Según distintos relevamientos la cantidad de dominios nuevos creados se ha disparado en el ultimo año dando como resultado un crecimiento exponencial en los intentos de phishing, distribución de malware, exploit kits, etc.
Se ha visto como a lo largo de los años, las empresas vienen sufriendo cada vez mas ataques y esto se hizo mas evidente en el pasado 2020 debido a la actual situación sanitaria y el teletrabajo.
Entonces, si nuestro sitio comercial esta en este ecosistema lleno de amenazas, como podemos aumentar la probabilidad de salir airosos de un ataque?
El objetivo principal siempre debe ser incrementar el nivel de seguridad actual, ya que por definición no existe la seguridad absoluta sino maneras de reducir y/o mitigar riesgos.
Ya desde hace muchos años la industria cuenta con guías de buenas practicas y modelos de evaluación en materia de seguridad web llevadas adelante por organizaciones sin fines de lucro.
El proyecto principal es el de OWASP (Open Web Application Security Project)
El mismo cuenta con un Top 10 de las vulnerabilidades web mas reconocidas y es actualizado cada 3 años permitiendo a los profesionales de la seguridad, mantenerse actualizados en lo que respecta a las ultimas tendencias en técnicas y fallos que podrían ser identificados en cualquier tipo de aplicación web.
Además, el proyecto OWASP cuenta con su guía técnica oficial que es la WSTG (Web Security Testing Guide). Actualmente por la versión 4.2, ofrece una base técnica detallada de prácticamente todo lo que se debería revisar a nivel de seguridad web.
Basándonos en las buenas practicas, hay 4 puntos que deberían considerarse a nivel general para llegar a tener una visión completa de una aplicación web independiente cual fuera esta y así poder identificar potenciales vulnerabilidades:
– Identificar la tecnología del servidor donde funciona. (Microsoft, Linux, BSD, etc)
– Identificar la tecnología web. (Apache, IIS, nginx, etc)
– Identificar si emplea algún Gestor de contenido / CMS (WordPress, Joomla, Prestashop, Drupal)
– Identificar que plugins emplea.
– Identificar que base de datos emplea. (MSSQL, MySQL, PostgreSQL, Oracle)
Habiendo recorrido de manera ordenada cada uno de estos puntos en conjunto con las guías de mejores practicas y por sobre todo haciéndolo con regularidad, podríamos decir que nuestro negocio es potencialmente menos vulnerable a “usuarios curiosos” y/o ciber delincuentes dado que el costo/beneficio del esfuerzo requerido para ejecutar alguna acción y que esta funcione ya se ha visto incrementada por mucho.
