Digitaliza tu negocio · 11 minutos de lectura

¿Cómo proteger tu página web? Claves de seguridad para empresas

Cómo proteger tu página web.
Imagen: 13_Phunkod (Shutterstock)

Tener presencia online es crucial hoy en día para muchas pymes. Sin embargo, cada vez son más habituales los ataques a páginas web y tiendas de comercio electrónico. Por eso es importante no solo contar con un espacio en internet, sino con uno que sea seguro y que ofrezca confianza a los usuarios y potenciales compradores.  

Índice

  1. ¿Qué es la seguridad web?
  2. ¿Por qué es importante la seguridad web?
  3. ¿Cómo hacer mi página web segura?
  4. ¿Cómo aumentar la seguridad web en mi empresa?

¿Qué es la seguridad web?

Hoy en día, una página web y una tienda online son excelentes escaparates para una empresa mediana o pequeña. Son la forma de dar a conocer sus productos y servicios, entrar en contacto con clientes existentes o potenciales y, finalmente, vender o ampliar mercado.

Cada día más, la facturación de las compañías depende en mayor proporción de las ventas electrónicas. Según la CNMC, en España el volumen de las ventas a través de comercio electrónico se ha doblado con creces en los últimos cinco años, y hoy ronda los 13.000 millones de euros al trimestre. El número de compras a tiendas virtuales se ha disparado desde el comienzo de la pandemia, por necesidad, pero también por la cada vez mayor confianza que muestran los españoles en los pagos online

Cómo proteger tu página web.

Debido a este aumento del consumo online, los sitios web son objeto de continuos ataques informáticos, ya que se han convertido en un objetivo para los ciberdelincuentes. Por ello, cualquier empresa que quiera tener un negocio electrónico creciente y seguro, así como una buena reputación online, debe evitar o minimizar el riesgo de sufrir estas amenazas.

Uno de los ciberataques más comunes que se realizan a las páginas web de empresas o entidades es el de denegación de servicio, que tiene como propósito bloquearlas durante horas o días. También pueden realizar ataques en busca de datos confidenciales de los clientes, como direcciones de correo electrónico, contraseñas, datos personales o información de pago. Para ello, pueden tratar de comprometer la página, suplantarla para que sus propios clientes proporcionen esos datos mediante el engaño (phishing), o incluso modificar el aspecto de la página web total o parcialmente, afectando al gestor de contenidos o al servidor web que la soporta. De esta manera, consiguen redirigir el tráfico o los datos a páginas web maliciosas, publicitar algún tipo de reivindicación o mostrar anuncios no deseados. Es el denominado defacement.

Por todo ello, es vital que las pymes se tomen en serio la seguridad de su página web y de las aplicaciones y herramientas que están detrás de su funcionamiento, desde el gestor de contenidos (CMS) a las comunicaciones con los usuarios. 

¿Por qué es importante la seguridad web?

El coste de que la página web o la tienda online de una empresa deje de funcionar o sea atacada puede llegar a suponer pérdidas de hasta cientos de miles de euros al día, dependiendo del tráfico y la actividad comercial que esta genere. Por otra parte, debe ponerse también en valor la pérdida de reputación que sufre la empresa en el mercado, así como la caída de la confianza de sus clientes. Un usuario que no confíe en nuestros servicios y herramientas es un usuario que difícilmente volverá.

Es por estos motivos por lo que debemos ser conscientes de los riesgos que puede conllevar la navegación por internet para los usuarios y ofrecerles páginas en las que puedan confiar a la hora de buscar información, dejar sus datos o realizar pagos. Es importante que los clientes online puedan comprobar que los sitios web que utilizan cumplan con la ley y muestren un firme compromiso con la seguridad. Por otra parte, ya son muchos los que, antes de entrar en un e-commerce a adquirir productos o servicios, comprueban su reputación en foros, para certificar que no ha sufrido ataques o que siempre ha dado una respuesta adecuada.

¿Cómo hacer mi página web segura?

Una empresa que quiera tener una web segura y un sitio de comercio electrónico eficaz y que ofrezca confianza a los compradores debe aplicar una serie de medidas, que van desde los obligados certificados SSL a las copias de seguridad, pasando por la instalación de un WAF (Web Application Firewall) para proteger sus aplicaciones web y corregir las vulnerabilidades que se hayan encontrado.

Las claves de la ciberseguridad: concienciación, protección y respuesta

Instala un certificado SSL

Siempre que en una página se ofrezca la posibilidad de comprar, ésta debe ir protegida con un certificado SSL, una herramienta que aporta al sitio una identidad única (como una especie de DNI), que es emitida por una entidad certificadora (CA) y verifica que la página web es auténtica y legítima.

Este certificado digital cifra las comunicaciones entre el usuario y la página, de tal forma que la información introducida y las acciones realizadas no puedan ser interceptadas por terceros. Por otra parte, este elemento también valida que el servidor web al que se está conectando el usuario es el oficial, ayudándole a saber que no se encuentra en una página suplantada. Además, el certificado digital es fácilmente identificable para los clientes, pues una página que recurra a él mostrará elementos como un candado y generará una dirección HTTPS.

Cómo proteger tu página web.

Instala un cortafuegos de aplicación web

Es muy recomendable instalar un cortafuegos de aplicación web (WAF). Se trata de un sistema de seguridad específicamente diseñado para los servidores de aplicaciones online, que son los encargados de gestionar el tráfico y mostrar las páginas al usuario final. Si la web de la empresa es llevada por un tercero, es conveniente incluir en el contrato este sistema de control.  

Haz copias de seguridad

Cualquier información importante en una empresa debe estar guardada en diferentes lugares. Esto es así para evitar, por ejemplo, la pérdida de información ante un ataque o incluso el chantaje que acarrea un ransomware, (secuestro de datos locales mediante un cifrado por cuya clave los atacantes piden un rescate monetario).

En el caso de un sitio web o de comercio electrónico que sirve para mantener la relación con los clientes, hacer una copia de seguridad de la página y las bases de datos asociadas es muy importante. Una buena política de copias de seguridad o backup supone que todos los elementos del portal web deben guardarse en un lugar distinto y seguro. Comúnmente esto se realiza en otro proveedor que nos ofrezca diferente infraestructura, o incluso múltiples proveedores si queremos tener diferentes copias de seguridad, según el tamaño del negocio. Por otra parte, la empresa debe comprobar periódicamente que puede recuperar los datos sin problemas. Si la página web la gestiona un tercero, sería recomendable añadir un servicio de backup en el contrato.  

Ten el software siempre al día

Una página web se crea y actualiza con gestores de contenidos (CMS). Algunos cuyo uso es muy extendido pueden ser WordPress, Joomla! o Drupal. En cualquier caso, es importante tener este software actualizado debido a que los ciberdelincuentes suelen explotar las vulnerabilidades de estos programas, que suelen proliferar en las versiones antiguas, ya que son estas actualizaciones las encargadas de ir parcheando las nuevas vulnerabilidades que se van encontrando. En el diseño de una web, también existirán complementos al CMS, los llamados plugins, que también será necesario tener al día y asegurarse de que no suponen un riesgo.

Cómo proteger tu página web.

¿Cómo aumentar la seguridad web en mi empresa?

Recurre siempre a contraseñas robustas y seguras

Mediante un ciberataque, los ciberdelincuentes podrían lograr acceso a la base de datos de contraseñas de una página web. Sin embargo, si esta se guarda correctamente cifrada, será la complejidad de la contraseña la que dificulte el trabajo de conseguir la clave del usuario. Cuanto más compleja (longitud superior a 8 caracteres, uso de números y símbolos, formar palabras que no se encuentran en el diccionario…), más tiempo les costará a sus herramientas automáticas descifrar las claves. De esta forma estaremos consiguiendo tiempo para descubrir el compromiso de los datos debido al ciberataque y avisar a los usuarios para que modifiquen sus contraseñas.

Además, si añadimos el requisito de un segundo factor de autenticación, estaremos ofreciendo a los usuarios una barrera adicional. De modo que, aunque lograsen sus claves de acceso, este doble factor de confirmación impediría el acceso fraudulento. Además, serviría de aviso al usuario para conocer que su contraseña se ha visto comprometida, ya sea debido a un ciberataque a la base de datos, a un ataque masivo de phishing de credenciales, o a un ataque personal en el que se ha conseguido la contraseña.

La formación de los trabajadores, clave para garantizar la ciberseguridad en las organizaciones

Usa sistemas captcha para interactuar con los usuarios

Si la web permite realizar comentarios, valorar productos o realizar sugerencias o reclamaciones, es conveniente usar sistemas captcha. Estas herramientas certifican que al otro lado estará una persona e impedirá que un bot automático genere comentarios que, en algunos casos, pueden incluir software malicioso o publicitario. Además, este sistema también evitará los ataques de denegación de servicio.

Cumple con la normativa de privacidad de los datos

Una página web o un sitio de comercio electrónico donde se registren datos personales de usuarios y compradores deberá cumplir con la normativa europea de privacidad (GDPR), que entró en vigor en 2018. De no hacerlo, las empresas están expuestas a multas que pueden elevarse a 20 millones de euros o el 4% de su facturación anual. Además de obligar a informar claramente a los usuarios de cómo se procesarán sus datos personales o exigir siempre su consentimiento explícito para obtenerlos, este reglamento obliga a establecer altos niveles de protección y sistemas eficaces de recuperación de los datos.

Por otro lado, con el objetivo de mantener los mayores niveles de seguridad digital, será de gran ayuda estar puntualmente informado sobre la actualidad el sector cibernético, así como realizar pequeños tests de espacios de confianza con los que medir el el nivel de ciberseguridad de nuestra red.

Además, si queremos ofrecer más seguridad a nuestros servicios, una buena opción será recurrir a proveedores de servicios de hacking ético con el fin de validar periódicamente la seguridad de la página web.

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Firma digital para empresas: ¿qué es, cómo hacerla y para qué sirve?
Estafas por WhatsApp: ¿cuáles hay y cómo detectarlas y prevenirlas?
¿Qué es el cybersquatting y cómo reconocerlo? Así puedes protegerte de la...
Usabilidad: qué es, cómo se mide y cómo mejorar la de tu sitio web
TikTok para empresas: ¿cómo usarlo? La guía que necesitas

También te interesará…

7 febrero 2022
¿Está tu empresa preparada para superar un problema de seguridad?
Los ciberataques se han convertido en algo habitual, que afectan tanto a grandes empresas como a organismos públicos y pymes. Pero sin llegar tan lejos, en muchos casos se producen...
  min
10 min
16 marzo 2022
Ransomware: qué es el secuestro de datos, cómo funciona y qué puedo hacer para evitarlo
El ransomware es uno de los ataques informáticos a empresas que más han proliferado en los últimos años. Por eso conviene saber bien en qué consiste, cómo prevenirlo y cómo...
  10 min
9 min
28 enero 2022
¿Cómo detectar el phishing y qué hacer para evitarlo?
El phishing es el ciberataque más extendido que hay en la actualidad. Todos los días millones de personas en todo el mundo se topan en su bandeja de correo electrónico...
  9 min
Lo más visto
Firma digital para empresas: ¿qué es, cómo hacerla y para qué sirve?
Estafas por WhatsApp: ¿cuáles hay y cómo detectarlas y prevenirlas?
¿Qué es el cybersquatting y cómo reconocerlo? Así puedes protegerte de la...
Usabilidad: qué es, cómo se mide y cómo mejorar la de tu sitio web
TikTok para empresas: ¿cómo usarlo? La guía que necesitas
LinkedIn Twitter Facebook Whatsapp Email