Asegura tus aplicaciones web

Hace unos días, Trend Micro anunciaba que la página web de la compañía de cosméticos Lush había sido hackeada y, como consecuencia, los detalles de tarjetas de crédito de los clientes fueron robados durante casi 4 meses, período en el que se incluye la campaña de compras de Navidad.

Algunas de estas tarjetas ya han sido utilizadas para realizar compras fraudulentas, tal y como advierte la compañía de seguridad.

No obstante, Trend Micro apuntó que, en su mayor parte, las compras on-line son tan seguras como las compras tradicionales realizadas directamente en la tienda, pero cuando se produce un ataque y un comercio on-line se ver comprometido, a menudo sus consecuencias son mucho mayores, afectando a más gente que cuando se da una clonación de tarjetas en un establecimiento, debido a la naturaleza centralizada de las tiendas on-line.

Lush no ha hecho públicos los detalles sobre cómo exactamente los delincuentes pudieron acceder a la información, pero nunca es mala idea hacer hincapié en algunos consejos sobre mejores prácticas para asegurar las aplicaciones web:

– Mantener las aplicaciones parcheadas.

– Nunca almacenes datos sensibles en clear text (esto, de hecho, es una exigencia de la normativa PCI).

– Realice y mantenga un escaneo regular de vulnerabilidades desde dentro así como desde fuera.

– Utilice una autenticación fuerte (factor 2) si únicamente se está sirviendo a una población de usuarios limitada o si los datos que mantiene son particularmente sensibles. Tenga en cuenta que las cookies pueden dar lugar a sesiones de secuestro.

– Delimitar la comprobación de datos entrantes ayuda a evitar desbordamientos de buffer y ataques del tipo inyección SQL.

– Facilite el acceso a la información en base a la premisa de Necesario Saber y suminístrela siempre con los Menores Privilegios.

– No ofrezca información detallada de errores de los buscadores, no espere que sus clientes depuren su aplicación, por lo que no divulgue ese mensaje de error.