Seguridad web con Néstor Angulo de Ugarte en WordCamp Barcelona [Entrevista]

SeguridadCategoría
lectura de 8 minuto(s)
Víctor Purriños

Néstor Angulo de Ugarte es experto en ciberseguridad en Sucuri. Vive en Las Palmas de Gran Canaria y tiene un amplio conocimiento de las amenazas más comunes para tu hosting. Es un miembro activo de la comunidad WordPress en España y es habitual encontrarle subido al escenario de cualquier WordCamp transmitiendo su conocimiento a los asistentes.

Me gustaría compartir con vosotros esta entrevista que hicimos en WordCamp Barcelona orientada a la seguridad web, para que podáis proteger vuestras páginas de la mejor manera posible y entender un poco más sobre cómo y por qué son atacadas de manera frecuente.

¿Por qué alguien quiere hackear mi web si solo es un blog de gatitos?

Tendemos a pensar que nuestra web no es suficientemente interesante o que no tiene datos importantes como para ser objetivo de un ciberataque. O si. Sin embargo, más del 90% de los hackeos no son siquiera atendiendo a la naturaleza del sitio o su contenido, ni siquiera personalizados para una web en particular, sino que son infectados de manera masiva para crear redes de sitios zombies mediante scripts automáticos que buscan en Internet páginas web con cierta vulnerabilidad específica. Con una web infectada se pueden hacer muchas cosas, aparte de robar la información que tiene ese sitio en concreto o destrozarla con algún mensaje político o de cualquier otro tipo.

¿Cuáles son las formas más típicas de hackear una web?

Hay 3 vías rápidas para ello:

  • Sitio, tema o plugins desactualizados que, por tanto, no han recibido los últimos parches de seguridad.
  • Credenciales vulnerables y fáciles de reventar con ataques de fuerza bruta. Ya sea los del panel de administración, o los de la base de datos, o los protocolos de conexión que se utilicen para acceder a los ficheros del sitio web (por ejemplo, FTP, SFTP, SSH, etc.)
  • Tener varias webs en el mismo servidor y no tener alguna de ellas protegida. Se da el efecto Cross-site contamination, que básicamente es que otros sitios infectados de un servidor compartido, infecta el resto.

¿Qué impacto puede tener que una web sea hackeada para un negocio?

Teniendo en cuenta que un sitio web se considera “el escaparate digital” del negocio, la imagen que transmite a los visitantes afecta a la confianza de los usuarios en la empresa o negocio. Si los usuarios no confían en la marca, evidentemente, el negocio se ve afectado.

Durante tus años trabajando como analista de seguridad, ¿has visto grandes cambios en el malware y en la manera en la que se hace spam?

Llevo casi 4 años trabajando en primera línea de batalla y he visto cómo, si bien los resultados son más o menos parecidos, las mecánicas de infección y las vulnerabilidades han ido mutando conforme se han ido tapando los diferentes agujeros de seguridad detectados. Tengamos en cuenta que los parches de seguridad van habitualmente detrás de los hackeos, ya que los ciberdelincuentes son los que buscan y encuentran esas vulnerabilidades, y los equipos como los de Sucuri son los que se dan cuenta y emiten el Disclosure a los agentes implicados para que generen el parche de seguridad.

¿Que es un WAF y como puede ayudar en la mejora de la seguridad y velocidad de una web?

Es un Firewall específico para una aplicación web (Web Application Firewall). No es el típico que viene con los antivirus que chequean las conexiones maliciosas a nivel de conexión de red, sino que en este caso funciona al nivel de la aplicación web, filtrando las conexiones a través del puerto 80/443, los puertos del http y https.

Si no puedo permitirme un firewall, ¿de qué otras maneras puedo asegurar mi web?

Principalmente manteniendo una buena “higiene” en tu sitio, manteniendo este como si fuera la cocina de tu casa, actualizando el software y limpiando lo que sobra. Ayuda también instalar algún plugin de seguridad y monitorizar el comportamiento en la medida de lo posible (velocidad de carga, ficheros nuevos desconocidos, usuarios administradores desconocidos, etc.). Igualmente, es importante alojar tu sitio web en un hosting de confianza cuyo equipo sea efectivo en el mantenimiento y monitorización de tu web.

Si te pidiéramos tres recomendaciones fundamentales para asegurar una web, ¿cuáles serían?

Primero, actualizar siempre que sea posible todo el software de tu Página web en WordPress (la propia instalación de WordPress, los temas y los diferentes plugins), y borrar (no solo deshabilitar) todos aquellos temas, plugins, ficheros y carpetas (incluyendo de copias de seguridad) que no sean estrictamente necesarios para tu web.

En segundo lugar, elegir contraseñas fuertes y cambiarlas de forma periódica, tanto la del administrador del sitio, como la de la base de datos y cualquier protocolo de acceso a los ficheros del sitio web (FTP, FTPS, SSH, etc.)

Por último, una buena estrategia de copias de seguridad de sitios web y... ¡chequear que funcionan!

Si quisiera limpiar por mi mismo mi web infectada , ¿qué me recomiendas para empezar?

Lo primero es identificar qué ha pasado. Para ello, lo mejor es utilizar algún escáner gratuito, como por ejemplo Sucuri SiteCheck o el independiente de Virus Total. Como primer paso, en caso de tener la web infectada o alguna sospecha de que lo está, ponernos en contacto con el departamento de soporte de nuestro proveedor de alojamiento. Es uno de tus mejores aliados en esta fase. Al existir muchos diferentes tipos de infección, no es fácil definir una estrategia general para estos casos que funcione siempre. Es material para un curso completo. Como última medida, si mantienes un buena estrategia de copias de seguridad, siempre puedes restaurar la web a un estado anterior que sepamos que está limpio.

¿Los plugins premium son más seguros o es mejor apostar por los open source que mantiene la comunidad?

Esto es bastante relativo. El modelo bazar de desarrollo de software libre permite la posibilidad de que si alguien detecta un problema, pueda proponer directamente la solución. Además el código está disponible, por lo que cualquiera puede estudiarlo en busca de vulnerabilidades, por lo que tenemos una gran nómina de posibles desarrolladores alrededor del mundo que pueden mejorar el plugin.

En el caso de los plugins premium, tienden a tener procesos de control de la calidad del software más completos que los de software libre (no siempre es así). Sin embargo, los equipos de desarrollo de estos son mayoritariamente pequeños y cerrados. Por estadística, es más probable que el código esté menos afinado que en el caso de uno que pase por cientos de manos que lo habrán comprobado. Además, el código suele estar oculto, lo que dificulta su depuración por parte de otros programadores, permitiendo, como en ciertos casos documentados, que las vulnerabilidades sobrevivan mucho tiempo sin ser subsanadas, permitiendo que los ciberdelincuentes tengan una ventana más amplia para explotarlos.

¿Necesito SSL para mi sitio web?

Es importante comentar que los certificados de seguridad SSL no protegen tu web contra el malware. Solo aseguran que la comunicación entre el usuario y el servidor está protegida contra escuchas y manipulaciones. Pero si es un ciberdelincuente el que se comunica con un servidor, simplemente habremos conseguido que lo haga de manera segura. Por tanto, ¿es indispensable para el funcionamiento de tu sitio web? No. ¿Es recomendable? Sí,  definitivamente. Especialmente en caso de tiendas digitales, para asegurar que los datos de pago y demás no se filtran. Además, ayuda al posicionamiento de tu sitio web en los motores de búsqueda que ahora están fomentando el uso de este protocolo seguro.

¿Por que es recomendable pagar por un hosting privado si es mucho mas barato compartir hosting con otras webs?

La respuesta lógica a esta pregunta es la misma que si le pregunto si compraría una casa, por muy bonita que esta sea, en un vecindario inseguro, ruidoso o lleno de basura. Si tu web está en un hosting compartido, convive con páginas web vecinas, y los vecinos pueden afectar a tu sitio web, tanto en rendimiento como en seguridad. Es cuestión de evaluar de manera balanceada la cuestión confianza-economía. Evidentemente, si tu sitio es el único del vecindario, tienes cierto control sobre lo que ocurra en tu web. En el caso de que compartas, no posees control sobre cómo se comporta el resto del vecindario y como esto afecta a tu web, por mucha seguridad que implementes.

Conclusión

Te agradezco personalmente estas útiles respuestas para no ver comprometida la seguridad de nuestra web y que nos hayas dedicado algo de tiempo para responder a nuestras preguntas en esta fantástica WordCamp Barcelona 2018. La comunidad WordPress no deja de encontrar gente capaz y siempre dispuesta a ayudar y a transmitir información valiosa a los demás. Claro ejemplo es el de Néstor, quien siempre se muestra accesible y con ganas de aportar. En temas tan críticos como seguridad web siempre es bueno contar con la ayuda de expertos como él.