Seguridad en la web: los papeles de Panamá y tú

¿Te fías de la seguridad en la web? Recientemente hemos conocido el affaire derivado del robo de documentos a una empresa de Panamá dedicada a crear negocios offshore. Y casi todas la semanas leemos noticias sobre acceso a páginas web de empresas u organizaciones importantes. Es fácil comprender que poder acceder a la información que almacenan en sus páginas web o servidores tiene gran interés. Muchas veces solo se hace con fines propagandísticos pero en otros casos hay un plan bien diseñado para beneficiarse de los datos o informaciones a los que se ha llegado. El caso más reciente ha sido la revelación de los contratos de varios futbolistas, sus cláusulas, su salario,…. algo que pretendían mantener oculto ha sido revelado por unos hacker que han accedido a unos servidores. Posteriormente la difusión a través de la redes sociales ha realizado el resto del trabajo.

seguridad en la web

Por tanto y aunque no le demos el valor e importancia que realmente tiene, es absolutamente necesario que todas las empresas y negocios dispongan de todos los elementos de seguridad perfectamente activos en sus páginas web y servidores (ya sea en la nube o en una red local).

Seguridad en la web: la Auditoría necesaria

Para conocer la seguridad en la web se realiza una auditoría. Se entiende como auditoría de seguridad, la realización de una serie de pruebas, siempre controladas, para determinar el estado en el que se encuentra el hosting de una web a nivel de seguridad informática. Se actuará como si de un atacante real se tratara y se irán anotando las vulnerabilidades encontradas para, posteriormente, detallarlas en el informe final de auditoría.

En qué consiste la Auditoría Web Security

La Auditoría web para conocer la seguridad en la web debe cubrir dos fases bien diferenciadas:

1) External Footprinting

Esta parte es la inicial a la hora de realizar una auditoría de seguridad. Básicamente, se trata de recopilar toda la información posible en Internet sobre el cliente. El objetivo de esta fase es conocer mejor al cliente y ver qué recursos tiene publicados, cuentas de correo visibles, etc.

Algunas de las pruebas que se realizan en esta fase son:

  • Descubrimiento de DNS
  • DNS Snooping
  • Identificación de CMS (si lo tiene)
  • Banner Grabbing (Versiones de servicios)
  • Descubrimiento SMTP
  • Protocolo SNMP
  • Detección de IDS/IPS
  • Extraer información del dominio
  • Análisis de SMB
  • Google Dorking
  • Shodan Hacking
  • Tecnologia VOIP
  • Emails visibles en Internet para realización de ataques en un futuro.
  • Recopilar información extra para la realización de ataques de Ingeniería Social.

2) Análisis Web

Una vez realizada la primera fase, ya se tiene suficiente información para empezar a realizar pruebas específicas.

Algunas de las pruebas que se realizan en esta fase son:

  • SQL Injection
  • XSS (Cross-site scripting)
  • LFI ( Inclusión de ficheros locales)
  • RFI (Inclusión de ficheros remotos
  • CSRF
  • Métodos soportados por el servidor (head, trace, get, post, put, options, etcétera)
  • BlindSQL Injection
  • Bypass a sistema de autenticación (formulario)
  • Solicitudes falsificadas en sitios cruzados
  • Validación de variables recibidas por el servidor
  • Listados de directorio
  • Forwards o redirects no validados
  • RCE (Ejecución de comandos en el servidor)
  • LDAP Injection
  • Descubrimiento de directorios ocultos
  • Fuerza bruta a directorios
  • Ataques XML
  • Subida de ficheros
  • Comprobación de certificados SSL (ruptura)

En SoyDigital ofrecemos un servicio pionero de Auditoría Web por lo que si estás interesado en ampliar los detalles y solicitar ya la Auditoría para tu web puedes hacer clic aquí. ¿Sabes el coste económico que puede suponer para tu empresa la revelación de datos o informes secretos? ¿Conocer el daño para tu marca que puede ocasionar la difusión de estudios, análisis,…. sin tu consentimiento? No pierdas un minuto más y aprovecha esta posibilidad para realizar la Auditoría de tu web ahora mismo.

email

Sobre el autor

Jesus A. Lacoste

Psicólogo. Fundador y CEO de SoyDigital Network, empresa especializada en IT & VoIP Business Solutions. Profesor MBA en la Universidad Europea de Canarias y en Hispanic American College (New York). Online desde 1996. Todo lo que hago es porque creo sinceramente que puede aportar valor a la vida o los negocios de otros.

Deja un comentario