Ingenieros en Software de Mismo comparten cinco consejos para crear y mantener sitios web más seguros

Web
  • De acuerdo con la publicación CyberSecurity Ventures, en el 2022 habrá un ataque de ransomware cada 11 segundos y cada año, esta práctica criminal genera cerca de $1 billón a sus perpetradores. 

Actualmente, parece que el lugar menos seguro donde podemos alojar nuestros datos e información es en línea, especialmente tomando en cuenta los ciberataques e intentos de hackeo que se han hecho públicos en los últimos meses. Estos ataques ocurren a diferentes escalas, desde un simple intento de password phishing a un usuario particular, hasta el bloqueo de servidores y robo de bancos de datos masivos. 

Debido al constante estado de ciberataque bajo el que nos encontramos, expertos en ciberseguridad han popularizado una serie de prácticas preventivas que las personas y empresas pueden adoptar para disminuir las probabilidades de convertirse en víctimas de cibercriminales.

En Mismo, firma consultora de desarrollo web con más de 10 años en Costa Rica, su trabajo con compañías y startups en Estados Unidos requiere de los más altos estándares de seguridad a la hora de crear y mantener plataformas en línea. Por lo que, en esta ocasión, sus desarrolladores nos comparten una serie de consejos para alcanzar un mejor nivel de ciberseguridad y protección de datos.

  • Ataque de negación de servicio o DDoS (por sus siglas en inglés).

Este tipo de ataque ocurre cuando un ente externo satura el registro de peticiones de un servidor desde distintos anfitriones, confundiendo al servidor y evitando que genera una respuesta a sus usuarios.

¿Cómo evitarlo? 

La implementación de firewall es útil en algunos de los casos en donde el sistema puede identificar solicitudes maliciosas y bloquear su dirección IP. De hecho, en muchos casos, las solicitudes ni siquiera llegan a un firewall. Por lo tanto, se debe monitorear el servidor regularmente, o se puede usar un proveedor de servicios externo para controlar el tráfico. 

  • Ataques de inyecciones de SQL y cross-site scripting, son otro tipo de ataques que toman lugar cuando comandos o scripts son inyectados al sistema del lado del cliente, estos inputs de data sin protección envían esta información al servidor, haciendo que corra scripts nocivos que causan efectos dañinos en la base de datos o aplicación, robo de datos confidenciales, filtraciones de seguridad y phishing, entre otros. 

¿Cómo evitarlo? 

Las pruebas de aseguramiento de calidad de software deben centrarse en evaluar escenarios de posibles ataques en todas las entradas de la aplicación e intentar replicarlos ingresando un script o código malicioso.

  • Cifrado de información.

El cifrado es el proceso básico de codificación de información para protegerla de cualquier persona que no esté autorizada a acceder a ella. El cifrado en sí mismo no evita la interferencia en la transmisión de los datos, pero hace que el contenido sea inteligible para aquellos que no están autorizados a acceder a él. 

El cifrado también puede usarse para proteger los datos "en reposo", como la información almacenada en bases de datos u otros dispositivos de almacenamiento. Al usar servicios web y API, no solo debe implementar un plan de autenticación para las entidades que acceden a ellos, sino que los datos en esos servicios deben cifrarse de alguna manera. Un servicio web abierto y no seguro es un espacio tentador para ciberataques. 

  • Asegurarse de establecer conexiones seguras entre el cliente y el servidor a través del HTTPS, SSL, TSL o Secure Sockets Layer. 

¿Cómo funciona? 

SSL es una tecnología utilizada para establecer un enlace encriptado entre un servidor web y un navegador. Esto asegura que la información que se transmite entre el navegador y el servidor web permanezca privada. Millones de sitios web utilizan SSL y es el estándar de la industria para proteger las transacciones en línea. Hoy en día, aunque SSL es un término más conocido, la mayoría de certificados SSL cuentan con un protocolo TSL más actualizado y compatible con cifrados como ECC, RSA, o DSA. 

  • Evitar prácticas como la autenticación singular de usuarios y utilizar plugins o paquetes obsoletos. 

Implementar un sistema de autenticación simple con identificación y contraseña es una práctica obsoleta en estos tiempos, por lo que se recomienda siempre utilizar métodos captcha y de doble autenticación para evitar este tipo de ataques. 

De la misma manera, siempre que el proyecto se encuentra en la etapa de desarrollo, los plugins y librerías de terceros desempeñan un papel vital en la seguridad de la aplicación, por lo cual deben ser correctamente validados.

Muchas librerías que están en desuso y no son compatibles con la comunidad se vuelven obsoletas, y puede haber problemas conocidos con esos paquetes que pueden resultar en una violación de seguridad. 

Desde el desarrollo de software hasta el almacenamiento en la nube, En Mismo, los colaboradores trabajan con las tecnologías más avanzadas y frameworks de primera línea para ofrecer los servicios más seguros a nuestros clientes. “En el trabajo diario, nos topamos de frente con muchas de las problemáticas mencionadas, lo que nos impulsa a generar plataformas y servidores más fuertes y dinámicos”, añadió el CTIO de Mismo, Diego Gamboa. 

Consolidar ecosistemas digitales seguros en la actualidad requiere de un constante trabajo de seguimiento y rediseño de código, el cual previene la desactualización de procedimientos. Este mantenimiento le permite a desarrolladores implementar nuevos tipos de software, correr simulaciones, anticipar riesgos de filtración y pérdida de datos, así como identificar y neutralizar amenazas inminentes.

Previous
Previous

¿Cuáles son las medidas de seguridad que debe tener un pasaporte biométrico?

Next
Next

ELLA ES ASTRONAUTA, 15 niñas costarricenses tendrán la oportunidad de viajar al Space Center de la NASA