"En el año 2014, el sitio web de eBay fue objetivo de un ataque XSS (Cross-Site Scripting) que ocasionó el robo de dinero e información personal a sus clientes, afectando directamente la reputación de la empresa y dejando claro la facilidad con la que un atacante puede aprovecharse de sitios insuficientemente asegurados."

¿Cómo blindar mi certificación PCI DSS V4?

Este ataque consiste en inyectar código malicioso en una página web para que ésta cambie su comportamiento durante la interacción con otros usuarios. Así, al gigante eBay le incrustaron un script cuyo funcionamiento consistía en redirigir a los usuarios que pretendían comprar ciertos artículos dentro del sitio web original, a un sitio web controlado por los atacantes, en donde aprovechaban el descuido para solicitar información confidencial y bancaria para después poder robar importantes cantidades de dinero a los clientes del sitio de e-commerce.

Hoy en día, la gran mayoría de sitios web que visitamos, así como las aplicaciones a las que accedemos se encuentran alojados en servidores protegidos por diferentes tecnologías.

Entre esas tecnologías a menudo se encuentra el WAF, que es un firewall de aplicaciones web, es decir, es un dispositivo que está dedicado a inspeccionar flujos de comunicación en la séptima capa del modelo OSI, previniendo que las aplicaciones sean susceptibles a ataques como Cross-Site Scripting, inyecciones SQL, DDoS, cookies poisoning, entre otros.

El WAF inspecciona los paquetes intercambiados entre cliente y servidor con el fin de detectar patrones maliciosos, incumplimiento de protocolos, solicitudes de recursos que no deben ser accesibles para el usuario, y en general comportamientos que pudieran poner en riesgo la seguridad de los aplicativos.

Por lo anterior, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) en sus requisitos 6.4.1 y 6.4.2 sugiere el uso de dispositivos WAF como la mejor solución técnica para detectar e impedir de manera continua los ataques basados en la web para las aplicaciones de cara al público, asegurándose que éste funcione de manera activa, actualizándose de manera continua y generando registros de auditoría que ayuden también a la detección de ataques generando alertas que permitan investigar los eventos clasificados como “maliciosos”.

Con la implementación de tecnologías como el WAF, configuradas bajo las mejores prácticas, las organizaciones obtienen un aliado en la perenne lucha contra los ciberataques, mejorando la seguridad general de los aplicativos y sitios web publicados a los que cabe recordar, cualquier persona, benigna o maligna puede acceder.

Conclusión

La integración de un WAF dentro de la estrategia de ciberseguridad no es en la mayoría de los casos una opción, sino una necesidad que actúa en beneficio tanto de los servicios ofrecidos por las organizaciones, como de la seguridad y confianza de los clientes y su información personal.

Recuerda que en Grupo SIAYEC contamos con la experticia de auditores certificados que están de tu lado para apoyar en el cumplimiento normativas y estándares de carácter obligatorio en territorio nacional, así como ingenieros implementadores cuyo cometido es fortalecer bajo las mejores prácticas la seguridad general de tu organización. Acércate a nosotros, recuerda que la prevención es lo ideal.

¡Contáctanos!

"La integración de un WAF no es en la mayoría de los casos una opción, sino una necesidad"

Sergio Reyes

Ciberseguridad