Auditoria Web Asturias
Ciberseguridad
A día de hoy la seguridad web es uno de los temas que menos se presta atención y sin lugar a dudas el más importante.
Tristemente, estamos habituados a ver web con fallos de seguridad importantes. Grietas por las que cualquier indeseado podría robar información.
En kiimera podemos realizar auditorías web para analizar la situación de su web y aconsejar las mejoras necesarias.
Lo primero que vemos es que estandares usa la web. Si usa un determinado CMS (Content management system o sistema de gestión de contenidos) como por ejemplo Wordpress, Joomla u otros. Ver las versiones que usa de cada elemento e informar de las vulnerabilidades conocidas o CVE (Common Vulnerabilities and Exposure o vulnerabilidades y exposiciones comunes) es el protocolo básico en ciberseguridad.
También analizamos los protocolos usados por ejemplo si usa un servidor web o un hosting tales como Telnet, ampliamente usado y peligroso por concepto al permitir conexiones no cifradas.
Cada vez es más habitual ver casos de ramsonware y desde nuestra experiencia no es de extrañar ya que se suele dar poca importancia al estado de la web hasta que sucede algo.
Realizamos una revisión de la programación de backups recomendando acciones concretas. Desde los duplicados de backups online (FTP, cloud-nube y servidores) y offline (Discos duros externos cifrados).
Tambien analizamos si usted usa CDN (Content Delivery Network o red de entrega de contenidos) y si cuenta con sistema auxiliar en caso de fallo. Por desgracia esta siendo habitual que servicios como Cloudflare o Fastly tengan caidas. El servicio de CDN cuyo sistema tiene como base el cloud computing puede generar caidas en cadena. Nosotros solo recomendamos sistemas de CDN a aquellas empresas que operen fuera de España.
Seguridad web
A raíz del ultimo cambio en el RGPD una de las cosas más importantes a nivel seguridad es que se exige que si una web tiene un formulario de contacto, esa web debe ser segura.
Explicado de manera simple lo que viene a decir es que necesita como mínimo que esa web transmita la información de manera cifrada.
Esto se consigue aplicando un certificado SSL. Lo que viene siendo el "candado" para que nos entendamos.
Esto sería lo básico y muchas webs no tienen contratado un certificado SSL.
Revisamos el PHP, los JavaScripts, el HTML, el estado del servidor, la seguridad del correo y el estado general ante ataques.
Todos los codigos de programación tienen un End of Life (final de vida) que supone la desprotección ante ataques al terminar su soporte de seguridad.
Es muy frecuente que veamos webs con PHP version 5.3 aún o versiónes 7 obsoletas sin soporte por poner un ejemplo yendo por la versión 8.1
Para los desarrolladores web supone un trabajo extra el migrar la web a las versiones más actuales dependiendo sobre todo de la envergadura de los proyectos o plataformas. La mayor parte de las veces suele ser porque se contrató una web hace años y desde entonces permanece estática sin actualizar.
Otro de los casos más graves es usar código Java o Java Script. A pesar de presentar numerosas CVE la gran mayoría de webs del mundo están expuestas ante este tipo de ataques.
Un ataque a una web con base de datos MySQL u otras como MariaDB o PostgreSQL puede suponer la perdida de todos los datos almacenados si se da el caso de disponer de código desactualizado, backups antiguas o desprotegidas y sistemas operativos antiguos y sin soporte.
También analizamos la situación de acceso por FTP (file transfer protocol o protocolo de transferencia de archivos) o los accesos de la intranet.
Contáctenos
Por todo esto es importante analizar la web. Más importante aún si cabe si dispone de tienda online o de transacciones financieras.
Aún con los últimos protocolos es posible que haya fallos. La seguridad 100% es casi imposible. Pero evitar exposiciones innecesarias es vital para evitar problemas.
En kiimera realizamos auditorías de seguridad web gratuitas. Estamos para ayudar.