Julio de 2025 | Serie de concientización
Su sitio web es un componente crítico de su negocio. Proporciona acceso a sus servicios y visibilidad para sus productos. Sin embargo, las amenazas cibernéticas pueden comprometer su sitio web, dañando sus operaciones comerciales, ingresos y reputación. Para reducir la probabilidad y el impacto de las amenazas, debe desarrollar y mantener en mente su sitio web con seguridad. Esta publicación proporciona algunas medidas de protección de seguridad y privacidad para comenzar.
En esta página
Amenazas comunes a los sitios web
Tenga cuidado con las siguientes amenazas comunes al desarrollar y mantener su sitio web.
Ataque de inyección
El ataque de inyección es un término general para cualquier explotación en la que un actor de amenaza presenta una entrada no confiable, como el código malicioso, en un sistema para modificar las operaciones o datos.
Los ejemplos comunes de ataques de inyección incluyen:
Inyección de lenguaje de consulta estructurada (SQL): Sql La inyección ocurre cuando un actor de amenaza ingresa el código malicioso en las declaraciones SQL a través de la entrada de la página web. Esto generalmente sucede cuando su sitio web le pide a un usuario que inicie sesión o proporcione información. Sql Declaraciones Administre el servidor de la base de datos y, si tiene éxito, el actor de amenaza puede evitar medidas de autenticación.
Scripting de sitio cruzado (XSS): Un actor de amenaza usa XSS para comprometer un servidor web e inyectar código malicioso en sitios web de confianza. Cuando los usuarios visitan el sitio web, sus navegadores ejecutan el script, colocando cookies, tokens de sesión o información confidencial en riesgo. XSS Los ataques explotan la confianza que un usuario tiene en un sitio web.
Ataque de falsificación de solicitud de sitio cruzado
La falsificación de solicitudes de sitios cruzados (CSRF) es un ataque que engaña a los usuarios para que ejecute acciones no deseadas en sus navegadores, como cerrar la sesión, descargar información de la cuenta o cargar una cookie del sitio. CSRF Los ataques explotan el fideicomiso que tiene un sitio web en el navegador de un usuario.
Ataque de negación de servicio
Un ataque de denegación de servicio tiene como objetivo abrumar un sitio web con tráfico innecesario. Esto inunda el servidor y puede hacer que los servicios no estén disponibles para los usuarios reales. Un ataque distribuido de denegación de servicio (DDoS) utiliza múltiples bots o botnets en un solo objetivo para causar una interrupción aún mayor.
Ataque adversario en el medio
El adversario en el medio (AITM) es un ataque que intercepta la comunicación entre dos sistemas. Esto podría ser entre un usuario y un servidor de sitios web. La intención es robar o cambiar datos dentro de esa comunicación. El actor de amenaza puede pretender ser una o ambas partes comunicantes legítimas para obtener acceso a información confidencial. Pueden insertarse entre las dos partes y alterar las comunicaciones. El uso del protocolo de transferencia de hipertexto basado en certificados Secure (HTTPS) validará su sitio web a los usuarios y establecerá un canal confidencial para mitigar Aitm ataques.
Ataque de malware
Cualquier ataque que distribuya software malicioso para causar daños, propagar infecciones o robar datos confidenciales. El malware puede esconderse y permanecer en su sitio web desapercibido y puede afectar negativamente a cualquier usuario que visite su sitio. Los ejemplos de malware incluyen virus, troyanos, ransomware y keyloggers.
Ataque de credencial de relleno
Un ataque de relleno de credenciales ocurre cuando los actores de amenaza usan credenciales previamente robadas para tratar de iniciar sesión en una cuenta. Continúan sus intentos hasta que se encuentra un partido.
Si su sitio web está comprometido, su organización no es la única en riesgo; Los actores de amenaza también pueden apuntar a su cadena de suministro, organizaciones afiliadas y clientes. Para obtener más información sobre los riesgos de las cadenas de suministro, ver Seguridad de la cadena de suministro cibernético para pequeñas y medianas organizaciones (ITSAP.00.070) y La amenaza cibernética de las cadenas de suministro.
Ataques de fuerza bruta
Los ataques de fuerza bruta son cuando los actores de amenaza usan intentos de inicio de sesión excesivos con cualquier número de combinaciones de caracteres para iniciar sesión en un sistema o red.
Impacto de la inteligencia artificial
La inteligencia artificial (IA) es una tecnología de rápido crecimiento y compleja que puede aumentar la funcionalidad del sitio web, pero también puede complicar y desafiar las medidas comunes de seguridad cibernética. AI y generativo AI Los actores amenazados pueden utilizar los ataques de sitios web para intensificar la creación de código rápidamente, extrayendo grandes cantidades de datos y difundiendo malware. Sin embargo, AI También puede aumentar las medidas de seguridad contra estos ataques.
Esta publicación no entra en detalles sobre AIpero es importante mantenerse bien informado sobre AIDesarrollo. Consulte nuestra orientación sobre inteligencia artificial para aprender más.
Desarrollar y administrar su sitio web de forma segura
Su sitio web es la puerta de entrada entre Internet y su organización. Los actores de amenaza pueden explotar las vulnerabilidades y las configuraciones erróneas para robar, alterar o eliminar datos confidenciales. Esto incluye:
portales de proveedores
datos de los clientes
pistas de ventas
información operativa y financiera
Manténgase un paso adelante revisando los siguientes aspectos de su sitio web. Si está utilizando un servicio web, debe discutir cada uno de los temas a continuación con su proveedor de servicios.
Asegure su arquitectura web
Asegure la arquitectura de su sitio web, incluidos sus elementos, relaciones, componentes seleccionados y principios de diseño. También debe aplicar principios como la segregación y la redundancia.
Segre las componentes de su servicio web. Si un componente está comprometido, los otros componentes están protegidos porque han sido segregados. También debe segregar su servidor de aplicaciones y su base de datos para proteger los datos confidenciales.
Debe diseñar su sitio web para agregar redundancias en los componentes de su servicio web (replíquelos). Con redundancias, puede asegurarse de que sus operaciones continúen si un componente falla.
Requiere el uso de Https De forma predeterminada en su sitio web y configure la seguridad de la capa de transporte (TLS) que se utilizará entre todos los componentes del servicio web. Esto asegura que los datos confidenciales, como los datos de autenticación y la información de propiedad, se cifren en el tránsito. Https usa el TLS Protocolo para cifrar y autenticar las visitas de página web.
Implementar una autenticación fuerte
La autenticación se refiere a los mecanismos utilizados para validar la identidad de un usuario.
Implemente una contraseña segura y una política de frase de pases que incluya autenticación de factores multifactor (MFA) para una seguridad adicional. Nunca envíe contraseñas en texto sin formato a través de Internet. En su lugar, use hashes y cifrado.
Chava es una función unidireccional. Implica convertir los datos en un valor hash único y de longitud fija. El hash es un componente clave de las técnicas criptográficas utilizadas por los navegadores y sistemas para proteger la integridad de los datos transmitidos.
Encriptación está revuelta los datos de cierta manera que solo alguien con la clave correspondiente puede descifrarlo. Esta es una función bidireccional. El cifrado utiliza un cifrado, un tipo de algoritmo, para revolver los datos.
Después de un umbral de intentos de inicio de sesión fallidos u otro comportamiento sospechoso, bloquear las cuentas y los inicios de sesión de retraso. Asegúrese de tener un proceso seguro de recuperación de la cuenta. Ver Desarrollar su plan de recuperación de TI (ITSAP.40.004) para aprender más.
Definir el control de acceso
Los controles de acceso definen quién puede acceder a qué recursos en su sitio web y restringir qué información pueden ver y usar. Definir controles de acceso específicos e implementar el principio de menor privilegio para garantizar que los usuarios solo tengan el acceso necesario para llevar a cabo sus funciones autorizadas.
Considere todas las capas de control de acceso a aplicaciones web, como las capas de aplicación y de presentación del modelo Open Systems Interconnection (OSI), capa de datos y capa de red. Considere usar los siguientes tipos de permisos:
Basado en URL
Sistema de archivos y servidor
Lógica de negocios de la aplicación (lo que puede hacer el usuario)
Identifique las capas de control de acceso en sus estándares de codificación y pruebe rigurosamente antes de implementar sus servicios web.
Evaluar sus proveedores de servicios
Si usa un proveedor de servicios, es posible que no tenga acceso a la infraestructura o control sobre las funciones de seguridad asociadas. Sin embargo, incluso cuando utiliza un proveedor de servicios, su organización sigue siendo legalmente responsable de proteger la confidencialidad e integridad de sus datos.
Antes de contratar un proveedor de servicios, revise sus capacidades y políticas de seguridad de la privacidad de datos y su privacidad. Defina claramente los roles y responsabilidades de su proveedor de su organización y su servicio con respecto a la seguridad. Puede usar las secciones en este documento para guiar su discusión con un proveedor de servicios sobre sus capacidades de seguridad.
Validar entradas
La validación de entrada es el proceso de verificar que los usuarios y las aplicaciones solo pueden ingresar datos formados correctamente, como en campos, formularios o consultas.
Todas las entradas en su sitio web deben considerarse no confiables. Validar las entradas dentro de sus servicios web, incluidos:
navegadores de clientes
Firewalls de aplicaciones web
servidores web
bases de datos
Lógica de negocios de aplicaciones
Debe validar las entradas lo antes posible durante el proceso para reducir la tensión en sus servidores. Prueba de validación de entrada durante su proceso de desarrollo.
Las entradas también deben controlarse. Haga cumplir las longitudes de entrada esperadas para evitar valores no válidos y limitar las entradas de forma libre para minimizar el riesgo de inyección de script. Esconder Sql Mensajes de error de los usuarios finales, ya que estos mensajes contienen información valiosa sobre su base de datos.
Revise sus configuraciones de seguridad
Aunque las configuraciones de seguridad recomendadas por el proveedor generalmente proporcionan una buena línea de base, estos valores predeterminados pueden no proporcionar el nivel de seguridad necesario para proteger sus sistemas y datos de las amenazas cibernéticas. Asegúrese de revisar configuraciones para identificar cualquier vulnerabilidad como:
puertos o servicios web no utilizados
Archivos sin protección
Directorios sin protección
Debe desactivar la navegación de directorio, ya que proporciona información sobre la estructura de su sitio web. Elimine cualquier archivo de operación web innecesario, como el código fuente o los archivos de copia de seguridad que puedan contener contraseñas.
Desactivar el almacenamiento en caché de la credencial del navegador. Aunque el almacenamiento en caché de credenciales es conveniente para los usuarios, puede poner en riesgo la información confidencial.
Debe implementar la gestión de configuración para promover la codificación segura y mantener las líneas de base en toda su organización.
Administre sus sesiones de forma segura
Una sesión es un intercambio de información entre dos o más entidades, como dos dispositivos o un usuario y un servidor web. La gestión de sesiones es el proceso de iniciar, controlar, mantener y poner fin a estos intercambios. Si las sesiones no se administran de forma segura, los actores de amenaza pueden interrumpir o secuestrar sesiones para interceptar datos o hacerse pasar por usuarios autenticados.
Al azar, sus identificadores de sesión para evitar que los actores de amenaza infieran secuencias de identificadores de sesión. Los identificadores de sesión deben tener una longitud mínima aceptable para proteger contra los ataques de fuerza bruta.
Almacene los datos de seguimiento de sesión confidencial en los servidores de servicios web con un período de retención apropiado y destruyérdolos en la fecha de vencimiento. Expire los datos de la sesión cuando un usuario inicie sesión o está inactivo durante un tiempo especificado.
Las cookies de sesiones, también conocidas como cookies en memoria, permiten a los usuarios ser reconocidos mientras navegan por el sitio web, por ejemplo, los artículos permanecerán en sus carros mientras compran. Use el atributo de cookie seguro para evitar que las cookies se envíen a través de un canal no certificado.
Asegure sus operaciones
Una vez que su sitio web se esté ejecutando, debe prevenir, identificar y responder a las amenazas e incidentes cibernéticos. Si es posible, debe monitorear continuamente la actividad del sitio web para comportamientos anómalos, como los intentos de inyección o inyección repetidos. Por ejemplo, en los ataques de relleno de credenciales, los actores de amenaza usan credenciales filtradas o robadas y las «llenan» en páginas de inicio de sesión de otros sitios web hasta que se encuentran los partidos.
Para promover la seguridad y la funcionalidad continuas de sus servicios web, implementen un proceso de gestión de parches para adquirir, probar e instalar parches y actualizaciones en sus sistemas y dispositivos. Asegúrese de parchear sistemas subyacentes, sistemas de administración de contenido, aplicaciones web y complementos. Incluya un archivo Security.txt en su sitio web. Proporciona una forma clara y estandarizada para que los investigadores de seguridad informen vulnerabilidades. Los archivos de seguridad .txt aseguran que los problemas críticos se comuniquen de manera rápida y segura a su organización. Este enfoque proactivo ayuda a proteger a sus usuarios y su organización al facilitar respuestas más rápidas a posibles amenazas.
También debe promover la conciencia de seguridad dentro de su organización y con sus clientes. Al ser transparente sobre los pasos que está tomando para proteger los datos, puede fomentar la confianza con sus organizaciones asociadas, cadena de suministro y clientes.
Obtenga más información