Los sitios web se denominan a veces "escaparates" de la era digital por una buena razón. Tienen el poder de influir positivamente en la forma en que los clientes ven a tu empresa o producto, de ayudar a crear la primera impresión perfecta o de generar confianza en tu servicio... o, todo lo contrario, especialmente cuando están mal protegidos. ¿Te has planteado alguna vez que tu sitio web puede ser un riesgo para tu empresa? Es hora de seguir leyendo.
Confianza dañada
Imagínate esto: un usuario decide finalmente comprar tu producto, pero tu tienda electrónica no funciona. O, peor aún, las credenciales de la tarjeta de crédito de tu cliente son robadas debido a una vulnerabilidad en tu sitio web. Como resultado, la información que los usuarios envían al sitio web cae directamente en manos del delincuente.
Del mismo modo, el atacante podría mostrar contenido inapropiado o malicioso que podría poner en peligro a tu cliente, por ejemplo, en tu página de inicio. "Las fugas de datos, los sitios web comprometidos, así como los que no funcionan, pueden dañar la confianza de la marca. La ecuación es simple: una marca pobre es igual a un potencial de negocio pobre", dice Martin Cambal, director global de desarrollo web de ESET. Especialmente si utiliza el sitio web no solo para fines de presentación, sino sobre todo para vender los productos y servicios online, entonces el impacto de un ciberataque puede ser aún más significativo.
¿Cuáles son las 10 principales vulnerabilidades de seguridad?
Consulta la tabla de OWASP, un documento de sensibilización estándar para los desarrolladores y la seguridad de las aplicaciones web.
Aunque la mayoría de los expertos recomiendan que las empresas comuniquen de forma transparente los ciberataques, y la normativa exige que en algunos casos de vulneración de datos, las empresas decidan cambiar de marca al creer que no podrán restaurar la imagen de marca. En 2015, por ejemplo, el sitio de citas Ashley Madison, perteneciente a la empresa de entretenimiento social Avid Life Media, que conectaba a clientes que buscaban aventuras (extramatrimoniales), fue atacado. Los cibercriminales expusieron la información personal de casi 37 millones de usuarios, incluyendo sus nombres, direcciones y fantasías sexuales secretas. Como afirman Karen Robson y Leyland Pitt en un estudio publicado en 2018: "Tras el ataque, Avid Life Media y Ashley Madison han sufrido una serie de cambios en un esfuerzo por reconstruir y renombrar". Unas semanas más tarde, el director general de Avid Life Media renunció a su cargo, y en 2016, la empresa cambió de marca a Ruby Corp. cambiando el eslogan de la firma, así como la imagen de la marca. ¿Quieres saber más detalles? Lee la historia que analizó los eventos clave de la brecha.
Lección aprendida: Mientras que a veces los atacantes solo pretenden cerrar el sitio web, en la mayoría de los casos, quieren robar cuentas con datos de clientes, y posiblemente venderlos. Dado que se habla mucho de las infracciones de datos y la información tiende a publicarse en todos los medios de comunicación, o en sitios web especializados como HaveIBeenPwned, la credibilidad de la marca se resiente.
En la lista negra de los buscadores
"Este sitio puede estar infectado": ¿has visto alguna vez este mensaje en los resultados de búsqueda de Google? El motor de búsqueda puede identificar páginas potencialmente dañinas. Tu sitio web, si está comprometido, puede aparecer entre ellas.
Es más, Google ha estado eliminando los sitios vulnerados de los resultados de búsqueda. Aparte de los motores de búsqueda, el software antivirus también detecta los sitios web potencialmente comprometidos y disuade a sus usuarios de visitarlos.
El espía sin invitación
Mientras que algunos ciberdelincuentes te hacen saber que han penetrado en tu sitio web, otros permanecen encubiertos. "Espiar a la competencia, controlar el número de pedidos en determinadas tiendas electrónicas, robar datos cruciales... Puede haber muchas razones por las que irrumpan en tu sitio web. He visto situaciones en las que, por ejemplo, un portal de comparación de precios recibió un correo electrónico anónimo con los contactos de 30.000 propietarios de tiendas electrónicas en la República Checa. Obviamente, la empresa no pagó nada e ignoró la oferta. Pero esta experiencia demuestra que la monetización de los datos puede ser una de las motivaciones para que los atacantes espíen secretamente tu sitio", recuerda Cambal. "Además, los atacantes a veces analizan tu sitio web en busca de vulnerabilidades, y si encuentran algunas, te dicen más solo si pagas, lo que debería estar fuera de toda duda".
Y también están los llamados script kiddies que pueden dañar el sitio web de tu empresa: estos individuos relativamente inexpertos se aprovechan de los scripts o programas desarrollados por otros, utilizándolos para rastrear el código del sitio web, en busca de vulnerabilidades. Cuando pueden cargar documentos en él, también pueden cambiar el aspecto visual del sitio o su contenido. "Esto puede provocar la sobrecarga de los servidores, por lo que el sitio web se cierra y los clientes no pueden, entre otras cosas, comprar ningún producto", añade Cambal. Esto puede suponer una pérdida de ingresos y una experiencia desagradable para el cliente, además de los costes adicionales necesarios para solucionar el problema.
Los ataques más sofisticados pueden inutilizar solo una parte del sitio web, por ejemplo, el paywall. "Al no controlar adecuadamente los archivos de registro del servidor, las empresas pueden no pensar que el problema ha sido causado por un ciberataque y, por tanto, empiezan a buscar el error en las aplicaciones del sitio web que desarrollan", explica Cambal. "De este modo, también pierden tiempo y dinero: cuanto más tiempo esté caído el paywall, más tiempo les será imposible a los visitantes comprar". Recuerda que al asegurar tu sitio web, no solo proteges la reputación de tu marca, sino también a tus clientes.
"El tráfico en el sitio web de ESET es muy alto, por eso la proporción de tráfico de bots puede parecer bastante baja. Pero en el caso de las empresas con sitios web que tienen alrededor de 1.000 visitantes al día, la proporción de tráfico de bots en los servidores puede subir hasta el 80%. El número de visitas que se ve, por ejemplo, en Google Analytics, no proporciona una imagen global del número total de peticiones. Por lo tanto, es muy importante monitorizar los registros de acceso", añade Martin Cambal, director global de desarrollo web de ESET.
