En pleno siglo XXI, hay millones de páginas web en todo el mundo, páginas web que suelen ser carne de cañón para atacantes de las mismas. Sin embargo, es posible estar prevenido ante estos ataques gracias a programas como Vega. Quién hubiera dicho hace 20 años cuando esto del internet estaba en pañales que ahora mismo habría tantas web en internet, las cuales son de un montón de tipos y clases. Además como se ha simplificado mucho su creación, internet se ha llenado de personas que pueden crear su página web.
Hace poco leí un artículo que indicaba que más de la mitad están creadas con la plataforma WordPress, una plataforma de blogs que permite además crear páginas web totalmente funcionales de una forma sencilla y rápida. Entre eso y los editores visuales que traen los servidores web, cualquier persona que vea un par de tutoriales en YouTube puede crear un sitio web chulo y funcional.
Esto tiene muchas ventajas, ya que el aumentar el acceso al mercado de las páginas web y hacerlo accesible a todo el mundo ha permitido que mucha gente haya podido ofrecer su negocio y sus experiencias sin tener que invertir mucho tiempo aprendiendo informática. Todo esto ha permitido que internet se haya convertido en un lugar muy rico, lleno de información, páginas web de todo tipo y tiendas de todo tipo de productos. Además mucha gente (entre ellos este redactor), pueden ganar dinero a través de internet escribiendo artículos, vendiendo productos o incluso creando estas páginas web a los usuarios.
Sin embargo, no todo es bueno en la globalización de las páginas web, ya que al ser un negocio tan lucrativo, también está sujeto a muchos ataques y vulnerabilidades
Esto se agrava con el hecho de que las páginas sean tan sencillas, ya que al poder hacerse con dos clicks, no suele haber un informático detrás controlando la seguridad de la página web, algo que permitirá que los atacantes la puedan explotar fácilmente. Cada día se producen miles de ataques a webs sencillas, ya que muchos usuarios prueban y prueban para probar si pueden sacar algo de estos ataques.
Por ejemplo,son muy comunes los ataques de fuerza bruta a las claves de WordPress, los ataques DDoS para intentar tirar el sitio web abajo y las inyecciones SQL para sacar la base de datos de usuarios de la web. Esto sin duda supone un problema para los usuarios que han decidido sacar una página web sin ayuda, ya que ahora mismo se encuentran con que están vulnerables ante todo tipo de ataques, los cuales podrían traer consecuencias terribles.
Imagínate que atacan una tienda online y cambian el email de cobro de PayPal al suyo y tú no te das cuenta, pues podrías perder las ventas de varios días por culpa de esto y ellos sacar cientos de euros gracias a ti
Sin embargo, como siempre ocurre, esto tiene solución, ya que el programa Vega de Kali Linux permitirá que puedas revisar la seguridad de cualquier página web, viendo por donde es vulnerable y por donde van a poder atacar los hackers. Esto te permitirá poder reforzar la seguridad de tu página web, para evitar que estos ataquen tu sitio web y luego ir resolviendo una por una todas las incidencias que has sido capaz de detectar usando este programa.
Vega y Kali Linux, qué son y para qué sirven
Vega es un programa dedicado a la seguridad de las páginas web, el cual es un programa que permite saber todas las vulnerabilidades que tiene un sitio web para que después tu mismo puedas corregirlas. Aunque no esté integrado nativamente en Kali Linux, es de esos programas que se integran bien con la temática de este sistema operativo, ya que es un sistema operativo dedicado a todo lo que concierne a la seguridad informática.
Es más, Kali Linux tiene como principal función el llamado hacking ético, es decir, el uso de la seguridad y penetración para fines de seguridad propia, es decir, no usar el sistema operativo "para el mal". Esto quiere decir que estamos ante un sistema operativo lleno de herramientas dedicadas a proteger tus propios equipos, ya que la mejor forma de comprobar si somos vulnerables ante un ataque es atacarnos a nosotros mismos.
Sin embargo, sí que hay mucha gente que usa Kali Linux para "el mal", algo que no se debe hacer porque es ilegal. Este artículo sólo enseña a usar estos programas con fines éticos, nunca como fines malignos, por lo tanto, no me hago responsable del mal uso dado a este artículo.
Kali Linux está basado en Debian y es un SO muy estable gracias a su sistema de actualizaciones Rolling Release, el cual realiza updates poco a poco en vez de muchas de golpe. Además como, ocurre en la mayoría de sistemas operativos del mundo Linux, Kali Linux es arrancable en modo live CD, es decir, que vamos a poder trabajar con el sin realizar cambios en nuestro disco duro e instalar Linux.
Por esta razón, vamos a usar Kali Linux y Vega para poder comprobar la seguridad de nuestro sitio web y mejorarla, evitando así que nos ataquen de nuevo. Para poder hacer esto, tendremos que seguir varios pasos por este orden.
Descargar Kali Linux y ejecutarlo
El primer paso que debemos dar para instalar Kali Linux es entrar a la página web oficial del proyecto y descargar la imagen ISO de Kali Linux, la cual podemos encontrar en la página web de la misma en versión de 32 bits (con kernel PAE) y de 64 bits. Al descargarla, tendremos que grabar la imagen en un DVD o instalarla en un pendrive o tarjeta SD con ayuda de algún programa como Universal USB installer.
Una vez que hayamos hecho esto, vamos a proceder a entrar a la BIOS del equipo pulsando el botón correspondiente (depende de cada marca) antes de arrancar el ordenador. Una vez allí, vamos a la opción orden de arranque y poder arranque desde DVD y pendrive antes que el arranque de disco duro, guardar los cambios y reiniciar el ordenador con el pendrive o DVD de Kali Linux insertado.
Una vez esté insertado, vamos a pulsar en el icono de arrancar Kali Linux en modo Live CD, para así poder ejecutar el sistema operativo sin hacer cambios en el disco duro. Una vez hayamos hecho esto, vamos a esperar un poco a que el sistema cargue, algo que tardará mucho o poco dependiendo de nuestros recursos y de nuestro sistema de arranque(el modo DVD es un poco más lento que el modo USB).
Instalar Vega
Una vez que haya arrancado Kali Linux, es el turno de instalar Vega, ya que es un programa que no nos saldrá de manera automática en Kali Linux, sino que lo tendremos que instalar por comandos tirando de sus repositorios. Para ello, vamos a usar la consola de comandos, la cual se ejecuta pulsando terminal y después escribiendo el comando sudo apt-get install vega para proceder a la instalación del programa. Este comando llama al programa apt-get, el cual es un gestor de paquetes que viene instalado en muchas distribuciones Linux. Además lo estamos llamando con privilegios de superusuario (con sudo) y estamos diciendo que nos instale Vega directamente del repositorio correspondiente. Una vez que todo esté listo, Vega vendrá instalado en Kali linux, pudiendo encontrarse en el buscador de la misma.
Como curiosidad, también podemos instalar Vega en otra distribución Linux con una instalación por comandos similares, ya que suele estar en muchos repositorios y funciona muy bien en la mayoría de distribuciones. Sin embargo, nosotros lo estamos instalando en Kali Linux porque es un sistema operativo con el que pega mucho la instalación de un programa de este tipo, ya que es un sistema operativo dedicado a la seguridad y penetración.
Ejecutar Vega y probar seguridad de nuestra página web
Una vez que hayamos instalado Vega, lo vamos a buscar en el buscador de Kali Linux, estando ahí disponible Vega si está bien instalado. Una vez que hayamos entrado, debemos seguir 4 sencillos pasos para poder probar la seguridad de nuestra página web.
Poner scan y poner la dirección IP o la dirección URL de la página web: Lo primero que debemos hacer es pulsar en el botón scan de arriba del todo y a continuación, poner la dirección IP o la dirección URL de la página web. Aquí tendremos que poner nuestra página web, para así poder comprobar la seguridad de nuestro sitio web y no de otros. Si tenemos la página en un servidor local , podemos poner 127.0.0.1(localhost) como IP.
Escoger qué parámetros de seguridad va a comprobar: Una vez que hayamos puesto la IP y dado a siguiente, vamos a escoger los parámetros de seguridad que vamos a comprobar, es decir, qué vulnerabilidades vamos a elegir para que Vega las compruebe. Aquí te aconsejo marcar todos los iconos, ya que así vamos a poder detectar las vulnerabilidades de tu web al completo.
Esperar a que se realice el proceso de escaneo: Ahora debemos esperar a que el programa vaya escaneando, un proceso que va desde varios minutos a varias horas. El tiempo que tarda dependerá de varios factores, sobre todo de las cosas que tenga tu página web. Si tenemos una página web muy grande, con muchos scripts y muchos megas, va a tardar mucho, sin embargo, si la página web es pequeña, vamos a tardar poco tiempo.
Comprobar y entender los distintos tipos de alerta: Una vez que hayamos acabado, vamos a poder comprobar una por una todas las vulnerabilidades de nuestra página web con todo lujo de detalles, algo que te ayudará a poder reparar los daños de tu página web y evitar tener más problemas con los atacantes de internet.
Interpretación de los resultados y solución de los mismos
Una vez que hemos terminado de ejecutar el escáner, es necesario ir comprobando los resultados que hemos obtenido e interpretarlos correctamente, para después ponerle solución. Hay varios tipos de vulnerabilidad que nos podemos encontrar y que tienen fácil o difícil solución.
Inyección SQL: Esta es una vulnerabilidad muy grave, ya que permite al atacante sacar las contraseñas y la base de datos de tu página web. Se trata de una vulnerabilidad que consiste en ejecutar varios comandos SQL en la barra de dirección, con el objetivo de ir entrando a las tablas de las mismas. La mejor forma de solucionar esto es construir una base de datos bien hecha, cifrando las páginas que contengan información confidencial y ocultándolas ante el resto de usuarios.
Ataques por fuerza bruta: Un ataque por fuerza bruta es un ataque que permite sacar la contraseña de tu página web para así poder ser usuario administrador. La forma de proceder es probar una por una las contraseñas posibles, hasta que la contraseña real salga y se pueda entrar. La forma de evitar esto es limitando el número de intentos de sesión, algo que permitirá expulsar al usuario que haga demasiados intentos de login fallidos, evitando así que pueda hacer ataques de este tipo.
Ataques de denegación de servicios DDoS: Este ataque tiene como principal objetivo tirar la página web, es decir, sobresaturar el servidor y evitar así que la página web ofrezca un servicio normal. La forma de evitar esto es evitando que se hagan demasiadas peticiones por parte de una sola IP, añadiendo sistemas de verificación como Google Autenticator o demás sistemas que evitan que un robot pueda hacer millones de peticiones en una misma web.
Otros: Hay otras vulnerabilidades varias en una página web, como por ejemplo vulnerabilidad de ejecución de script, acceso a información no autorizada y falta de seguridad en los formularios de las contraseñas entre otros.
En estos casos, hay que mirar bien cada caso y reforzar la seguridad de nuestro sitio web lo que haga falta, contratando a un informático en caso necesario.
Piensa que si eres un empresario que maneja miles de euros en tu tienda online, te va a salir muy rentable evitar estos ataques, ya que podrías perder mucho dinero si no los evitas correctamente.
Gracias por visitar el blog oficial de la tienda ReDIGIT Informática Circular. Si estás buscando ordenadores, monitores o portátiles baratos, en nuestra tienda online podrás encontrar PC de sobremesa a partir de 99 euros IVA incluido y portátiles económicos con 2 años de garantía. Todos los equipos en venta en ReDIGIT son de ocasión (segunda mano, renovados, refurbished y outlet), funcionan perfectamente y son ideales para cualquier tarea de tipo doméstico y profesional. ReDIGIT es la primera tienda en España que ofrece hasta 3 años de garantía en productos de informática de ocasión. Ponte en contacto con nosotros llamando/escribiendo directamente al Tel. y WhatsApp: 974 353 720.
