Cómo evitar la infección de sistemas asociada a software malicioso

El precio de la protección contra el software malicioso es estar siempre alerta. Este artículo contiene sugerencias y consejos para evitar la infección de sistemas asociada a software malicioso. Sin embargo, no es exhaustivo, y Google también recomienda que los propietarios de sitios web realicen investigaciones más exhaustivas en este sentido.

Cómo supervisar el estado de tu sitio

Muchas de las funciones de Search Console pueden ayudarte a identificar posibles problemas. Por ejemplo:

  • Haz una búsqueda en Google con el operador de búsqueda site: para ver qué páginas encontró Google en tu sitio. Siempre es una buena idea hacer esto de forma periódica para comprobar si alguien insertó páginas o contenido inesperados en tu sitio sin que lo notaras. Si ves páginas desconocidas en tu sitio o temas que no escribiste, es posible que hayas sido víctima de un hacker. En caso de que aún no conozcas el operador de búsqueda site:, se trata de una forma de restringir una búsqueda a un sitio específico. Por ejemplo, la búsqueda site:developers.google.com mostrará únicamente resultados del sitio de Google Developers.
  • En el Informe de problemas de seguridad, se muestran las páginas hackeadas de tu sitio que identificó Google y también las instrucciones para solucionar el problema.
  • Si Google detecta software malicioso en tu sitio, verás una notificación en el panel de mensajes de Search Console. Para asegurarte de recibir rápidamente las notificaciones, puedes reenviar a tu cuenta de correo electrónico los mensajes.

Lista de tareas de seguridad

Además de supervisar tu sitio con frecuencia, te recomendamos lo siguiente:

Todos los propietarios de sitios web

  • Elige contraseñas seguras. Los lineamientos para Cuentas de Google son útiles.
  • Selecciona con cuidado los proveedores de contenido de terceros. Asegúrate de que las apps y los anuncios de terceros en tu sitio provengan de fuentes confiables y legítimas. Una fuente confiable y legítima proporciona información de contacto y asistencia en su sitio web.
  • Comunícate con tu empresa de hosting o plataforma de publicación para obtener asistencia. La mayoría de las empresas tienen páginas de seguridad o grupos de asistencia útiles y receptivos. Si una página o un sitio de seguridad tiene un feed RSS, suscríbete para conocer las novedades que se publiquen.
  • Protege todas tus computadoras. En especial cuando trabajes en un sitio web, asegúrate de que la estación de trabajo local tenga software actualizado, esté libre de virus, troyanos o software malicioso similar, y haya recibido recientemente actualizaciones de antivirus.

Propietarios de sitios web con acceso al servidor

  • Revisa la configuración del servidor. Apache ofrece algunas sugerencias de configuración de seguridad en su sitio, y Microsoft tiene algunos recursos del centro tecnológico para IIS en el suyo. Algunas de esas sugerencias incluyen información sobre los permisos de directorio, el lenguaje Server Side Includes (SSI), la autenticación y la encriptación.
  • Haz una copia de seguridad del archivo .htaccess (u otros mecanismos de control de acceso según la plataforma de tu sitio web). Usa tu archivo de copia de seguridad para recuperar el sitio si se produce alguna falla. Asegúrate de borrar el archivo de copia de seguridad una vez que hayas terminado.
  • Implementa siempre las últimas actualizaciones de software y parches. Existen muchas herramientas que facilitan la creación de un sitio web, pero cada una conlleva cierto riesgo de vulneración. Un error común de muchos propietarios es que instalan un foro o un blog en su sitio web y, luego, se olvidan de él. Al igual que llevar el auto al service, es importante que te asegures de tener las actualizaciones más recientes de todo programa de software que hayas instalado. Haz una lista de todo el software y los complementos que usa tu sitio web, y realiza un seguimiento de los números de versión y las actualizaciones. Si tu servicio de hosting no tiene instalados los parches más recientes del sistema operativo, podrías ser vulnerable incluso si eres cuidadoso y mantienes actualizados todos los componentes de tu sitio web. Este problema no afecta solo a sitios pequeños: los sitios web de bancos, equipos deportivos y entidades corporativas y gubernamentales también recibieron advertencias al respecto.
  • Controla tus archivos de registro. Hacer esto de forma habitual tiene muchos beneficios importantes, uno de los cuales es la seguridad adicional. Por ejemplo, los parámetros de URL desconocidos (como =http: o =//) o los aumentos bruscos de tráfico de URL de redireccionamiento en tu sitio podrían indicar que un hacker está vulnerando los redireccionamientos abiertos. Asimismo, ten en cuenta que los hackers suelen tratar de modificar los archivos de registro, por lo que deberás implementar medidas para protegerlos contra ataques. Por ejemplo, puedes moverlos de su ubicación predeterminada para evitar que los hackers los encuentren con facilidad.
  • Revisa si tu sitio tiene vulnerabilidades comunes. Evita tener directorios con permisos abiertos. Sería como dejar la puerta de entrada de tu casa abierta de par en par.

    También revisa si hay vulnerabilidades de XSS (secuencias de comandos entre sitios) y de inserción de SQL.

  • Usa protocolos seguros. Google recomienda que uses SSH y SFTP para la transferencia de datos, en lugar de protocolos de texto sin formato, como telnet o FTP. SSH y SFTP usan encriptación y son mucho más seguros.
  • Entérate de las noticias de seguridad más recientes. En Google Security Blog se brinda información útil sobre protección y seguridad en línea, así como sugerencias de otros recursos. El sitio del gobierno de EE.UU. US-CERT (Equipo de Preparación ante Emergencias Informáticas de Estados Unidos) proporciona alertas y sugerencias técnicas de seguridad.

Si eres usuario de Search Console y tienes problemas de seguridad persistentes o que no se pueden resolver en tu sitio, puedes informarnos al respecto.

Informar un problema de seguridad