Hamidou Dia, experto en seguridad web, nos explica en este artículo por qué es absolutamente imprescindible que las empresas, hoy más que nunca, contraten a un profesional que les pueda garantizar un buen servicio de mantenimiento y seguridad web.

Con frecuencia nos llegan clientes a los que los piratas informáticos les han infectado con virus sus páginas, ordenadores, teléfonos móviles y cuentas de correo electrónico. En otros casos menos graves, hay empresas que se ponen en contacto con nosotros porque sus webs tienen formularios de contacto, elementos gráficos, plugins y enlaces que ya no rinden (funcionan) porque nadie se está ocupando del mantenimiento de la página o porque dicho mantenimiento no se está haciendo bien. No son casos aislados, cada vez es más frecuente. Hablamos de un servicio que no supone, ni mucho menos, un gran dispendio mensual para una empresa y que, en cambio, muchas organizaciones descuidan a pesar del riesgo que esto supone.

Por qué tu empresa no debería prescindir de un experto en seguridad web

Por Hamidou Dia

En mi trayectoria de casi 20 años como profesional de IT (Information Technology), me he encontrado numerosas empresas, demasiadas, que creen que pueden plantar una página web en Internet sin contratar el servicio de mantenimiento de la misma una vez se ha terminado el proceso de diseño y producción. Es decir, tras entregarles la página, piensan que ahí termina la gestión de la web. Y me estoy refiriendo tanto a pymes como a grandes empresas.

La vulnerabilidad de una página web a la que no se le hace mantenimiento es extrema.

El mantenimiento de una página web está, per se, intrínsecamente vinculado a la seguridad de esta. La falta de mantenimiento puede llevar a consecuencias altamente dramáticas. Basta recordar que la filtración de los Papeles de Panamá, por poner un solo ejemplo de los que se dan a conocer a través de los medios de comunicación, fue posible, entre otras razones, debido a la falta de mantenimiento de una de sus páginas web corriendo el CMS Drupal (un CMS parecido a un WordPress, para simplificar); lo que permitió una de las fugas de información más grandes de la historia reciente, con unas repercusiones tremendas para sus clientes. Pero no hace falta irse tan lejos, aunque tu empresa no maneje información tan sensible, las consecuencias pueden ser igualmente nefastas.

Te lo explicamos con un ejemplo sencillo

Si tienes un coche, sabes que las piezas se desgastan y estropean, que otro coche puede darle un golpe al tuyo al aparcar o chocar contigo mientras circulas, que alguien puede forzar una de las puertas y robarte lo que hayas dejado en el interior, e incluso robarte el coche. Pues imagínate que tu web es un coche y que Internet es una autopista por la que viajas. Pero esta autopista está repleta de coches que viajan contradirección y a los que tienes que ir esquivando para no tener un accidente. Además, las áreas de descanso y gasolineras están tomadas por mafias pendientes de aprovechar el mínimo descuido de los conductores para llevarse sus pertenencias y vehículos. También se dan casos de agresión: algunas son personales, otras no. Cada hora se pueden producir cientos, sino miles, de intentos; dependiendo del «ranking y visibilidad» de una web. Esto es Internet. Un entorno altamente inhóspito y agresivo en lo que a la seguridad respecta.

Cuando subimos una web a Internet, a los pocos segundos o minutos ya está “probada”, como decimos los que nos dedicamos a esto: las diferentes puertas del coche empiezan a ser forzadas varias veces por hora para ver si consiguen abrir el vehículo. Esto es así con cualquier tipo de vehículo, sea de la gama que sea, desde que sale del concesionario (leer “Esto es así con cualquier web, desde que la enchufamos a Internet”).

¿Por qué les interesa atacar tu página web?

Estas pruebas les sirven para averiguar si tu web es vulnerable a fallos conocidos que no se han corregido (porque no has contratado a nadie que tenga los conocimientos para hacerlo). El objetivo de los atacantes es explotar dichos fallos para hacerse con tu web. ¿Con qué propósito?

*Uno de ellos es hacer defacing: modificar tu página con propósitos ilegítimos que dañan tu imagen corporativa, como en el ejemplo de las imágenes de abajo.

*Otro objetivo de los atacantes puede ser introducir virus en la web con el fin de infectar el PC de los visitantes y, de esta forma, dañar el sistema del usuario final y, eventualmente, a través del software malicioso instalado en el PC, robarle datos personales mediante, por ejemplo, keylogger (captura de lo que el visitante teclea): información confidencial, como usuarios, contraseñas, información bancaria, etc.

Cuando visitamos una web infectada, Google nos la muestra con este mensaje; un aviso que daña la imagen de la empresa propietaria de la página.

*Un tercer objetivo puede ser la propia base de datos de la página web para robar la información que contiene: el listado de usuarios, sus contraseñas (si están almacenadas de una manera no suficientemente segura en la base de datos de la web), correos electrónicos y toda aquella información valiosa que un atacante podría explotar directamente o revender en el mercado negro de la dark web, donde dicha información seguramente, encontrará comprador. Asimismo, según el tipo de información, esta puede dar lugar a exfiltración y exposición pública (adult friend finder) o a un eventual chantaje.  

Todo lo expuesto, obviamente, conlleva potenciales repercusiones sobre la reputación de una web empresarial, de la empresa y de su imagen corporativa  (seriedad y solidez empresarial), así como posibles repercusiones legales en caso de no haber puesto los suficientes recursos y medidas para proteger los datos de sus clientes (nueva normativa GDPR a nivel europeo).

¿Eres una empresa pequeña? tu web también necesita mantenimiento

Al margen de los problemas directos de seguridad que hemos comentado, la falta de mantenimiento puede causar diversos problemas de compatibilidad entre los diferentes componentes de tu web que pueden traducirse en imágenes que no se cargan bien, formularios de contacto que dejan de funcionar, plugins que ya no pueden hacer la función para la que fueron instalados, etc. Cuanto más tiempo pasa, más cuesta poner después al día todos estos componentes sin que se produzcan problemas de funcionalidad o sin que algo se «rompa», y más expuesta queda la página a los ataques.

Qué hará el experto en seguridad y mantenimiento web

Por todas estas razones, cuando tu empresa se suma a Internet con una página corporativa, necesitas contratar un profesional en mantenimiento y seguridad web que te pueda garantizar la integridad tanto de lo que es tuyo (la web y la imagen de tu empresa) como de lo que pertenece a tus usuarios y que tú solo custodias (los datos que te han facilitado confiando en ti).

Este profesional velará por ti en el ciberespacio y te protegerá tanto de personas malintencionadas como de bots que actúan desde España y desde la otra punta del mundo. Lo hará porque tiene los conocimientos y la experiencia para blindar previamente tu página web al máximo con el fin de que aguante las turbulencias del ciberespacio. En su recorrido profesional habrá visto múltiples y diversos desastres causados por falta de mantenimiento, será experta en su campo y estará al día de los trends pasados y actuales en términos de vulnerabilidades y ciberseguridad.

Sí, está persona te parecerá algo paranoica. ¡Y más vale que así sea! porque ella sabe que ningún sistema es completamente inmune, y que los ataques y los fallos pueden deberse a diversos vectores (por ejemplo, si tu PC está comprometido, un atacante puede hacerse con las credenciales de administrador de tu página web y entrar en ella sin que haya sido necesario que la ataque frontalmente).

Este profesional sabrá cuáles son los fallos recién descubiertos, sabrá que hay vulnerabilidades que los perfiles bajos que se dedican al mantenimiento desconocen porque solo los conocen los hackers y que estas vulnerabilidades carecen de correctivos en un momento dado. Pero si sabe hacer su trabajo, reducirá la superficie de ataque de la web; cosa que no podrá hacer ese amigo, vecino, primo o conocido “que sabe”. Es decir, sabrá en todo momento minimizar la probabilidad de que un eventual ataque genere problemas.

Y algo todavía más importante, en caso de ataque ―porque hay que asumir que tarde o temprano se dará el caso― este profesional sabrá reaccionar rápido, analizar el ataque, tomar las medidas pertinentes y blindar lo más rápido posible el sistema.

Hamidou Dia tiene casi 20 años de experiencia en IT y actualmente trabaja en NTT Communications como Solution Engineer. Se inició en la informática, como hobby, a los 6 años (Thomson MO5/TO7 y, después, como enamorado perdido de la marca Atari, con especial mención al 1040 STE y al Falcon 030!). Desde hace unos años, está especializado en Amazon Web Services (AWS). Le apasiona la seguridad informática, por las implicaciones concretas que tiene en nuestra vida, así como la historia, la geopolítica, la estrategia, la astrofísica y la física de lo pequeño (por la misma razón). De la experiencia adquirida saca la conclusión de que en casi todos los campos de conocimiento sabemos menos, probablemente, de lo que queda por saber, por lo que deberíamos abordar las problemáticas con humildad y prudencia.

Si tu empresa necesita un experto en mantenimiento y seguridad web, ponte en contacto con nosotros.