Ciberseguridad, hosting & ecommerce

Entrevista para Observatorio eCommerce

Respuestas por: Jose Ramón Padrón,

Country Manager de SiteGround España

  1. Recientemente publicasteis una encuesta en la que la mayoría de vuestros usuarios (54%) consideraba mantener sus sitios seguros como el mayor desafío técnico en 2020, ¿Cuáles son los principales retos para que esto sea así?

Siendo sinceros, cuando la seguridad es un problema, el problema no es la seguridad. Los principales retos a los que cualquier usuario tiene que hacer frente están directamente relacionados con la naturaleza de su página web y el tiempo que invierte en estas tareas.

Cuanto más compleja es una página web, más elementos tenemos a los que prestar atención. Cuando además apenas le dedicas tiempo a la seguridad o, apenas tienes conocimientos, en el usuario crece una sensación de inseguridad que en muchos casos no es del todo realista. 

Por muy compleja que sea una web, o por muy poco tiempo que tengamos para dedicarle a la seguridad, siguiendo unas normas básicas y aprovechando la tecnología de un proveedor de hosting como SiteGround, el riesgo a ser víctima de un ataque por un ciberdelincuente se reduce prácticamente al mínimo. No existen los sistemas completamente seguros, ni reglas infalibles, lo que sí existen son un conjunto de buenas prácticas asociadas a un uso correcto de la tecnología que nos permiten ponérselo muy difícil a un ciberdelincuente. 

Teniendo actualizado a la última versión disponible todo el software presente en una web y en el servidor, el uso de contraseñas fuertes, así como la presencia de un firewall web con las reglas adecuadas, uso de certificados SSL, aislamiento de cuentas, y copias de backup diarias, son entre otras, medidas muy fáciles de poner en marcha. Prácticamente todas, menos el uso de contraseñas fuertes y el uso de SSL que dependen directamente del cliente, están incluidas en cualquier proveedor de hosting gestionado en mayor o menor medida. Más aún en un proveedor de hosting como SiteGround que no solamente pone en marcha estas medidas y las administra para sus clientes, si no que además ha sido pionero en el campo de la seguridad desarrollando tecnología adelantada a su tiempo como es el caso del aislamiento de cuentas en entornos compartidos, o sistemas de actualizaciones automáticas antes que cualquier otro proveedor de hosting en el mundo.

Los ciberdelincuentes no descansan y están a la última, afortunadamente nunca antes ha habido tanta tecnología disponible y fácil de usar en el mercado como ahora mismo. La cuestión es utilizarla, o ponerte en manos de quien sepa hacerlo.

  1. Las actualizaciones de software, los parches de seguridad, los protocolos de cifrado, etc… ¿Cuál es el papel de una empresa de hosting como partner para estas situaciones?

El papel de la empresa de hosting a la hora de poner en marcha estas medidas de forma automática o delegada es fundamental para evitar que muchos clientes tengan incidencias de seguridad por no tener conocimientos o tiempo para estas tareas. Entre este tipo de usuarios nos encontramos a personas sin conocimientos técnicos específicos, o personas con conocimientos técnicos pero que no tienen tiempo para administrar las seguridad de sus sitios web.

Sin embargo, cuando hablamos de usuarios muy experimentados y con personal 24/7 con conocimientos de sistemas y de seguridad, entonces el proveedor de hosting pasa a un segundo plano. Pero la realidad nos dice que este tipo de usuario o empresa es muy poco común dentro del tejido empresarial español, sólo medianas y grandes empresas se pueden permitir este tipo de equipos en su seno, o empresas delegan estas tareas tan específicas para sus webs a empresas externas.

De ahí que contratar servicios de hosting gestionados se haya convertido en un paso importante para muchas empresas a la hora de asegurar la actividad de su negocio online.

El usuario se ocupa del contenido de su web o comercio electrónico y el proveedor de hosting se encarga de la gran mayoría de las tareas de seguridad en su lugar. Y digo “la mayoría de las tareas” porque de nada sirve que proveedores de hosting como SiteGround dispongan de lo último en tecnología si al final un cliente pone “1234” como contraseña de su web, así nos lo ponen muy difícil a nosotros también.

  1. Uno de los aspectos comentados son las diferencias entre HTTP/2, QUIC y HTTP/3, ¿nos podéis ayudar a interpretarlas?

Comencemos explicando que HTTP es el protocolo que rige las transferencias de información en la web y el transporte de datos a través de Internet. Este protocolo no se actualizaba desde 1999, por lo que cuando llegó HTTP/2 el alivio fue espectacular.

Cuando un usuario hacía un petición a un servidor usando HTTP/1.x (, ver una página web fundamentalmente) se establecía una conexión única para poder transportar cada elemento de la web, esta información no se comprimía, y hasta que un objeto no era transportado, no empezaba a descargarse el siguiente ni abrirse la siguiente conexión. HTTP/2, entre otras mejoras, es multiplexado por lo que se establece una única conexión para todo el contenido pero a la vez se están realizando en paralelo múltiples solicitudes y respuestas de información. Además, las cabeceras se envían comprimidas y este protocolo envía información a la caché del navegador aunque no se haya pedido, para que cuando se realice esa petición ya se encuentre cargada en el navegador. El resultado es un aumento de la velocidad de descarga, consume menos recursos y disminuye la latencia en gran medida.

Ambas versiones están basadas en el protocolo de comunicación TCP/IP, un protocolo muy antiguo y muy seguro, pero que tiene un pequeño riesgo, y es que puede provocar cuellos de botella a la hora de transmitir datos usando redes lentas. Y aquí es cuando llega HTTP/3, cambia el protocolo TCP/IP protocolo por QUIC, basado en UDP. La principal diferencia de UDP respecto a TCP/IP es que no requiere de un continuo intercambio de datos, QUIC envía directamente los datos y delega la integridad de los mismos en las aplicaciones que los estén usando. Tanto HTTP/2 como HTTP/3 requieren del uso obligatorio de certificados SSL, para evitar que los servidores vuelvan a la anterior versión, HTTP/1.1

Con HTTP/3 (aún en desarrollo)  y QUIC, aumenta la velocidad de transferencia, se reducen los tiempos de carga, y la conexión es más estable. El rendimiento es mucho mayor en zonas en las que las conexiones a Internet son de baja calidad y/o con mucha latencia. Tendrá un impacto muy positivo en el uso de API’s en general y en el sector IoT (Internet of Things) donde la latencia y la pérdida de datos son un escollo. 

SiteGround fue el primer proveedor de hosting en España en integrar HTTP/2, y de nuevo el primero a la hora de integrar QUIC en sus servidores. Conjuntamente con el uso de certificados SSL Let’s Encrypt gratuitos en todos nuestros productos, aseguramos que nuestros clientes estén usando la versión más avanzada de esta tecnología.

  1. Últimamente se habla mucho de los ataques DDOS, ¿en qué consisten y cuál es la clave para que un sitio web esté protegido?

Un ataque de denegación de servicio distribuido consiste en evitar que los usuarios legítimos de un servicio puedan utilizarlo y esté inaccesible. Los ciberdelincuentes lo pueden conseguir de varias formas pero fundamentalmente lo hacen sobrecargando la red o los recursos del servidor afectado enviando una cantidad enorme de peticiones a esa infraestructura.

Este tipo de ataques se evitan contratando servicios de hosting en empresas que tengan medidas de prevención y resolución frente a este tipo de ataques. Normalmente estos ataques se dirigen a una web específica, pero al estar bloqueando la red de un proveedor de servicios, el resto de clientes se ve afectado. De ahí la importancia de que un proveedor de hosting pueda entre otras medidas, modificar el tránsito de su tráfico entre diferentes proveedores de conectividad para ponérselo más difícil a los ciberdelincuentes, o usar dispositivos hardware específicos que están monitorizando el tráfico continuamente y en cuanto detectan este tipo de ataques, se contrarrestan con medidas planificadas de antemano, lo que evita este tipo de ataques o los bloquean rápidamente.

SiteGround no es una excepción, todos los proveedores de hosting estamos expuestos a este tipo de amenazas, pero nosotros disponemos de un gran número de medidas que protegen a nuestros clientes. La gran mayoría de estos ataques pasan desapercibidos en nuestro día a día.

  1. Siteground cuenta con la opción de la autenticación de doble factor de cara a poder acceder a los paneles de usuario ¿cómo funciona?

Es un sistema que funciona en dos pasos. En cuanto un cliente de SiteGround introduce su contraseña en su panel de control, enviamos un código a su teléfono móvil, y únicamente cuando el cliente introduce ese segundo código puede utilizar nuestros servicios. Eso implica que aunque un ciberdelincuente sea capaz de conseguir nuestra contraseña, no podrá acceder al servicio por no disponer de la información que enviamos a su teléfono móvil.

El acceso a nuestras aplicaciones es mucho más seguro en SiteGround gracias a esta medida.

  1. Como empresa de referencia en servicios de hosting para muchas tiendas online ¿cuáles son los factores clave que estos negocios deben tener en cuenta de cara a la ciberseguridad en estos momentos?

Las tiendas online son webs más complejas en su estructura técnica que una web corporativa estándar. Ésta es la diferencia fundamental, por lo que siguiendo los consejos anteriores respecto a actualizaciones, contraseñas fuertes, y utilizando los servicios de hosting de empresas como SiteGround, la gran mayoría de las medidas a tomar por el administrador de una tienda online en cuanto a seguridad están completamente cubiertas. El uso además de gestores de contenido como WordPress-WooCommerce, Magento o PrestaShop, nos aseguran que el código que vamos a implementar en nuestra página web cumple con unos estándares de calidad ampliamente probados. 

Los riesgos a los que se enfrentan los administradores de negocios online son el uso de tarjetas de crédito robadas, phishing, y el robo de información de sus clientes, entre otros. Contra este último, quizás el más importante, sólo cabe eliminar las vulnerabilidades que nuestro comercio electrónico pueda tener, y eso se consigue usando herramientas de calidad probada como las anteriormente mencionadas, el uso continuo de buenas prácticas en cuanto a seguridad, y los servicios de un buen proveedor de hosting gestionado que proporcione la tecnología y el conocimiento necesarios para que las anteriores medidas se pongan en funcionamiento en un entorno seguro.

  1. En momentos de rápido crecimiento del sector ¿qué papel juegan los back up y cuál es la mejor recomendación?

El papel del backup es fundamental ya que nos proporciona la seguridad de recurrir a una copia fiable y segura del contenido de nuestra web cuando sea necesaria. Por lo tanto se hace imprescindible que estas copias se hagan diariamente, que el proveedor de hosting además guarde el histórico como mínimo de los últimos siete días, y además que estas copias se alojen fuera del servidor del cliente en una infraestructura paralela, estando así disponibles independientemente del estado del servidor del cliente.

En SiteGround realizamos copias diarias de todo el contenido de los servidores de nuestros clientes siguiendo estos protocolos. En nuestros productos de hosting compartido guardamos las copias de los últimos treinta días. Además el contenido se puede recuperar de forma sencilla desde nuestro panel de control, pudiendo escoger entre recuperar archivos, las bases de datos, archivos y bases de datos y recuperar el email. Permitimos además crear copias manuales cuando nuestros clientes quieren, muy útil cuando se van a hacer cambios en nuestra web.

No recomendamos a ningún administrador web o dueño/a de negocio que contrate servicios de hosting en proveedores que no tengan esta versatilidad en cuanto al backup. Solo nos acordamos del backup cuando nos hace falta, y creo sinceramente que no existe peor situación para un negocio que la de no poder recuperar la información de su web o de sus clientes ya sea porque las copias no están disponibles por cuestiones de calidad de la copia; porque no se han realizado las copias; o porque están ubicadas en el mismo servidor del cliente y si éste es inaccesible… no pueden restaurar ningún tipo de información. 

  1. Desde vuestra experiencia, cómo afronta actualmente estos retos el mercado español con respecto al resto de países.

Afortunadamente en España el mercado del hosting es muy maduro y tenemos proveedores de hosting de gran calidad y con precios muy asequibles. No tenemos nada que envidiar a ningún otro país en este aspecto. Las inversiones que realizamos los proveedores de hosting en seguridad son altas, tanto en tecnología como en recursos humanos. Es cierto que no todos los proveedores están al mismo nivel, pero eso ahora mismo es fácil de comprobar por cualquier persona, simplemente leyendo lo que he definido en las anteriores preguntas y comprobando si su proveedor de hosting tiene ese tipo de medidas implementadas en sus servicios. Aunque SiteGround es actualmente el proveedor de hosting con más medidas de seguridad implementadas a nivel web, la gran mayoría de los proveedores de hosting mantienen un nivel de seguridad muy alto. Evitemos por favor proveedores de hosting muy económicos, o proveedores de hosting que no incluyan las medidas mínimas de seguridad para nuestros negocios online.

Respecto a los usuarios de servicios de hosting, creo que todavía queda bastante trabajo de evangelización. No todo el mundo aprovecha todo lo que los proveedores de hosting ponemos a su disposición, y eso juega en su contra. Existe un gran número de empresas que no tienen todo su software actualizado, que utilizan contraseñas débiles, o que no prestan la suficiente atención al mantenimiento de sus webs en general. Y como dije al principio, cuando la seguridad es un problema, el problema no es la seguridad. 

Según crecen las cifras de comercio electrónico y la tecnología que los protege, crecen las amenazas. En estos tiempos de bonanza en el sector online también crecen el número de ciberdelincuentes (por favor, no los confundamos con los hackers) y el número de técnicas y estrategias que usan para arruinar negocios y estafar a nuestros ciudadanos.

La irrupción del teletrabajo en nuestras vidas también acarreó un aumento en el nº de ataques debido a la falta de preparación de muchas empresas que se vieron obligadas a cerrar sus oficinas físicas, donde tenían un perímetro de seguridad ya implementado. Nuevos tiempos exigen nuevas medidas, y afortunadamente nunca hubo tanta tecnología disponible para protegernos.