Aprovecha el precio especial.

Antes:$249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

14d

12h

41m

40s

146

5 formas en que pueden hackear tu sitio web y cómo evitarlo

7144Puntos

hace 4 años

Tu sitio web no está libre de ser vulnerable a ataques malintencionados. En el mundo, todos los días hay incidentes de ciberseguridad, ya sea porque eres el objetivo o porque caíste en un ataque aleatorio automatizado para buscar fallas de seguridad, sin importar que tengas un sitio de e-commerce o un sitio web para una pequeña empresa, existe el riesgo de un posible ataque.

Según el reporte de violación de datos de verizon el 85% de las fugas están relacionadas con un elemento humano, ya sea por una mala configuración o por que hay un phishing de por medio. Por eso es importante saber a que te enfrentas y cuáles son los ataques más comunes.

Aunque estos en su mayoría son específicos a la tecnología puedes proteger tu sitio para mitigar el riesgo.

DBIR Patterns.png
Patrones para categorizar los incidentes de seguridad y las violaciones de datos que comparten características similares - Verizon

Ahora vamos a revisar los 5 ataques web más comunes (Basic web application attacks) según las categorías del proyecto OWASP Top 10 (The Open Web Application Security Project) y como puedes mitigar el riesgo.


1. Cross-Site Scripting (XSS)

Es un tipo de vulnerabilidad de los sitios web que permite que los atacantes inyecten secuencias de comandos maliciosos por medio de secuencias de comandos en sitios cruzados. Los hackers pueden redirigir a otro sitio a los usuarios para robar información mediante phishing o hacer que se descargue algún malware que se ejecute en el sistema.

Como proteges tu sitio web ante XSS:

  • Configura un WAF (web application firewall) que actúa como un filtro que identifica y bloquea cualquier solicitud maliciosa a tu sitio web. Muchos hosting ya cuentan con este tipo de servicios.

Cómo te proteges como usuario:

  • Contar con una solución de seguridad actualizada para que te proteja ante la ejecución de alguna aplicación maliciosa sin tu consentimiento, también puedes instalar un complemento en el navegador para que que bloquee los scripts.
  • Usar navegadores que cuenten con filtros de seguridad para que reaccionen ante alguna redirección sospechosa.

Definición OWASP

2. Injection Attacks

Este ataque se basa en la inyección de código en el sitio con el fin de generar una fuga de información, el más popular es el de tipo SQL ya que ataca directamente a las bases de datos con información sensible. Cuando se ejecuta, el atacante inserta un fragmento de código que revela datos ocultos y entradas del usuario, permite la modificación de datos y, en general, compromete la aplicación.

Como proteges tu sitio web ante ataques de inyección

  • Siempre filtra los campos de entrada con listas blancas, es decir especifica que datos aceptas en el campo explícitamente
  • Utilizar siempre consultas parametrizadas o procedimientos almacenados para crear consultas dinámicas

Unsuccessful HTTP response
An example of a get request for the CNN website Source

Definición OWASP

3. Path (or Directory) Traversal

Este tipo de vulnerabilidad no es tan común como el XSS y las inyecciones de código, pero sigue siendo una amenaza considerable para cualquier aplicación web. Los ataques al directorio o al Path (/) tienen como objetivo la carpeta raíz web para acceder a archivos o directorios no autorizados fuera de la carpeta de destino.

Un hacker intenta inyectar patrones de movimiento dentro del directorio del servidor para ascender en la jerarquía, en caso de ser exitoso puede comprometer el acceso al sitio, los archivos de configuración, las bases de datos y otros sitios web y archivos en el mismo servidor físico.

Cómo proteges tu sitio web ante Path Traversal:

  • Siempre filtra los campos de entrada con listas blancas antes de que llegue el request al servidor (input sanitization)
  • Accede a los datos del servidor por medio de llamados tipo API

Definición OWASP

arnold-francisca-f77Bh3inUpE-unsplash.jpg

4. Distributed Denial-of-Service (DDoS)

Un ataque de denegación de servicio es cuando un atacante envía una enorme cantidad de tráfico a un sitio web en un intento de sobrecargar el servidor para interrumpir e incluso tumbar el servicio. Estos los hay de dos tipos simétricos y asimétricos, la diferencia es la cantidad de recursos que se utilizan para ejecutarlos. De este tipo de ataque no hay fuga de información y lo único que buscan es afectar la reputación del servicio.

Cómo proteges tu sitio web ante DDoS:

  • Mitigar el tráfico por medio de un CDN (Content Delivery Network)
  • Mantener actualizados todos los recursos que utilizas en tus sistemas
  • Utilizar un balanceador de carga y tener recursos escalables a tu disposición en momentos importantes
  • Es este caso también un WAF puede ayudar a mitigar este tipo de ataques

Definición OWASP

5. Brute force attack

Los ataques de Fuerza bruta son el pan de cada día de los atacantes, ya que esta técnica es muy simple de automatizar por medio de diccionarios y es la que mayor fuga de información sensible genera cuando funciona, pero la buena noticia es que también es muy simple de mitigar del lado del servidor y de los usuarios.

Este ataque no es mas que una combinación de usuarios y contraseñas donde el atacante intenta adivinar credenciales correctas, un trabajo de paciencia pero con los recursos adecuados el tiempo puede ser menor.

Como proteges tu sitio web ante un ataque de fuerza bruta

  • Limitar el máximo de request desde una misma IP:
    • Cuando hay más de 300 request desde una misma IP es sospechoso
  • Utilizar desafíos tipo CAPTCHA en los formularios de entrada como el login.
  • Implementar mecanismos de doble autenticación (2FA) o autenticación federada.

Definición OWASP


shamsudeen-adedokun-VH9DjmiQ_VY-unsplash (1).jpg

Ataques en los sitios web hay muchos y se pueden presentar de diversas formas, es por eso que debemos estar conscientes de ellos y mitigarlos en su mayoría.

Aun así, nunca podremos estar 100% seguros ya que todos los días reportan vulnerabilidades de día cero que afecta muchos sistemas y muchas veces estos ataques son exitosos porque descubren componentes desactualizados con vulnerabilidades conocidas que permiten tomar control de la información.

No olvides que en Platzi tenemos toda una escuela de ciberseguridad🔐 donde puedes aprender más sobre este tipo de ataques.

Paula
Paula
pauveelez

7144Puntos

hace 4 años

Todas sus entradas
Escribe tu comentario
+ 2
Ordenar por:
4
70288Puntos
4 años

Wow, no sabia que la ingeniería social representaba mas de un tercio del total de causas de fugas de datos. Es un numero impresionante y alarmante a la vez, hay que ser precavido en ese sentido.
Los consejos que das de como protegerse como usuario es información muy valiosa que todos deberíamos tener en cuenta.

Muchas gracias Paula!!!

2
5437Puntos
4 años

En los cursos de platzi mencionan esta frase que me parece maravillosa

"una cadena es tan fuerte como su eslabón más debil"
1
7144Puntos
4 años

El factor humando en los ataques más famosos y costosos de la historia siempre juega un papel importante.

Pronto sacare un blog con mas datos sobre Phishing

2
4 años

En el 4 donde dice utilizar un balanceador de carga y tener recursos escalables a tu disposición en momentos importantes, debes identificar el trafico si es real, por que si lo dejas que el balanceador haga su chamba te va a salir una buena factura de servidores, no lo veo como una solución.

1
7144Puntos
4 años

Es una solución en momentos críticos y siempre como Plan B si lo tienes monitoreado y con buenas reglas puedes evitar la factura costosa, pero tienes razón el riesgo existe

2
11463Puntos
4 años

muy interesante , gracias por el post

2
3616Puntos
4 años

Wow, que interesante para tenerlo en cuenrta.

2
70976Puntos
4 años

De las principales fallas que he visto es la de no especificar el tipo de dato a recibir en los campos de los formularios y peor aun con aquellos que te permiten adjuntar archivos, muy buenos tips ❤️

1
7144Puntos
4 años

Y lo mejor es que son tips muy fáciles de implementar.

2
26750Puntos
4 años

Excelente info.

2
930Puntos
4 años

Bien interesantes informaciones

2
3616Puntos
4 años

Wow, que interesante para tenerlo en cuenrta.

1
11035Puntos
3 años

Excelente aporte, te felicito.
Es importante que tú información tenga mucho alcance para la protección y el buen uso de los servicios web que a diario utilizamos.
De mi parte conocía los tipos de ataques pero poco sabía de las implementaciones para mitigarlos, gracias a ti he aprendido algo y poder retransmitirlo con confianza.

1
22325Puntos
2 años

Excelente articulo Paula, gracias por la información. Sin duda hay que continuar trabajando con mejorar la cultura en seguridad informática para reducir la brecha de los ataques de Ingeniería Social.

1
5061Puntos
4 años

¡¡Gracias por la información!! 💚