Ante la oleada de ataques que se están produciendo a servidores web a nivel mundial, y el alto ratio de consultas que nos llegan al respecto, vamos a explicar de forma somera el problema y cómo evitarlo. También hemos preparado un Glosario de términos sobre los diferentes tipos de ataques a Servidores de Hosting Web.
¿Por qué atacan mi hosting?
Hay tres razones principales:
- Obtención directa de datos: nombres de usuario, emails, contraseñas, números de tarjetas bancarias, etc.
- Suplantación de identidad web, para lograr mayor número de visitas o bien para obtener, de forma indirecta, datos confidenciales de los usuarios
- Influir en el comportamiento normal de una web
Pero, por supuesto, pueden haber otras muchas razones.
¿Cómo puedo evitarlo?
La mayor parte de los ataques suceden en aplicaciones que no han sido suficientemente securizadas, o que usan plataformas no actualizadas, o plantillas y plugins de fuentes no oficiales.
Es fundamental que alojes tu hosting en un servidor lo más actualizado posible según el sistema operativo y los framework de desarrollo que se utilicen. Por ejemplo, en el caso LAMP, se puede utilizar Debian en sus últimas versiones y php-fpm.
Además hay que prever las posibles acciones de riesgo de los propios usuarios de nuestros servicios; bien por un mal uso de los recursos y servicios del servidor que pueden hacer los propios usuarios, o por su confianza en servicios maliciosos de origen externo, de forma habitualmente inconsciente.
A pesar de todas las medidas que se tomen, el riesgo siempre existe, por lo que, además de las medidas defensivas y de bloqueo de posibles ataques, se deben tomar medidas preventivas por si logran entrar en nuestros sistemas, especialmente mediante sistemas de monitorización como, por ejemplo, el sistema FAITH (File Arquitecture Integrity Threshold system: sistema anti-hackers de detección de intrusiones en sitios web) desarrollado por e-SORT.
GLOSARIO de términos relacionados con ataques a servidores web
Cross-Site Request Forgery (CSRF o XSRF)
Falsificación de una petición de identidad. El asaltante accede al sitio suplantando la identidad del usuario mediante el robo de sesiones o de otros datos de identificación.
Cross-Site Scripting (XSS)
Inserción de scripts en peticiones al servidor. El atacante inyecta código sobre algún campo de entrada de datos que ofrezca la web (formulario de recogida de datos). Hay dos tipos: persistente (el código malicioso introducido a través del formulario se queda almacenado en el servidor) y reflejado (a través de código insertado en una URL que llama al formulario).
Defacement
El atacante cambia la página inicial del sitio web para mostrar un mensaje. Podrá hacerlo porque haya podido acceder al servidor, o por algún tipo de vulnerabilidad en el mismo.
Denegación del servicio (DOS – Denial of Service)
Mediante múltiples llamadas lleva al límite los recursos de un servidor (procesador, memoria…) hasta colapsarlo, provocando una caída del sitio web.
Fuerza bruta
Procedimiento de obtención de un usuario y clave válidos mediante prueba y error de combinaciones múltiples hasta que logra dar con el usuario y contraseña.
Inyección de código
Consiste en la inyección de código fuente en un sitio web, obteniendo un comportamiento no previsto mediante el cual se pone en compromiso la seguridad del sitio web. El más conocido es la Inyección de SQL (SQL-injection) a través de formularios, que puede comprometer datos o cambiar la apariencia de una web. También puede haber inyección de comandos LDAP, cabeceras SMTP, scripting, etc..
Phishing
El atacante suplanta la identidad de una empresa a través de un sitio web falso, obteniendo datos personales del visitante: claves, números de tarjeta, etc. Generalmente llegan al correo electrónico o a través de URLs en comentarios de otros usuarios.
Spoofing
Consiste en la suplantación de la identidad de un servidor o una red de servidores, sustituyendo la IP original. El tipo de ataque más extendido es el IP spoofing, pero existe el ARP spoofing, DNS spoofing, Web spoofing o el Email spoofing.
Scam
Consiste en cualquier tipo de estafa realizada por un medio electrónico, normalmente mediante la concesión de extrañas recompensas o de herencias de origen desconocido.
Ingeniería social
Consiste en aprovechar tendencias de comportamiento habitual y recurrente para obtener información sensible sin tener que recurrir a ningún agujero de seguridad informático. Así se logra la suplantación de identidad de una persona o entidad mediante llamadas telefónicas, correos o mensajes en aplicaciones móviles.
Troyano
También denominado Caballo de Troya por la semejanza en la forma de introducirse en sistemas ajenos. Consiste en la instalación de un programa espía, disfrazado de alguna manera inofensiva, dentro de un servidor o de un ordenador personal, gracias al cual se logra tener control remoto, modificar archivos o capturar datos de entrada o salida.
- Tags:
- servidores web
Me ha encantado el artículo, sencillo, claro y al grano. Hay términos de los que nunca había oído hablar antes, y otros que nunca había entendido 🙂 ¡Gracias!