Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

Formas más habituales en que los spammers piratean los sitios web

Para proteger tu sitio web frente a ataques de piratería, es fundamental que entiendas cómo se ha vulnerado. En este artículo, describiremos algunas vulnerabilidades de seguridad que pueden aprovechar los hackers para piratear tu sitio web.

Contraseñas vulneradas

Los atacantes pueden adivinar una contraseña mediante un método de prueba y error. Este tipo de ataques se pueden realizar de diversas maneras; por ejemplo, se pueden probar contraseñas comunes o combinaciones aleatorias de letras y números hasta que se descubra la contraseña correcta. Para evitar que estos ataques tengan éxito, crea una contraseña segura y que sea difícil de adivinar. Encontrarás consejos para crear una contraseña segura en el Centro de Ayuda de Google.

Deben recordarse dos aspectos fundamentales: en primer lugar, recomendamos no repetir contraseñas en los diferentes servicios. Si los atacantes identifican una combinación de nombre de usuario y contraseña que funcione, tratarán de utilizarla en tantos servicios como sea posible. Por este motivo, si se usan contraseñas diferentes en distintos servicios, puedes evitar que otras cuentas de otros servicios se vean afectadas.

En segundo lugar, utiliza la autenticación de dos factores (A2F) como la verificación en dos pasos de Google, si la opción está disponible. La autenticación de dos factores permite establecer una segunda capa de credenciales de inicio de sesión, normalmente un código de mensaje de texto u otro PIN generado de forma dinámica, lo que reduce el riesgo de que un atacante acceda a tu cuenta únicamente con una contraseña robada. Algunos proveedores de sistemas de gestión de contenido ofrecen información sobre cómo configurar la autenticación de dos factores: consulta la documentación de Joomla!, WordPress o Drupal.

Falta de actualizaciones de seguridad

Las versiones antiguas de software pueden verse afectadas por vulnerabilidades de seguridad de alto riesgo que permitan que los atacantes pongan en peligro un sitio web en su totalidad. Los atacantes buscan activamente software antiguo con vulnerabilidades, por lo que si las ignoras, aumentan las posibilidades de que ataquen tu sitio web.

Nota: Es fundamental comprobar periódicamente que haya actualizaciones del software de tu sitio web para corregir vulnerabilidades. Te recomendamos que configures actualizaciones automáticas del software cuando sea posible y que te registres en listas de anuncios de seguridad de cualquier software que estés ejecutando.

Recomendamos que se mantenga actualizado el siguiente software:

  • Software de servidor web, si ejecutas tus propios servidores.
  • Sistema de gestión de contenido. Por ejemplo: versiones de seguridad de Wordpress, Drupal y Joomla!.
  • Todos los complementos que utilizas en tu sitio web.

Temas y complementos inseguros

Los complementos y los temas de un CMS te proporcionan funciones valiosas y mejoradas en tu sitio web; sin embargo, si están obsoletos o no se han actualizado, suponen una fuente de vulnerabilidades importante. Si utilizas temas o complementos, asegúrate de mantenerlos actualizados y elimina aquellos a los que sus desarrolladores hayan abandonado.

Ten especial cuidado con los temas o los complementos gratuitos que provengan de sitios web que no sean de confianza, ya que es habitual que los atacantes añadan código malicioso a las versiones gratuitas de complementos o temas de pago. Al eliminar un complemento, asegúrate de eliminar todos sus archivos del servidor, no solo de inhabilitarlo.

Ingeniería social

La ingeniería social consiste en aprovecharse de la naturaleza humana para eludir la sofisticada infraestructura de seguridad. Este tipo de ataques engaña a los usuarios autorizados para que revelen información confidencial, como contraseñas. Por ejemplo, una de las tácticas habituales de ingeniería social es la suplantación de identidad (phishing). En estos casos, el atacante envía un correo electrónico fingiendo ser una organización legítima para solicitar información confidencial.

Nota: Según un estudio de Google sobre ingeniería social, algunas de las campañas de suplantación de identidad (phishing) más eficaces tienen un porcentaje de éxito del 45%.

Recuerda que nunca debes revelar información confidencial (como contraseñas, números de tarjetas de crédito, información bancaria o incluso tu fecha de nacimiento) a nadie si no estás seguro de su identidad. Si varias personas gestionan tu sitio web, te recomendamos que les ofrezcas formación para aumentar sus conocimientos en cuestiones de seguridad contra los ataques de ingeniería social. Para obtener consejos básicos sobre protección contra ataques de phishing, consulta el Centro de Ayuda de Gmail.

Brechas en la política de seguridad

Si eres administrador del sistema o tienes tu propio sitio web, recuerda que las políticas de seguridad deficientes pueden permitir que los atacantes vulneren tu sitio. A continuación te mostramos algunos ejemplos de políticas de seguridad deficientes:

  • Permitir que los usuarios creen contraseñas poco seguras.
  • Dar acceso de administrador a usuarios que no lo requieran.
  • No habilitar HTTPS en el sitio web y permitir que los usuarios inicien sesión con HTTP.
  • Permitir que los usuarios que no se hayan autenticado suban archivos, o permitir que se suban archivos sin comprobar su tipo.

Para proteger tu sitio web, te ofrecemos los siguientes consejos:

  • Asegúrate de que tu sitio web esté configurado con controles de alta seguridad inhabilitando servicios innecesarios.
  • Prueba los controles de acceso y los privilegios de usuario.
  • Cifra las páginas que gestionen información confidencial, como las .páginas de inicio de sesión
  • Revisa periódicamente tus registros para detectar cualquier actividad sospechosa.

Pérdida de datos

Las pérdidas de datos pueden producirse cuando se suben datos confidenciales y esta información se hace pública a causa de errores en la configuración. Por ejemplo, es posible que los sistemas de gestión y comunicación de errores de una aplicación web filtren información sobre la configuración en un mensaje de error no controlado. Los piratas informáticos pueden utilizar un método llamado "Hacking" para explotar funciones de los motores de búsqueda y encontrar estos datos.

Para asegurarte de que tu sitio web no revele información confidencial a usuarios no autorizados, realiza comprobaciones periódicas y permite que accedan a los datos confidenciales solo las entidades de confianza mediante políticas de seguridad. Si descubres que se muestra información confidencial en tu sitio web que debe eliminarse de inmediato de los resultados de la Búsqueda de Google, utiliza la herramienta de eliminación de URLs para eliminar URL concretas de la Búsqueda.