En esta presentación junto a Doppler Email Marketing y LA CICLA, Nando Delgado, Rep. de Marketing de Hackmetrix nos cuenta qué aspectos debes tener cuidados en tu Sitio Web para evitar que puedan ser hackeados y que de esa manera extraigan datos importantes de tu negocio y de tus clientes.
3. Primero lo primero
nando@hackmetrix.com
● Fallas de seguridad ≠ un trabajo mal hecho
● Grandes empresas como Google, Marriott y
Equifax sufrieron filtraciones
● A medida que crecen los sitios hay más
probabilidad de fallas
● Estamos siempre en desventaja con los
atacantes
4. ● Contraseñas fuertes
● Password managers
● No conectarse desde lugares públicos
● O en caso de hacerlo, usar una VPN
Lo básico
nando@hackmetrix.com
5. ● Saber quién tiene acceso a qué, con un
simple Excel basta
● Implementa una firewall
● Actualiza aplicaciones, librerías, plugins, CMS
Lo básico
nando@hackmetrix.com
6. ● NO clickees en todo lo que te mandan, ese
fue el error de Banco Consorcio.
El resultado: US$2 Millones robados
Lo básico
nando@hackmetrix.com
7. ● No correr servicios como root
● Hacer backups frecuentes de tus datos
● Pero en lo posible no los guardes en el
mismo servidor
● Chequear vulnerabilidades en dependencias
(hoy tanto NPM como Pipenv auditan la
seguridad de las dependencias de un
proyecto)
Lo no tan básico
nando@hackmetrix.com
8. 1. Falta de tokens Anti-CSRF
Cross Site Request Forgery (CSRF) es un tipo de
ataque donde un sitio aprovecha una sesión
abierta en otro sitio para realizar acciones no
autorizadas por el usuario.
Los tokens anti CSRF se aseguran de que cada
acción realizada en el sitio con la sesión abierta
sea por voluntad de usuario.
Solución: Cómo implementar tokens anti CSRF
puede variar dependiendo de la tecnología que
estés usando. Si usas un framework busca en la
documentación, puede que tenga una solución
fácil.
Las vulnerabilidades
más frecuentes
nando@hackmetrix.com
9. 2. Exposición de código fuente
Para que un atacante pueda efectivamente
hackear tu sitio o app necesita entender
cómo funciona. Exponer todo o parte del
código fuente le facilita ese trabajo y hace tu
sitio más vulnerable.
Solución: Borrar los archivos no necesarios y
limitar acceso a usuarios con privilegios.
Las vulnerabilidades
más frecuentes
nando@hackmetrix.com
10. 3. Exposición de backups
Antes mencionamos que idealmente no se
mantengan los backups en el mismo
servidor donde está alojado el sitio. Esto es
porque si un atacante encuentra como
descargarlos a través de una vulnerabilidad
en tu app, podría inmediatamente tener
acceso a todos los datos que guardes sobre
tus usuarios.
Solución: Guarda tus backups en un
servidor alternativo. S3 de AWS es una
opción fácil y barata.
Las vulnerabilidades
más frecuentes
nando@hackmetrix.com
11. 4. Inyección SQL
Una inyección SQL sucede cuando un
atacante logra ejecutar acciones sobre una
base de datos a la que originalmente no
tiene acceso. Con esto podrían darle
permisos de administrador a un usuario
regular, insertar usuarios o compras por
ejemplo, o incluso exportar una tabla en la
base de datos.
Solución: Las soluciones pueden variar
mucho, pero algunos pasos recomendables
son limitar los usuarios que pueden acceder
a ciertas bases, y darle solo los permisos
necesarios.
Las vulnerabilidades
más frecuentes
nando@hackmetrix.com