Pasos sencillos para tener un sitio web seguro en 2016

1 9 0 5 2 0 1 6 3 1 2 7

GUÍA DE SEGURIDAD EN LOS SITIOS WEB

En el año 2013, las fugas de datos dejaron al descubierto 384 millones de identidades, lo que equivale a toda la población de Europa Occidental. Si su sitio web no está bien protegido frente a los ataques de los hackers, además de tener que lidiar con las protestas airadas de los clientes, tal vez deba hacer frente a sanciones por incumplir la normativa y se gane una pésima imagen en los medios de comunicación.

Por qué merece la pena tener un sitio web bien protegido El sitio web puede resultar muy útil para impulsar el crecimiento de la empresa, pero también puede dañar gravemente el negocio. No queremos abrumarle con estadísticas alarmantes y jerga técnica, pero sí insistimos en que conocer bien los riesgos es tan importante como tener en cuenta las oportunidades. Para ello, lo primero que tiene que saber es qué hacen los clientes en su sitio web: 4 Comprar algo Se calcula que en Europa las ventas electrónicas pasarán de un 12,7 % a un 21,5 % de aquí al año 2018. Las compras por Internet constituyen una parte vital de la economía, pero los clientes cada vez son más prudentes y, antes de facilitar el número de su tarjeta de crédito, comprueban que las empresas hagan todo lo posible por proteger sus datos.

4 Leer su blog Según los especialistas en software de comercio electrónico de Selz, casi la mitad de los clientes leen reseñas y blogs antes de hacer una compra por Internet. De hecho, el 13 % de los consumidores decla­ ran que han adquirido algo debido a una publicación en un blog. Para que su blog reciba más visitas, no basta con publicar contenidos de calidad, sino que también es imprescindible proteger bien el sitio web para que no acabe en las listas negras de Google y para que los lectores no corran el riesgo de infectarse con software malicioso.

4 Escribir sus datos en una página de entrada Con el marketing de atracción (también llamado inbound marketing), el coste por cliente potencial es un 61 % menor que con las técnicas tradicionales. Además, los profesionales que adoptan estrategias de marketing de atracción logran una tasa de conversión que casi duplica la de los demás (el 12 en lugar del 6 %). En consecuencia, debe evitar a toda costa que la gente desconfíe de su sitio web y sea reacia a facilitar sus datos de contacto en la página de entrada.

4 Realizar otro tipo de transacción, como concertar una cita Los consumidores se han acostumbrado a la posibilidad de comprar de forma eficiente y sencilla a cual­ quier hora del día y cualquier día de la semana gracias a sitios web como Amazon, y ahora se esperan disfrutar de esa misma comodidad al tratar con todo tipo de empresas.

1 9 0 5

Si permite a los internautas concertar una cita o llevar a cabo otro tipo de transacción no financiera en su sitio web, podrán comunicarse con su empresa con un sistema que les resulta familiar y en cualquier momento podrán convertirse en clientes.

3

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

4 Solicitar una versión de prueba gratuita Según 37 Signals, «las empresas inteligentes saben que regalar versiones de prueba es un método excelente para atraer a los clientes». Las versiones gratuitas de aplicaciones para móviles u otro tipo de programas permiten a los potenciales clientes utilizar la interfaz de usuario y probar las funciones para ver si se ajustan a sus exigencias. Sin embargo, nadie cargará sus datos en su software si no garantiza la seguridad.

4 Descargar una aplicación Según las previsiones de Gigaom, en el año 2018 los ingresos de los desarrolladores de la Unión Europea ascenderán a 85 300 millones de dólares, lo cual no es de extrañar, pues los estudios de comScore demuestran que ahora pasamos más tiempo usando aplicaciones en dispositivos móviles que conectados a Internet en el ordenador de sobremesa. Sin embargo, en el Informe de Symantec sobre las amenazas para la seguridad en Internet se señala que hay delincuentes que se dedican a «introducir código malicioso dentro de aplicaciones legítimas» o a «crear nuevas aplicaciones maliciosas que parecen contener funciones útiles». Para proteger a sus clientes, es imprescindible recurrir a un sistema seguro de firma de código y a tiendas legítimas.

4 Buscar información sobre su empresa o sus productos «Ahora que la búsqueda de información en Internet desempeña un papel más importante en las compras de gran envergadura, el 60 % de los consumidores empiezan por visitar un buscador para luego acceder al sitio web del minorista», explica Toni White, CMO de finanzas de la venta al detalle en GE Capital. Aunque un consumidor no vaya a interactuar con usted de forma activa en su sitio web, sí se hará una opinión de su empresa en función de cómo se presente y qué actitud adopte con respecto a la seguridad.

4 Comunicarse con su empresa Según los estudios de Forrester, el 44 % de los consumidores online aseguran que el hecho de tener a su disposición una persona que responda a sus dudas durante una compra por Internet constituye una de las funciones más importantes que puede ofrecer un sitio web. Así, los servicios de asistencia online y los formularios de contacto resultan útiles para satisfacer o superar las expectativas de los clientes, pero también exigen proteger los datos que se intercambian con estos sistemas.

4 D  onar dinero (por ejemplo, a organizaciones sin ánimo de lucro o campañas de financiación colectiva) Según un informe de Massolution, en 2016 se obtendrán más fondos a través del micromecenazgo que mediante el capital de riesgo. En 2014 se obtuvieron de este modo 16 000 millones de dólares, y se calcula que en 2015 se habrán conseguido 34 000 millones. En cuanto la recaudación de fondos para la caridad, 14 000 millones de personas realizaron donaciones en 2015.

1 9 0 5

Por lo tanto, no solo los sitios web de comercio electrónico tienen que inspirar confianza en las personas que estén pensando si facilitar o no los datos de su tarjeta de crédito.

4

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

4 Compartir contenidos en las redes sociales «El concepto de social proof o “demostración social” se refiere al hecho de que las personas tienden a imi­ tar las acciones de los demás porque dan por hecho que estas constituyen el comportamiento correcto», explica Ed Hallen, de Buffer. Así, los contenidos que se publican en las redes sociales se pueden convertir en un instrumento de marketing muy influyente, pero los consumidores tienen que confiar en su sitio web antes de compartirlo con sus ami­ gos, porque no quieren ser responsables de bloquear el ordenador de sus compañeros (o incluso algo peor).

4 Realizar transacciones bancarias por Internet Cada vez se realizan más transacciones bancarias en línea, por lo que en 2014 las pérdidas producidas por el fraude bancario aumentaron un 48 % con respecto a 2013. Pero esto no significa que deba pasar por alto la tendencia a realizar transacciones bancarias por Internet. En palabras de Richard Levy, director de marketing de MoneyGram en el Reino Unido: «La tecnología digital ha hecho que aumenten las expectativas de los consumidores, que se han acostumbrado a marcas como Amazon, y los servicios financieros tienen que ponerse a la altura».

Este año, adelántese a la competencia Imaginemos que ha decidido empezar a correr este año. Será mucho más probable que cumpla su propósito si contrae un compromiso firme. Por ejemplo, inscribirse a una media maratón en mayo y entrenarse para ella es más eficaz que limitarse a decir: «Voy a salir a correr de vez en cuando». Con su sitio web ocurre algo parecido. Necesita fijarse un objetivo, diseñar un plan y hacerse una idea de lo que se avecina. Aunque es cierto que nadie puede predecir el futuro, sí que es posible aprender algo del pasado. En el año 2014 ha habido dos grandes problemas de seguridad, Heartbleed y Shellshock, que han apro­ vechado vulnerabilidades presentes en el software de código abierto que constituye la base del comercio electrónico y de la seguridad en Internet. En palabras de Anthony Caruana, de CSO Online: «Tal vez lo más importante que hemos aprendido con Heartbleed es que ya no se puede confiar en algo solo porque todavía no haya sufrido un ataque». En materia de seguridad de sitios web, no se puede dar nada por sentado. Su principal motivación en 2016 debe ser lograr la suficiente capacidad de adaptación para afrontar los imprevistos. Además, si mejora la seguridad, también aumentan las oportunidades. En 2014, Google anunció que asig­ naría un mejor posicionamiento a los sitios web que tuvieran todas las páginas protegidas con HTTPS en lugar de solo aquellas donde se realizan transacciones: una práctica recomendada en materia de seguri­ dad que se denomina Always-On SSL. Google también da prioridad a los sitios web que brindan una buena experiencia de usuario, así que si protege correctamente a los internautas, mejorará su posicionamiento en los buscadores: todos salen ganando.

1 9 0 5

5

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

Los ciberdelincuentes pondrán a prueba su fuerza de voluntad Nunca es fácil cumplir un propósito de Año Nuevo y, cuando se trata de su sitio web, puede tener la certeza de que los ciberdelincuentes harán todo lo posible para echar por tierra sus mejores intenciones de garantizar la seguridad. Veamos cuáles son los sistemas más frecuentes que utilizan los hackers para atacar un sitio web que no esté bien protegido. 4 Suplantación de identidad o spoofing Una práctica delictiva habitual consiste en clonar un sitio web popular para conseguir que los internautas revelen sus contraseñas u otros datos confidenciales. Por eso es tan importante autenticar la identidad de su empresa mediante los certificados SSL con Extended Validation: tal vez la barra de direcciones verde sea lo único que diferencie el sitio web legítimo de su clon malicioso.

4 Captura de datos Existen distintos tipos de programas maliciosos que los delincuentes tratan de inyectar en su sitio web, cada uno de ellos con funciones diferentes. En ocasiones, el objetivo es infectar los equipos de los inter­ nautas para registrar pulsaciones de teclas y robar otros datos personales, mientras que otras veces los hackers intentan infiltrarse en su servidor y su red. Recuerde que, cuantos más datos empresariales tenga en la misma red que su servidor web, más información podrán robar los atacantes.

4 Ataques de abrevadero o watering hole Tal vez el objetivo de los hackers sea infectar a sus clientes con software malicioso. Para ello, lanzan un ataque watering hole, que aprovecha la popularidad de un sitio web legítimo como el suyo introduciendo código dañino en el software que lo ejecuta. A continuación, cuando alguien visita el sitio web en cuestión, se infecta. Se trata de un sistema perverso diseñado especialmente para pasar inadvertido.

Recomendaciones para que su sitio web esté bien protegido en 2016 4 Controle el acceso a los servidores y certificados: En una empresa grande como la suya, con varios servidores web y certificados SSL, hay más personas que tienen acceso a datos confidenciales sobre la seguridad de los sitios web, lo cual implica un mayor riesgo de ataques desde dentro.

1 9 0 5

Reduzca al mínimo el peligro que suponen los empleados malintencionados: controle el acceso a los siste­ mas y a los servidores, y modifique periódicamente las contraseñas, sobre todo cuando haya cambios de personal en el equipo que gestiona la seguridad del sitio web. Asimismo, no olvide implantar procesos y políticas para restringir el acceso, registrar los cambios y proteger las claves de cifrado privadas. 6

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

4 Cree un centro de seguridad o de confianza en el sitio web: Para demostrar a los internautas que se toma en serio su seguridad, incluya en el sitio web una página en la que explique las medidas que toma para protegerlos y lo que estas significan en la práctica. El minorista John Lewis constituye un buen ejemplo en el Reino Unido. Explique a los internautas qué tipo de datos se cifran y cómo se hace, y no olvide proporcionar información precisa. De este modo, sus clientes estarán mejor protegidos y usted demostrará que se toma en serio la seguridad.

4 Muestre distintivos de confianza: La gente está acostumbrada a buscar indicios visuales que demuestren que un sitio web es seguro. Por ejemplo, en un estudio de mercado internacional sobre consumo en Internet realizado en julio de 2013, el 90 % de los encuestados declararon que era más probable que continuaran con una transacción online si veían el sello Norton Secured. Responda a las exigencias de los internautas: el sello Norton Secured, que puede mostrar en el sitio web si instala certificados SSL de Symantec, es el distintivo de confianza más conocido en Internet y se visualiza más de mil millones de veces al día en 170 países.

4 Elija una autoridad de certificación prestigiosa: En la lucha contra los ciberdelincuentes, no todas las autoridades de certificación (o CA, por sus siglas en inglés) son iguales en cuanto a su rigor, recursos y capacidad de adaptación. Tenga en cuenta que es muy importante elegir bien la CA. No todos los certificados SSL (Secure Sockets Layer o «capa de sockets seguros») se emiten con el mismo rigor, así que vale la pena comprobar el grado de seguridad y las garantías de autenticación que ofrecen antes de poner en sus manos la protección de sus clientes y la imagen de su marca. No toda la tecnología SSL es igual de eficaz, porque no todas las autoridades de certificación son igual­ mente fiables. Por ello, es fundamental que las autoridades de certificación apliquen las prácticas reco­ mendadas para proteger las claves privadas y garanticen el riguroso cumplimiento de unas normas de autenticación estrictas. Solo así conseguiremos que Internet sea un entorno seguro para todos. Symantec, empresa fundada en 1995 con el nombre de VeriSign, es el proveedor de las mayores implanta­ ciones de certificados del mundo. • Los servicios de validación de Symantec procesan por término medio más de 4500 millones de peticio­ nes al día y llevan más de ocho años funcionando de manera ininterrumpida. • De las 100 instituciones financieras más importantes del mundo, 97 utilizan certificados SSL de Symantec, al igual que el 75 % de los 500 sitios web de comercio electrónico más destacados de Norteamérica.

1 9 0 5

• La eficaz PKI de Symantec incluye sitios de recuperación en caso de desastre y centros de datos que garantizan una seguridad comparable a la que se exige para usos militares. De este modo, los clientes disfrutan de una solución insuperable en cuanto a la disponibilidad y la protección de los datos, con lo que no tienen que preocuparse por nada.

7

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

4 Tenga siempre bajo control las fechas de renovación de los certificados SSL: Si se le pasa la fecha de renovación de un certificado SSL, quien visite su sitio web verá una advertencia de seguridad, lo cual es nefasto para el negocio: según un estudio de mercado sobre consumo en Internet realizado en Estados Unidos, el 91 % de los encuestados abandonan una transacción si aparece una página de aviso del navegador que indique que la conexión no es segura. Es fundamental contar con una persona encargada de las renovaciones y una herramienta específica para supervisar y gestionar los certificados. Symantec ofrece toda una gama de herramientas de gestión de certificados SSL, así que basta elegir la más adecuada según el tamaño y las exigencias de su empresa.

4 Fomente las buenas prácticas entre los empleados: Según un estudio de Symantec realizado en colaboración con el Ponemon Institute, el 51 % de los emplea­ dos que trabajan para empresas sin una política de seguridad de datos bien definida consideran aceptable copiar datos empresariales en sus ordenadores personales. No solo importa la forma de recopilar en su sitio web los datos de los clientes, sino que también es fundamental cómo se almacenan y utilizan. Los empleados tienen que saber cómo garantizar el cumplimiento de las normativas y, para ello, la directiva de la UE sobre protección de datos personales es un buen punto de partida.

4 Impida que los empleados muerdan el anzuelo: Tiene que proteger el sitio web tanto de las amenazas externas como de las internas. Explique a los empleados el riesgo que supone que los ciberdelincuentes accedan a los servidores web y enséñeles a detectar las trampas que tienden para infectar la red, como los sitios web o mensajes de correo electrónico maliciosos y las estrategias de ingeniería social en las redes sociales. Symantec ofrece recursos online gratuitos además de programas de certificación y formación impartida por instructores.

4 Fórmese sobre cuestiones de seguridad: No infravalore la importancia de la información. Si se forma sobre cuestiones de seguridad, sabrá prote­ ger mejor su sitio web. Y, si bien es cierto que es imposible dominar todos los entresijos técnicos, resulta crucial conocer las amenazas a las que se enfrenta. Dicho de otro modo, conviene aliarse con un experto en seguridad como Symantec, pero antes que nada tiene que saber por qué lo necesita.

4 Realice análisis contra software malicioso: Según el informe del ISF (Foro de Seguridad de la Información) sobre las amenazas previstas en 2015, «el hecho de que el hacktivismo y el software malicioso existan ya desde hace un tiempo no significa que ahora sean menos peligrosos ni que podamos relajarnos, sino justo lo contrario».

1 9 0 5

El objetivo de los delincuentes es diseminar código malicioso e intentarán servirse de su sitio web legítimo para ello, así que empiece cuanto antes a analizar el estado de su sitio web periódicamente y no pase por alto ningún punto débil. Todos los certificados SSL de Symantec incluyen análisis diario contra software malicioso, una función que consiste en comprobar las páginas públicas para proteger su empresa y a sus clientes.

8

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

4 Realice evaluaciones de vulnerabilidad: Los ciberdelincuentes buscan formas de entrar en su sitio web y, según las conclusiones del Informe de Symantec sobre las amenazas para la seguridad en Internet, muchos se lo ponen fácil: en 2014, el 76 % de los sitios web legítimos tenían una vulnerabilidad de carácter crítico. Examine el estado de su sistema inmunitario y ocúpese de sus puntos débiles: muchos de los certificados SSL de Symantec incluyen gratis la evaluación de vulnerabilidad.

4 Mantenga siempre al día sus servidores: Según los estudios realizados por Symantec, más de dos tercios de los sitios web utilizados para distribuir software malicioso son sitios legítimos infectados. El problema es que numerosas empresas no mantienen actualizado el software de sus servidores. Cuando el fabricante de un programa lanza una actualización o revisión, es porque ha desarrollado una so­ lución para una vulnerabilidad concreta. En consecuencia, si no actualiza los servidores, estará poniendo en peligro innecesariamente su sitio web, pues éste tendrá una serie de vulnerabilidades que los atacantes podrán aprovechar con facilidad. Si quiere que su sitio web sea lo menos vulnerable posible, cada vez que salga una nueva revisión, prué­ bela e instálela de inmediato.

4 Utilice certificados SSL con Extended Validation: Si quiere demostrar que es quien aparenta ser, instale certificados SSL con Extended Validation (EV), que hacen que el internauta que visite su sitio web vea la barra de direcciones de color verde, como prueba de que su empresa se ha sometido a un riguroso proceso de comprobación de identidad. De hecho, según un estudio de consumo en Internet realizado por Symantec, esta barra verde hace que aumente la sensación de seguridad del 60 % de los compradores. Tras implantar los certificados SSL Secure Site Pro con EV de Symantec, Liberty Games (empresa que vende por Internet productos con precios que van desde las 5 hasta las 35 000 libras esterlinas) logró un aumento interanual de sus ingresos superior al 35 %.

4 Implante la tecnología Always-On SSL: Si instala certificados SSL de una autoridad de certificación de confianza como Symantec y protege todo el sitio web con el protocolo HTTPS, se cifrarán todas las interacciones de los internautas con su sitio web, y no solo las páginas de inicio de sesión y de pago. Esta medida de seguridad básica, que resulta muy fácil de implantar, autentica la identidad del sitio web y cifra toda la información que se intercambie entre el sitio web y el usuario (incluidas las cookies), con lo que impide que alguien no autorizado vea, manipule o utilice los datos. Tal como explicamos en nuestro blog, si se limita a proteger las páginas de inicio de sesión y de pago, no impedirá a los hackers robar las cookies donde se almacena la sesión del usuario para reproducir una sesión y acceder a todo tipo de información confidencial.

1 9 0 5

Por eso, la Online Trust Alliance insta a adoptar el sistema llamado Always-On SSL en todos los sitios web, y muchos nombres de prestigio como Google, Facebook y PayPal ya lo han hecho. No espere más para seguir sus pasos.

9

I Pasos sencillos para tener un sitio web seguro en 2016

3 1 2 7 2 0 1 6

Contact

SSL247® - The Web Security Consultants 900-838451 [email protected] www.SSL247.es

© 2016 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.

Simple Steps to a Secure Website in 2016