Las apariencias engañan. El común de las personas asume que cuando un sitio web tuvo un problema de seguridad, fue porque había una persona (hacker), normalmente en un cuarto oscuro de un distante país, estudiando el sitio web para encontrar una vulnerabilidad que le permitiera penetrar para robar información o usarlo con otros fines ilegales. Pero la realidad indica que este no es el caso.
La clave está en que en la inmensa mayoría de los casos no es alguien sino algo lo que ataca los sitios web.
Ataques constantes automatizados
Por cuestiones de economía de recursos y para maximizar sus ganancias, los atacantes confían en sistemas automáticos (llamados robots, o bots) que trabajan día y noche para identificar sitios web vulnerables y sacar provecho de ellos a escala.
Son ataques de oportunidad, automatizados, que se contraponen a los ataques dirigidos contra personalidades, bancos, medios de prensa, grandes empresas o gobiernos (mucho más elaborados y costosos). Pero, ¿por qué alguien se tomaría ese trabajo?
Los porqué de los ataques
La unión hace la fuerza: como el alcance y la capacidad de cómputo de miles de sitios web, sumados, puede resultar enorme, tomar control de cuantos más sitios web sea posible (a la mayor velocidad posible) resulta un negocio muy atractivo.
Una vez cumplido el objetivo intermedio de infectar un sitio web, los objetivos principales de los hackers pueden ser muy variados:
- enviar spam,
- mejorar el posicionamiento de ciertos sitios web en Google,
- dañar el posicionamiento de sitios web de la competencia en Google,
- ubicar avisos publicitarios de productos ilegales,
- infectar computadoras de quienes los visitan,
- penetrar en sistemas informáticos mayores (como de bancos o empresas de alta tecnología),
- tornar inaccesibles o dañar sistemas sensibles (como de gobiernos o empresas de servicios públicos),
- o hasta hacer dinero con la minería de criptomonedas.
Y todas estas tareas ilegales serían pagadas por usted y/o por sus usuarios.
Nos afecta a todos
Los sitios web de pequeñas, medianas y grandes empresas por igual son objetivos diarios, ya que sólo se requiere estar visible en la Web para que tarde o temprano algún sistema automatizado intente explotar vulnerabilidades en nuestro sitio web. En promedio, cuando se conecta un servidor nuevo a la Internet, dentro de las siguientes 2 horas ya estará bajo ataque.
¿De qué depende el impacto?
Dependiendo del tipo de ataque que sufra un sitio web, hay 5 consideraciones principales que afectan el impacto en las empresas:
- si genera ingresos directos para la empresa,
- las protecciones con que cuenta para resistir,
- los respaldos con que cuenta para restaurarlo si cae,
- los vínculos con otros sistemas críticos de la empresa que puedan existir,
- la disponibilidad de tiempo y recursos económicos para restaurar o recrear lo perdido si el ataque tiene éxito.
Sobre el punto 4 es importante destacar que no siempre esos vínculos son evidentes. Si su web se aloja en el mismo servidor que su sistema de correo electrónico, vulnerar la primera puede facilitar el acceso al segundo. Pero si su web está alojada dentro de su empresa, en un servidor compartido con o conectado a la misma red que sistemas internos de archivo, gestión o producción, el peligro se multiplica de forma exponencial.
Conclusión
Resumiendo, normalmente a una empresa grande un ataque le saldrá muy caro, pero sobrevivirá. A una empresa mediana o pequeña, puede llevarla a la quiebra. Los recursos económicos con los que se cuenta y el nivel de riesgo aceptable serán determinantes, en última instancia, de la postura de seguridad a adoptar en cada caso.
Recomendamos leer:
- Riesgos de seguridad de las «cosas» conectadas a Internet
- ¿Es seguro usar WordPress?
- Reporte Sucuri sobre sitios web hackeados
- Cómo proteger su privacidad en la Web
[two_third]
[box type=»shadow»]
Brindamos asesoramiento, evaluación y protección de sitios web basados en WordPress, para que pueda concentrarse en su trabajo sin preocuparse por su infraestructura web.
[/box]
[/two_third]
[one_third_last]Consúltenos aquí[/one_third_last]