PDF de programación - SEGURIDAD EN SITIOS WEB

SEGURIDAD EN SITIOS WEB



INTECO-CERT



Abril 2011



El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una
sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito

nacional que se orienta a la aportación de valor a la industria y a los usuarios y a la difusión

de las nuevas Tecnologías de la Información y la Comunicación (TIC) en España, en clara

sintonía con Europa.

Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la

Información, con actividades propias en el ámbito de la innovación y el desarrollo de

proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación

aplicada, la prestación de servicios y la formación.

La misión de INTECO es aportar valor e innovación a los ciudadanos, a las pymes, a las
administraciones públicas y al sector de las tecnologías de la información a través del
desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la
Sociedad de la Información en nuestro país, promoviendo además una línea de participación
internacional.

Para ello, INTECO desarrolla actuaciones en las siguientes líneas:

Seguridad tecnológica: INTECO está comprometido con la promoción de servicios de la
Sociedad de la Información cada vez más seguros, que protejan los datos personales de los
interesados, su intimidad, la integridad de su información y que eviten ataques que pongan
en riesgo los servicios prestados Y, por supuesto, que garanticen un cumplimiento estricto
de la normativa legal en materia de TIC. Para ello, coordina distintas iniciativas públicas en
torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte
del Observatorio de la Seguridad de la Información, el Centro de Respuesta a Incidentes de
Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del
Internauta (OSI), de los que se benefician ciudadanos, pymes, administraciones públicas y
el sector tecnológico.

Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más
accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o
carencia técnica, formativa o incluso de discapacidad que tengan sus usuarios. Pretende
que los servicios faciliten la integración progresiva de todos los colectivos de usuarios, de
modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de
la Información. Asimismo, desarrolla proyectos en el ámbito de la accesibilidad orientados a
garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las
AA.PP.

Calidad TIC: INTECO promueve servicios de la Sociedad de la Información que cada vez
sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se
traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la
disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una

Seguridad en sitios web

2



información precisa y clara sobre la evolución de las funcionalidades de los servicios y, en
resumen, unos servicios cada vez mejores. En esta línea, impulsa la competitividad de la
industria del software a través de la promoción de la mejora de la calidad y la certificación de
las empresas y profesionales de la ingeniería de este sector.

Formación: la formación es un factor determinante para la atracción de talento y para la
mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de
universitarios y profesionales en las tecnologías más demandadas por la industria.

Seguridad en sitios web

3





El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).

Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de
idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

Seguridad en sitios web



4

ÍNDICE

1.

2.

3.

4.

5.

OBJETO Y ALCANCE

DESCRIPCIÓN

DETECCIÓN DEL ATAQUE

ACTUACIÓN ANTE EL ATAQUE

PREVENIR ATAQUES



6

7

8

11

13

Seguridad Website

5



1. OBJETO Y ALCANCE

Esta guía pretende servir de referencia a los responsables de seguridad de un sitio web,
mientras realicen las siguientes tareas:

- detectar ataques

- minimizar posibles daños una vez sufrido el ataque

-

tomar medidas preventivas de seguridad para evitar que un sistema se vea
comprometido



Seguridad en sitios web

6



2. DESCRIPCIÓN

Los ficheros de un sitio web se encuentran alojados principalmente en:

servidores web dedicados y administrados por el propietario de la página

sistemas contratados o alquilados para tal efecto, a través de empresas de hosting

En el primer caso es el desarrollador o administrador del sitio quien gestiona su propio
servidor, adoptando las medidas de seguridad necesarias para evitar el acceso por parte de
atacantes.

En el segundo caso, la empresa de hosting ofrece normalmente una serie de servicios para
potenciar y reforzar la seguridad de sus sistemas. Aún así, los usuarios de este tipo de
servicio de alojamiento disponen de un panel de control o administración a través del cual
pueden administrar el contenido de su sitio web. Los paneles de control más comunes son:
cPanel, Plesk.

Cuando un tercero, a través de diversas técnicas, obtiene permisos de acceso de escritura
en el sistema, tiene la posibilidad de cambiar alguno o varios de los archivos del sitio,
pudiendo posteriormente realizar acciones como:

- obtener información confidencial

- comprometer los equipos de los usuarios que visitan el sitio web atacado, creando

una BotNet o red de ordenadores infectados

- obtener direcciones de correo para envío de spam

- abusar del ancho de banda contratado por los usuarios

- alojar phishing suplantando a otras entidades

- uso de los procesadores de los sistemas comprometidos

- uso del espacio web para alojar diversos contenidos con fines fraudulentos o

maliciosos



Seguridad en sitios web

7

3. DETECCIÓN DEL ATAQUE

Existe una serie de pasos a seguir para detectar si una web ha sufrido un ataque por parte
de terceros. Los pasos se describen a continuación.



Comprobar si la apariencia de la web se ha visto modificada o muestra

características, contenidos o acciones distintas a las esperadas.

Comprobar las direcciones IP de las últimas conexiones al servidor FTP que aloja los

activos:

o

Deben coincidir con algunas de las direcciones conocidas por los propietarios
del sitio. Para identificar las IPs externas se pueden seguir los siguientes
enlaces: http://www.whatismyip.com o http://www.cualesmiip.com

Revisar el archivo log de conexiones al sitio web y sus peticiones:

o Este log guarda el acceso al sitio de todas las conexiones que se reciben
ficheros

mediante HTTP (conexión normal) y FTP (transferencia de
publicados).

Comprobar el listado de ficheros del sitio en busca de cambios no deseados:

o Existen diversos procedimientos para detectar si se ha producido algún
cambio en los archivos, como puede ser comparar listas de ficheros
(obtenidas, por ejemplo, a través del comando “clon”), en momentos distintos
para compararlas:

 Comprobar el directorio raíz y todos sus subdirectorios: examinar los
archivos web a través del gestor que ofrece el panel de control o del
cliente FTP, en busca de ficheros que hayan sido modificados, que
sean desconocidos o susceptibles de tener cambios.

 Comprobar si se han cambiado los permisos preestablecidos sobre los

archivos de la web.

Revisar el código fuente de la web en busca de la posible detección de los ataques
más comunes. Un buen método puede ser comparar los archivos del servidor con los
disponibles de copias de seguridad, evitando así las siguientes complicaciones:

o Variaciones en código (HTML, PHP) y otros lenguajes utilizados para la
programación de páginas web, textos, inyección de iframes o enlaces
JavaScript:

 Scripts maliciosos: son usados frecuentemente para redirigir a los
visitantes a otra web y/o cargar malware desde otra fuente. Son

Seguridad en sitios web

8



inyectados a menudo en el contenido de las webs o, a veces, en
archivos en el servidor, como imágenes y PDFs.

A veces, en lugar de inyectar el script completo en la página, el
atacante sólo inyecta un puntero a un archivo «.js» almacenado en el
servidor. También se suele utilizar la ofuscación de código para
dificultar la detección por parte de los antivirus.



Iframes ocultos: un iframe es una sección de la web que carga
contenido de otra página o sitio. Los atacantes a menudo inyectan
iframes maliciosos, configurándolos para que no se muestren en la
página cuando alguien la visita, de modo que el contenido malicioso
se carga aunque se encuentre oculto para el visitante.

El formato de estos iframes suele ser: