa solo se da cuenta de que alguien ha
robado sus claves cuando los clientes la acusan en masa de
estar distribuyendo malware. Una vez detectado el problema,
lo mejor para evitar males mayores es revocar las claves
robadas, volver a firmar todo el software afectado con claves
nuevas cuya seguridad no esté en entredicho y, por último,
lanzar una nueva versión del programa.
Compatibilidad con distintas plataformas
Dado que los métodos de firma de código varían según la
plataforma, puede ser necesario comprar herramientas
distintas para cada plataforma y aprender a usarlas por
separado. Por ejemplo, las aplicaciones de Windows van
rotando distintas claves públicas de confianza, mientras que
las de Android usan una sola clave durante toda la vida útil
de la aplicación (incluidas las actualizaciones). Java, Adobe
y otras plataformas tienen también sus propios requisitos,
lo que significa que si la persona que firma el código de las
aplicaciones de Windows no sabe cómo firmar el código de
Java (o viceversa), tal vez haya que interrumpir las tareas de
desarrollo cuando esté ocupada o de vacaciones.
Seguimiento, auditoría y elaboración de informes
Con la firma de código ocurre lo mismo que con la gestión de
certificados SSL/TLS: lo difícil es mantener la visibilidad y el
control sin que el negocio pierda la agilidad que necesita para
alcanzar sus objetivos comerciales.
Las hojas de cálculo y otros procesos manuales solo sirven
para las operaciones más pequeñas.
Un sistema que permita obtener y compartir las claves
nunca será infalible si se basa en la idea de que los
empleados cumplirán estrictamente una serie de normas
preestablecidas. La solución es que los desarrolladores solo
accedan a las claves de forma puntual a través de un servicio
en la nube sólido y seguro que sea prácticamente imposible
de omitir o manipular.
14. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
Más del 75 % de los sitios web analizados presentaron vulnera-bilidades, muy graves en una quinta parte de los casos14.
12 I Symantec Corporation
Seguridad en la nubeFirewalls para aplicaciones web
Todos los sitios web modernos —sobre todo aquellos en los
que se realizan transacciones— son en realidad aplicaciones
web y, dado que gran parte del código en el que se basan no
se ha diseñado para ser seguro, necesitan más protección que
la que ofrecen los firewalls tradicionales.
Un firewall para aplicaciones web puede filtrar el tráfico
según los requisitos especificados en la capa de la aplicación,
lo que permite prevenir algunos de los ataques relacionados
con las deficiencias de seguridad de las aplicaciones web (por
ejemplo, la inyección de SQL, las secuencias de comandos
entre sitios, la inclusión remota de archivos o la falsificación
de peticiones entre sitios) o aquellos provocados por simples
errores de configuración.
Protección frente a ataques de denegación de servicio
distribuida
Los ataques de denegación de servicio (DoS) tienen por objeto
interrumpir el acceso a los servicios a los usuarios legítimos.
Por lo general, el servidor al que se dirige el ataque se ve
desbordado por el volumen y la frecuencia de las solicitudes
recibidas, aunque en ciertos casos se elige cuidadosamente a
la víctima y se envían menos solicitudes mal configuradas, lo
que causa desbordamientos de búfer u otras consecuencias
imprevistas igualmente dañinas.
Si los ataques tuvieran un mismo origen, bastaría con filtrar las
direcciones IP para bloquearlos. Por eso ahora la mayoría de los
ataques DoS provienen de redes formadas por miles o cientos de
miles de sistemas infectados y repartidos por todo el mundo.
Para combatir todos los tipos de ataques DDoS que existen,
hace falta una estrategia de defensa multinivel que combine
un firewall para aplicaciones web (WAF) con funciones
genéricas de análisis contra software malicioso. Solo así
podrán evitarse consecuencias tan graves como el descenso
de rendimiento del sitio web, el deterioro de la experiencia del
cliente o la pérdida de confianza y fidelidad —que repercute
inevitablemente en los ingresos, sobre todo si el comercio
electrónico es importante para la empresa—.
Peligrosidad de los ataques DDoS
La proliferación de los bots inteligentes
La mayoría de los ataques DDoS realizados hasta la fecha se
han servido de grandes redes de bots infectados, cada uno de
los cuales envía solicitudes sencillas al servidor afectado. En
casos así, la eficacia del ataque depende del número de bots
que componen la red.
Sin embargo, a medida que las defensas frente a ataques
DDoS han ido mejorando, los bots se han vuelto más
inteligentes. Concretamente, han aumentado los ataques
DDoS en la capa de la aplicación, en los que los bots se hacen
pasar por navegadores legítimos para esquivar las medidas
de seguridad —en algunos casos, llegando incluso a guardar
las cookies—.
Con esta poderosa técnica, no es necesario enviar grandes
cantidades de solicitudes como ocurre con otros ataques
DDoS. Con unas pocas (de cincuenta a cien) dirigidas a una
misma víctima, se puede dejar fuera de servicio un servidor
mediano. Por su naturaleza, estos ataques no son fáciles
de detectar, lo que hace que a veces se prolonguen durante
semanas o incluso meses.
Ante tal insistencia, muchas defensas resultan inútiles. Lo
que hace falta es una solución inteligente que funcione de
forma ininterrumpida y sea capaz de detectar la actividad de
los bots antes de que ataquen los servidores web.
13 I Symantec Corporation
Protección frente a ataques de gran magnitud
Cuando se compran equipos de red, se hace un cálculo
aproximado del tráfico máximo que habrá. Pero los ataques
DDoS son imprevisibles, lo que obliga a adoptar defensas con
una adaptabilidad prácticamente ilimitada.
Si su sistema de protección DDoS depende de un dispositivo
de seguridad con un límite de tráfico y es víctima de ataque
de gran magnitud, el dispositivo se verá desbordado y, por
inteligente que sea, no podrá frenar el ataque.
Solo hay una forma de conseguir que las defensas tengan
la adaptabilidad suficiente: aprovechar la potencia de
procesamiento compartida que ofrece la nube. Sin embargo,
que una solución esté alojada en la nube no garantiza que
pueda bloquear ataques de gran envergadura, sobre todo los
de mayor tamaño. El sistema de protección frente a ataques
DDoS basado en la nube solo será eficaz si se apoya en
una infraestructura de alcance global y con la capacidad y
resistencia necesarias para combatir todo tipo de ataques en
cualquier lugar.
La seguridad de las aplicaciones web, un objetivo difícil
Las aplicaciones web se han convertido en un vector para el
robo de datos confidenciales. Debido a sus procesos de
desarrollo, fluidos y complejos, muchas presentan vulnera-
bilidades que se pueden aprovechar para manipular el código.
Por si eso fuera poco, la mayoría de los ataques son muy
fáciles de automatizar, lo que permite dirigirlos a miles de
sitios web a la vez.
Por mucho que se esfuerce, lo más probable es que el código
de sus aplicaciones tenga alguna vulnerabilidad, lo que pon-
drá en peligro sus sitios web si alguien logra aprovecharla.
De ahí la importancia de reforzar la protección de los servi-
dores web frente a ataques que son inevitables.
Seguridad sin pérdida de rendimiento
Las tareas necesarias para garantizar la seguridad web se
han vuelto más complejas, llevan más tiempo y consumen
más potencia de procesamiento. Todo esto puede reducir el
rendimiento de los servidores web, afectar la experiencia del
cliente y alargar los tiempos de respuesta debido a la latencia.
Aunque el problema afecta sobre todo a los dispositivos
locales, puede ocurrir lo mismo con las soluciones en la nube
que, pese a ofrecer un ancho de banda elevado, carecen de
puntos de presencia (PoPs) geográficamente próximos a los
centros de operaciones de la empresa.
Para que los mecanismos de defensa web no ralenticen las
operaciones, se necesita una solución en la nube que combine
un gran ancho de banda con PoPs bien distribuidos y una red
global de distribución de contenidos.
¿Qué nos depara el futuro?
14 I Symantec Corporation
Los directores de seguridad informática (o de seguridad de la empresa en general) saben que además del esfuerzo de sus equipos, es necesario inculcar una cultura de seguridad en toda la empresa. Para que toda la plantilla esté al tanto de los riesgos y prácticas recomendadas, se necesita una labor de concienciación continua en materia de seguridad.
De forma similar, la empresa solo conseguirá la visibilidad, la agilidad y el control que desea si opta por una tecnología de
seguridad homogénea que facilite el intercambio de conocimientos (algo imposible si no se abandona el modelo tradicional y
siguen utilizándose soluciones independientes de distintos proveedores).
Hoy en día, los presupuestos de seguridad no crecen al mismo ritmo que la magnitud y complejidad de las amenazas. Es lógico,
por tanto, que las empresas ya no se conformen con saber que cada componente del entorno de seguridad funciona por separado.
Ahora, lo que necesitan son proveedores de soluciones que sepan combinar bien todas las piezas y resolver los problemas que
puedan surgir.
También parece inevitable que, en aras de una mayor adaptabilidad, los departamentos de seguridad se sumen a la tendencia
imparable de adoptar soluciones en la nube, ya sea en régimen de software como servicio (SaaS) o con un modelo híbrido.
Para combatir con eficacia amenazas cada vez más avanzadas, tendrán que surgir nuevas soluciones en la nube que permitan
aprovechar toda la información global sobre los peligros que existen. Y, dado que muy pocos proveedores ofrecerán esta
posibilidad, el sector se consolidará aún más.
Con el tiempo, solo se aceptará la mejor tecnología posible, con lo que disminuirán las diferencias entre proveedores. Cuanto
más grande sea la empresa y más complejo su entorno, más importante será elegir un proveedor que no solo comprenda los retos
tecnológicos, sino también los relacionados con la gestión y otras cuestiones comerciales. Un proveedor con la experiencia, la
estabilidad y los recursos necesarios para ayudar a las empresas a transformar su modelo de protección de sitios web.
15 I Symantec Corporation
Symantec Complete Website Security le ofrece los niveles de visibilidad, agilidad y seguridad que necesita para proteger su
negocio, su reputación y a sus clientes. Armoniza y refuerza la seguridad de su sitio web gracias a un completo catálogo de
soluciones de primera línea15.
La protección de varios puntos y varias capas puede ayudarlo a mantener su ecosistema web a salvo hasta de las amenazas más
sofisticadas conforme surgen. La visibilidad en tiempo real sobre su ecosistema web le permite detectar problemas antes de que
sea demasiado tarde, neutralizar ataques, arreglar errores y observar las políticas de seguridad. Incluye las herramientas y servi-
cios que necesita para salvaguardar la integridad y el rendimiento de los servidores, certificados y aplicaciones de sus sitios web.
Su agilidad le asegura tanto la protección como el crecimiento controlados de su empresa en el menor tiempo posible. Esta
tecnología, que está avalada por uno de los líderes en ciberseguridad, incorpora la marca de confianza más reconocible de la web
y pertenece a una de las redes de ciberinteligencia mejor equipadas, puede confiar en que tendrá los niveles de seguridad, servicio
y soporte que necesita para blindar el entorno de su sitio web, su negocio y a sus clientes16.
Symantec™ Complete Website Security
15. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf16. Investigación de IpSOS sobre consumo internacional en Internet (EE. UU., Alemania, Reino Unido, Francia, Australia y Singapur; octubre de 2015) y análisis de comScore sobre las principales
empresas de comercio electrónico. Estados Unidos: 90 %. Reino Unido: 89 %. Australia: 88 %. Singapur: 92 %.
Vaya siempre un paso por delante con Symantec
Para abrir una cuenta o solicitar más información sobre lo que puede hacer Symantec™ Complete Website Security por su empresa, póngase en contacto con nosotros.
Llame al: América Latina: +1 520 477 3111Correo electrónico: [email protected]
Si desea los números de teléfono de algún país en particular, consulte nuestro sitio web.
Para recibir información sobre productos, llame al:América Latina: +1 520 477 3111
Symantec World Headquarters350 Ellis StreetMountain View, CA 94043 USA1-866-893-6565www.symantec.com/complete-website-security
Symantec MexicoCiudad de México, Paseo de Tamarindos #400A P-16, Col.Bosque de las Lomas, Cuajimalpa, CP 05120, Mexico DF, Méxicowww.symantec.com/es/mx/complete-website-security
Queda prohibida la reproducción o transmisión total o parcial de este artículo, en ningún formato y por ningún medio, sin el consentimiento por escrito del editor.
Copyright © 2017 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.
Armonice y refuerce la seguridad de los sitios webSymantec™ Complete Website Security puede ayudar a reforzar la seguridad de los sitios web; a evitar o minimizar los daños provocados por las amenazas avanzadas, que aumentan constantemente; a liberar recursos para destinarlos a tareas más estratégicas; a simplificar la protección de los sitios web; y a administrar la empresa e impulsar su expansión sin temer por su seguridad.