El 46% de las mayores web contienen alguna vulnerabilidad

Según el último informe State of the Web 2016 publicado por la empresa Menlo Security, nada menos que el 46% del millón de webs más importantes del mundo (por tráfico) son peligrosas en cierto sentido. El informe habla tanto de webs como de sitios subsidiarios en según qué casos (por ejemplo, CDN o Content Delivery Networks) si:

• Se ejecuta en ellos software con vulnerabilidades conocidas (CVEs).
• El sitio ha sido categorizado como «malicioso» o peligroso por intentos de Phishing, malware, etc.
• El sitio ha sufrido algún incidente de seguridad en los últimos 12 meses.

Basándose en estas consideraciones, del millón de webs principales a nivel mundial, 355804 están en peligro, bien por usar software vulnerable o acceder a sitios auxiliares que lo son. Por otro lado, 166853 webs son consideradas como «peligrosas» y, finalmente, 31938 han sufrido un incidente de seguridad en los últimos meses.

Webs tan importantes como Yahoo, LinkedIn o AdultFriendFinder han sufrido incidentes graves recientemente.

Las webs más vulnerables están en negocios y economía

De entre las webs consideradas peligrosas, las dedicadas a negocios y economía obtienen el primer puesto en software vulnerable (82223 de las 355804 totales) e incidentes de seguridad recientes (5669 de un total de 31938). También aparecen en el puesto 3 en cuanto a sitios calificados como peligrosos, con 11548 registros.

Es importante, como podréis deducir, el hecho de realizar tests de seguridad, intrusión y recuperación ante desastres si trabajamos con webs accesibles desde el exterior. Además, debemos poner a verdaderos profesionales a realizar estas auditorías. No queremos lamentar demandas legales y pérdida de confianza del cliente, ¿verdad?.

Recomendaciones de seguridad para webmasters

Como dueños de un sitio web, lo primero que debemos revisar es que nuestros servidores estén actualizados y no sean vulnerables a un CVE conocido.

Además, se recomienda mitigar riesgos que puedan proceder de dominios ajenos al principal mediante la implementación de CSP (Content-SecurityPolicy) que previene la ejecución de contenido malicioso en una web confiable. Además, existen otros mecanismos a tener en cuenta, que los expertos resumen en:

1. Parcheo de software vulnerable y ejecución de versiones libres de fallos.
2. Control de la Integridad de subrecursos, para asegurarnos de que sólo elementos confiables y conocidos (como secuencias Javascript, fragmentos CSS) se cargan desde otras fuentes (normalmente CDNs que lo que hacen es encargarse de presentar recursos cacheados de forma mas rápida para mejorar el rendimiento).
3. Contenido mixto, para dejar clara la distinción entre el tráfico que va cifrado con HTTPS y aquello que se enlaza en texto plano (HTTP).
4. Actualizar información sobre Peticiones Inseguras, para ayudar al navegador a saber como tratar enlaces antiguos que han sido migrados a HTTPS.
5. Gestión de credenciales, una API Javascript unificada para acceder a credenciales de usuario, que faciliten esquemas de inicio de sesión complejos.

Recomendaciones de seguridad para usuario final

Menlo nos habla de los siguientes consejos, importantes para que el usuario navegue de la forma más segura posible:

• Fíjate siempre bien en la URL: caracteres especiales, números, etc. Si nuestro banco o tienda nos manda un correo con enlace para restablecer la contraseña -sin haberlo solicitado- accede de manera directa a su web y no a través del enlace.
• Utiliza un bloqueador de anuncios: las campañas de malvertising están en auge y muchas veces el contenido malicioso se cuela en los servidores de anunciantes legítimos sin que estos lo sepan.
• Utiliza Chrome o algún navegador que posea restricciones de seguridad fuertes, sobre todo que bloquee Adobe Flash por defecto.
• Elimina o desactiva Flash: normalmente el mismo contenido estará disponible en HTML5 y merece la pena apartar al usuario de los peligros que supone este software.
• Mantén el software de tu equipo al día: sobre todo en Windows y Mac -sin olvidar los móviles- aplica la correción de vulnerabilidades sugerida.
• No descargues PDF o documentos ofimáticos desde fuentes desconocidas, el ransomware los utiliza habitualmente para esconderse. Google ofrece un conversor de PDF a URL que puede serte útil aquí, ya que el contenido se procesa en remoto y tú solo verás el resultado, sin peligros.
• Cuidado con los ZIP, RAR y otros comprimidos si los descargas desde fuentes no confiables. Si se trata de un programa, calcula su hash correspondiente y utiliza habitualmente servicios como Virustotal para analizarlos.
• Si utilizas un navegador web en lugar de un cliente local, al abrir documentos con posibles infecciones tendrás una ventaja: estos se abrirán remotamente a través de Google Docs o equivalente, no pudiendo infectar tu equipo.