Informe sobre las amenazas para la seguridad de los sitios web 2016 (segunda parte)
Fuente: Symantec
Resumen: Según nuestras previsiones, las amenazas a dispositivos móviles seguirán proliferando en 2016. Tal vez pronto se vendan en el mercado negro kits de intrusión para teléfonos similares a los que se utilizan para atacar ordenadores. Al mismo tiempo, Apple y Google están haciendo todo lo posible por proteger sus sistemas operativos y sus ecosistemas en general. En concreto, prevemos que mejoren tanto las técnicas utilizadas para validar y firmar las aplicaciones como la forma de distribuirlas. Los usuarios tendrán que acostumbrarse a que las aplicaciones y el sistema operativo de sus teléfonos se actualicen con frecuencia, automáticamente de forma predeterminada, y asumirán que los dispositivos móviles necesitan software de seguridad. Tal vez esto sea un indicio de avance más que un motivo de alarma: si los expertos en seguridad, los desarrolladores de sistemas operativos y los creadores de aplicaciones detectan y resuelven más problemas, es porque prestan más atención a la seguridad móvil. Aunque se prevé que durante el próximo año aumenten los ataques contra estos dispositivos, también se espera que, si toman las medidas preventivas adecuadas y siguen invirtiendo en seguridad, los usuarios gocen de un buen nivel de protección.
Para que los sistemas que garantizan la seguridad de los sitios web sean eficaces, hay que implantarlos con cuidado, así como llevar a cabo una supervisión y mantenimiento constantes. Existen herramientas que contribuyen a proteger el ecosistema del sitio web, pero todo empieza por la formación. Ahora que ya conoce los riesgos, descubra lo que puede hacer al respecto. Adopte los estándares del sector:
- Utilice la tecnología SSL Always-On. Proteja con el protocolo SSL/TLS todas las páginas para que se cifren todas las interacciones entre el sitio web y el internauta. Al adoptar este sistema, también llamado «HTTPS Everywhere», con certificados SSL/TLS OV o EV, demostrará su credibilidad y mejorará su posicionamiento en los resultados de las búsquedas. Además, allanará el camino para la adopción de HTTP/2, que mejora el rendimiento.
- Migre al algoritmo SHA-2. Tal como se explica en este informe, las autoridades de certificación deberían haber dejado de emitir certificados SHA-1 a partir del 1 de enero de 2016, pero tiene que comprobar que se actualicen también todos los certificados antiguos, al igual que los dispositivos y las aplicaciones que en este momento no reconozcan el algoritmo SHA-2.
- Considere la posibilidad de adoptar el algoritmo ECC. Symantec también ofrece la posibilidad de usar el algoritmo de cifrado ECC. Los principales navegadores, incluidos los móviles, admiten certificados ECC en todas las plataformas recientes, y las claves ECC de 256 bits son 64.000 veces más difíciles de descifrar que las claves RSA de 2084 bits de uso estándar en el sector.
Amenazas para Seguridad de Sitios Web 2016 parte2 20160530
