protege tu web€¦ · contenidos del portal web, por ejemplo los precios, la descripción de...
TRANSCRIPT
PROTEGE TU EMPRESA
Coleccioacuten
PROTEGETU WEB
1Protege tu web
IacuteNDICEIacuteNDICE1- INTRODUCCIOacuteN 03
11 iquestCOacuteMO PROTEGER NUESTRA WEB 04
2- ASPECTOS TEacuteCNICOS 0521 USO DE SISTEMAS CAPTCHA 06
22 ELIMINACIOacuteN DE METADATOS 07
23 ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS 08
24 CONTRASENtildeAS ROBUSTAS Y SEGURA 09
25 GUARDADO DE REGISTROS (LOGGING) 10
26 COPIAS DE SEGURIDAD 11
27 ENTORNOS DE PRODUCCIOacuteN Y PRUEBASA 12
28 METODOLOGIacuteA DE DESARROLLO SEGURO 13
29 UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED 14
210 CONEXIONES HACIA EL EXTERIOR 15
211 MONITORIZACIOacuteN DEL TRAacuteFICO 16
212 SISTEMA DE RESPALDO 17
213 AUDITORIacuteA TEacuteCNICA 18
3- MEacuteTODOS DE PAGO ONLINE 20
4- CERTIFICADOS DIGITALES 22
5- CUMPLIMIENTO LEGAL Y NORMATIVO 2451 NORMATIVA DE USO DEL SITIO WEBA 25
52 AVISO LEGAL 26
53 POLIacuteTICA DE PRIVACIDAD 27
531 Cookies 28
6- REFERENCIAS 29
2Protege tu web
IacuteNDICEIacuteNDICE DE FIGURASIlustracioacuten 1 Ejemplo de certificado confiable 22
Ilustracioacuten 2 Informacioacuten del certificado 23
3Protege tu web
INTRODUCCIOacuteN
Hoy en diacutea disponer de una paacutegina web es una necesidad de casi cualquier negocio nos permite tener presencia en Internet y ofrecer nuestros servicios de manera global Ademaacutes puede servir para solucionar dudas de potenciales clientes y convertirse en un medio adicional de comunicacioacuten con ellos
El incremento del comercio electroacutenico durante los uacuteltimos antildeos juega un papel vital en la im-portancia de las paacuteginas web de nuestras corporaciones La seguridad de este medio ha adquiri-do una especial relevancia tanto por las implicaciones econoacutemicas como de reputacioacuten e imagen
El nuacutemero de compras a traveacutes de tiendas virtuales va en aumento conforme los clientes van adquiriendo maacutes confianza en los mecanismos de pago Para ello es importante que las em-presas responsables de las tiendas online dispongan de mecanismos de pago seguro
Otro aspecto que debemos considerar para mejorar la confianza de nuestros clientes es la utilizacioacuten de certificados digitales y el cifrado de las conexiones al igual que mostrar la informacioacuten sobre nuestro comercio de la manera maacutes detallada y accesible posible No hay nada que genere maacutes recelos en un posible cliente que una paacutegina web donde no podemos localizar la informacioacuten referente al propietario ya que eso tiende a transmitir una sensacioacuten de inseguridad y desconfianza al usuario que nos visita
A la hora de poner en marcha una paacutegina web podemos alojarla bien en nuestra propia organizacioacuten bien en un proveedor externo Tanto en un caso como en el otro la res-ponsabilidad uacuteltima de la informacioacuten publicada en la paacutegina web y disponible para nuestros clientes es nuestra y en caso de que ocurra un incidente de seguridad las repercusiones le-gales econoacutemicas y de reputacioacuten impactaraacuten sobre nuestra organizacioacuten Por tanto no son aspectos que podamos dejar libremente a criterio del proveedor
1
4Protege tu web
iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes
aspectos teacutecnicos
meacutetodos de pago online
certificados digitales
cumplimiento legal y normativo
iquestCOacuteMO PROTEGER NUESTRA WEB11
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
1Protege tu web
IacuteNDICEIacuteNDICE1- INTRODUCCIOacuteN 03
11 iquestCOacuteMO PROTEGER NUESTRA WEB 04
2- ASPECTOS TEacuteCNICOS 0521 USO DE SISTEMAS CAPTCHA 06
22 ELIMINACIOacuteN DE METADATOS 07
23 ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS 08
24 CONTRASENtildeAS ROBUSTAS Y SEGURA 09
25 GUARDADO DE REGISTROS (LOGGING) 10
26 COPIAS DE SEGURIDAD 11
27 ENTORNOS DE PRODUCCIOacuteN Y PRUEBASA 12
28 METODOLOGIacuteA DE DESARROLLO SEGURO 13
29 UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED 14
210 CONEXIONES HACIA EL EXTERIOR 15
211 MONITORIZACIOacuteN DEL TRAacuteFICO 16
212 SISTEMA DE RESPALDO 17
213 AUDITORIacuteA TEacuteCNICA 18
3- MEacuteTODOS DE PAGO ONLINE 20
4- CERTIFICADOS DIGITALES 22
5- CUMPLIMIENTO LEGAL Y NORMATIVO 2451 NORMATIVA DE USO DEL SITIO WEBA 25
52 AVISO LEGAL 26
53 POLIacuteTICA DE PRIVACIDAD 27
531 Cookies 28
6- REFERENCIAS 29
2Protege tu web
IacuteNDICEIacuteNDICE DE FIGURASIlustracioacuten 1 Ejemplo de certificado confiable 22
Ilustracioacuten 2 Informacioacuten del certificado 23
3Protege tu web
INTRODUCCIOacuteN
Hoy en diacutea disponer de una paacutegina web es una necesidad de casi cualquier negocio nos permite tener presencia en Internet y ofrecer nuestros servicios de manera global Ademaacutes puede servir para solucionar dudas de potenciales clientes y convertirse en un medio adicional de comunicacioacuten con ellos
El incremento del comercio electroacutenico durante los uacuteltimos antildeos juega un papel vital en la im-portancia de las paacuteginas web de nuestras corporaciones La seguridad de este medio ha adquiri-do una especial relevancia tanto por las implicaciones econoacutemicas como de reputacioacuten e imagen
El nuacutemero de compras a traveacutes de tiendas virtuales va en aumento conforme los clientes van adquiriendo maacutes confianza en los mecanismos de pago Para ello es importante que las em-presas responsables de las tiendas online dispongan de mecanismos de pago seguro
Otro aspecto que debemos considerar para mejorar la confianza de nuestros clientes es la utilizacioacuten de certificados digitales y el cifrado de las conexiones al igual que mostrar la informacioacuten sobre nuestro comercio de la manera maacutes detallada y accesible posible No hay nada que genere maacutes recelos en un posible cliente que una paacutegina web donde no podemos localizar la informacioacuten referente al propietario ya que eso tiende a transmitir una sensacioacuten de inseguridad y desconfianza al usuario que nos visita
A la hora de poner en marcha una paacutegina web podemos alojarla bien en nuestra propia organizacioacuten bien en un proveedor externo Tanto en un caso como en el otro la res-ponsabilidad uacuteltima de la informacioacuten publicada en la paacutegina web y disponible para nuestros clientes es nuestra y en caso de que ocurra un incidente de seguridad las repercusiones le-gales econoacutemicas y de reputacioacuten impactaraacuten sobre nuestra organizacioacuten Por tanto no son aspectos que podamos dejar libremente a criterio del proveedor
1
4Protege tu web
iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes
aspectos teacutecnicos
meacutetodos de pago online
certificados digitales
cumplimiento legal y normativo
iquestCOacuteMO PROTEGER NUESTRA WEB11
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
2Protege tu web
IacuteNDICEIacuteNDICE DE FIGURASIlustracioacuten 1 Ejemplo de certificado confiable 22
Ilustracioacuten 2 Informacioacuten del certificado 23
3Protege tu web
INTRODUCCIOacuteN
Hoy en diacutea disponer de una paacutegina web es una necesidad de casi cualquier negocio nos permite tener presencia en Internet y ofrecer nuestros servicios de manera global Ademaacutes puede servir para solucionar dudas de potenciales clientes y convertirse en un medio adicional de comunicacioacuten con ellos
El incremento del comercio electroacutenico durante los uacuteltimos antildeos juega un papel vital en la im-portancia de las paacuteginas web de nuestras corporaciones La seguridad de este medio ha adquiri-do una especial relevancia tanto por las implicaciones econoacutemicas como de reputacioacuten e imagen
El nuacutemero de compras a traveacutes de tiendas virtuales va en aumento conforme los clientes van adquiriendo maacutes confianza en los mecanismos de pago Para ello es importante que las em-presas responsables de las tiendas online dispongan de mecanismos de pago seguro
Otro aspecto que debemos considerar para mejorar la confianza de nuestros clientes es la utilizacioacuten de certificados digitales y el cifrado de las conexiones al igual que mostrar la informacioacuten sobre nuestro comercio de la manera maacutes detallada y accesible posible No hay nada que genere maacutes recelos en un posible cliente que una paacutegina web donde no podemos localizar la informacioacuten referente al propietario ya que eso tiende a transmitir una sensacioacuten de inseguridad y desconfianza al usuario que nos visita
A la hora de poner en marcha una paacutegina web podemos alojarla bien en nuestra propia organizacioacuten bien en un proveedor externo Tanto en un caso como en el otro la res-ponsabilidad uacuteltima de la informacioacuten publicada en la paacutegina web y disponible para nuestros clientes es nuestra y en caso de que ocurra un incidente de seguridad las repercusiones le-gales econoacutemicas y de reputacioacuten impactaraacuten sobre nuestra organizacioacuten Por tanto no son aspectos que podamos dejar libremente a criterio del proveedor
1
4Protege tu web
iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes
aspectos teacutecnicos
meacutetodos de pago online
certificados digitales
cumplimiento legal y normativo
iquestCOacuteMO PROTEGER NUESTRA WEB11
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
3Protege tu web
INTRODUCCIOacuteN
Hoy en diacutea disponer de una paacutegina web es una necesidad de casi cualquier negocio nos permite tener presencia en Internet y ofrecer nuestros servicios de manera global Ademaacutes puede servir para solucionar dudas de potenciales clientes y convertirse en un medio adicional de comunicacioacuten con ellos
El incremento del comercio electroacutenico durante los uacuteltimos antildeos juega un papel vital en la im-portancia de las paacuteginas web de nuestras corporaciones La seguridad de este medio ha adquiri-do una especial relevancia tanto por las implicaciones econoacutemicas como de reputacioacuten e imagen
El nuacutemero de compras a traveacutes de tiendas virtuales va en aumento conforme los clientes van adquiriendo maacutes confianza en los mecanismos de pago Para ello es importante que las em-presas responsables de las tiendas online dispongan de mecanismos de pago seguro
Otro aspecto que debemos considerar para mejorar la confianza de nuestros clientes es la utilizacioacuten de certificados digitales y el cifrado de las conexiones al igual que mostrar la informacioacuten sobre nuestro comercio de la manera maacutes detallada y accesible posible No hay nada que genere maacutes recelos en un posible cliente que una paacutegina web donde no podemos localizar la informacioacuten referente al propietario ya que eso tiende a transmitir una sensacioacuten de inseguridad y desconfianza al usuario que nos visita
A la hora de poner en marcha una paacutegina web podemos alojarla bien en nuestra propia organizacioacuten bien en un proveedor externo Tanto en un caso como en el otro la res-ponsabilidad uacuteltima de la informacioacuten publicada en la paacutegina web y disponible para nuestros clientes es nuestra y en caso de que ocurra un incidente de seguridad las repercusiones le-gales econoacutemicas y de reputacioacuten impactaraacuten sobre nuestra organizacioacuten Por tanto no son aspectos que podamos dejar libremente a criterio del proveedor
1
4Protege tu web
iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes
aspectos teacutecnicos
meacutetodos de pago online
certificados digitales
cumplimiento legal y normativo
iquestCOacuteMO PROTEGER NUESTRA WEB11
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
4Protege tu web
iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes
aspectos teacutecnicos
meacutetodos de pago online
certificados digitales
cumplimiento legal y normativo
iquestCOacuteMO PROTEGER NUESTRA WEB11
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
5Protege tu web
ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene
Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como
La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)
La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware
La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa
Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
6Protege tu web
Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario
Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado
Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web
USO DE SISTEMAS CAPTCHA21
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
7Protege tu web
Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea
Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web
ELIMINACIOacuteN DE METADATOS22
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
8Protege tu web
Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado
Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables
Ademaacutes el gestor de contenidos (CMS)
puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos
ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS
23
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
9Protege tu web
Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente
Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores
CONTRASENtildeAS ROBUSTAS Y SEGURAS24
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
10Protege tu web
Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla
Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros
GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
11Protege tu web
Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web
Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos
Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor
COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
12Protege tu web
Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)
Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos
En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten
PRUEBAS
PRODUCCIOacuteN
ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
13Protege tu web
Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web
Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada
METODOLOGIacuteA DE DESARROLLO SEGURO28
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
14Protege tu web
Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada
Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten
Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos
Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa
UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED
29
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
15Protege tu web
Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo
Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales
Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)
CONEXIONES HACIA EL EXTERIOR210
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
16Protege tu web
Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida
Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web
Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red
Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor
MONITORIZACIOacuteN DEL TRAacuteFICO211
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
17Protege tu web
Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal
Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes
Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados
Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor
No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten
SISTEMA DE RESPALDO212
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
18Protege tu web
Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes
Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras
Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio
Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web
Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible
AUDITORIacuteA TEacuteCNICA213
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
19Protege tu web
Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son
raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque
raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos
Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
20Protege tu web
MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra
Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros
Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet
La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet
Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos
Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos
Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes
euro
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
21Protege tu web
puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta
El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco
Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-
jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)
Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante
El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google
En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
22Protege tu web
CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios
Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc
Todos estos elementos de conexioacuten se-
INCIBE
INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees
Ilustracioacuten 1Ejemplo de certificado confiable
gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico
Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
23Protege tu web
Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado
Ilustracioacuten 2Informacioacuten del certifido
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
24Protege tu web
CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales
Nuestra web deberaacute contener al menos
normativa de uso del sitio web
aviso legal
poliacutetica de privacidad
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
25Protege tu web
La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a
el contenido del portal web que visita
la finalidad del sitio
tratamiento de datos correspondiente
uso de cookies en el sitio web
Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]
En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright
Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal
Copyleft Este tipo de licencia permi-
te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original
Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original
NORMATIVA DE USO DEL SITIO WEB51
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
26Protege tu web
El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)
La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa
denominacioacuten social
coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)
domicilio y direccioacuten de correo elec-troacutenico
los datos de inscripcioacuten del registro mercantil si fuese el caso
No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese
Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de
los traacutemites que deben seguirse para contratar online
si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible
los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos
los idiomas en que podraacute formalizarse el contrato
AVISO LEGAL52
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
27Protege tu web
Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web
La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo
La finalidad de la recogida de eacutestos Por ejemplo realizar compras online
La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa
Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario
Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles
Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web
Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]
POLIacuteTICA DE PRIVACIDAD53
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
28Protege tu web
Un aspecto particular a tener en cuenta es la normativa de cookies [4]
Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal
Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]
En estos casos es necesario incluir la si-guiente informacioacuten
queacute son las cookies
para queacute se utilizan en la paacutegina web
quieacuten las instala y gestiona
coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice
De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-
sentimiento si el usuario sigue navegan-do
COOKIES531
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES
29Protege tu web
REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg
[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc
[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf
[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf
[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2
[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES