Cómo proteger tu blog y tus suscriptores

Si tienes un blog, una web, manejas  datos de usuarios , tienes una comunidad  de suscriptores o una base de datos de clientes, tienes también la responsabilidad de velar por la seguridad de todos y cada de uno de esos datos.

Con el auge de  blogs y webs desarrolladas en plataformas como WordPress, lo raro sería que nadie tuviera interés en atacarlas.

Pero no se trata sólo de proteger la seguridad de tu web, lo verdaderamente relevante es proteger la seguridad y privacidad  de los usuarios que te han confiado su información. También debes asegurarte de gestionar esa información  de manera que no resulten lesionados los derechos de las personas que te han confiando su información personal.

¿Lo estás haciendo?

Puede que tu creas que sí, pero en mi experiencia, en la mayoría de los casos no existe ningún protocolo de seguridad para el tratamiento de datos personales obtenidos en un blog  ni de respuesta a incidencias, tampoco existe plan de contingencia.

¿Crees que si tienes un blog es imposible que te ataquen?

Lo más seguro es que tu blog sea vulnerable y que no seas consciente de ello hasta que sea demasiado tarde.

Justamente, esta creencia es la más peligrosa, porque a menor conciencia del riesgo, mayores son las posibilidades de ataque. Los atacantes novatos pueden vulnerar fácilmente de un blog si no lo has protegido de forma suficiente y te aseguro que los blogs sufren ataques.

Otro riesgo es que ataquen tu blog  y que no te enteres: los atacantes pueden utilizar tu página para delinquir, enviando spam, crear redes de botnet para dirigir ataques a otras webs, crear páginas adicionales para realizar estafas, entre otras muchas calamidades que se pueden hacer desde tu blog.

Cómo en cualquier situación, siempre es más efectivo emplear recursos en prevenir que en reaccionar cuando ya tienes un ataque encima.

Las principales amenazas de un blog

Los atacantes cada vez utilizan recursos mas sofisticados para acceder a tu sistema y sustraer datos personales con diferentes finalidades.

Uno de los ataques más típicos a un blog consiste básicamente en usar fuerza bruta para adivinar la contraseña de administrador de cada instalación.  En cuanto el atacante o el malware accede a la contraseña, crea  un nuevo usuario. Desde ahí empezará a atacar a otros blogs WordPress por fuerza bruta para infectarlos.

En otros casos, los atacantes operan a nivel personal, atacando directamente a usuarios, emprendiendo acciones mas complejas para acceder a sus bases de datos. Muchas veces el asalto no requiere mucha destreza porque las capas de seguridad son tan precarias que no necesitan el menor esfuerzo, un atacante primerizo puede vulnerar la seguridad de un blog si no está protegido adecuadamente.

Muchos conocemos estas amenazas, no obstante, siguen activas porque no son pocos los incautos que caen en la trampa de los atacantes.

También es cierto que los atacantes tienen muchos más canales y vectores de ataque disponibles, como los formularios de un blog, , las redes sociales , el correo electrónico, los sistemas de mensajerías, los fotos, etc.

Por otra parte, las nuevas estrategias de captación han disparado el número de blogs que manejan un importante volumen de datos de usuarios y que desconocen cómo protegerlos, y por eso,  saber eludir a los atacantes es algo que debes aprender antes de lanzarte a captar datos a través de tu blog.

Ingeniería social aplicada a blogs

Phising, pharming, robos de identidad, estafas a través Internet, son nuevos tipos delictivos de ingeniería social que tienen como objetivo los datos personales.

El problema, es que como usuarios, la gran mayoría no sabe identificarlos y tampoco es consciente del riesgo que asume cada vez que introduce un dato personal en un formulario impostado o pincha en un enlace que no toca o descarga un archivo dudoso.

Para proteger a tus clientes y usuarios debes identificar las principales amenazas que ponen en riesgo la privacidad de los datos personales de los que eres responsable.

Repasemos las mas comunes.

La suplantación de identidad

Consiste en utilizar tu correo o “identidad digital” por otro usuario sin tu consentimiento o crear un perfil falso utilizando imágenes y datos personales de organizaciones o entidades para cometer un fraude, realizar ciberbullying o sustraer información.

Un ejemplo típico es la utilización de tu cuenta profesional para mandar a tu base de datos un correo pidiendo información, datos bancarios o contraseñas ¿Te imaginas el daño reputacional que esto puede generarte?

Por eso es esencial trabajar con protocolos seguros, aunque sólo tengas un blog.

Phishing

La anatomía de la estafa  de estos ladrones de datos es siempre la misma.

El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico,  algún sistema de mensajería instantánea,  a través de una página web aparentemente real y de confianza.

Estos correos electrónicos o mensajes incluyen un enlace que lleva al usuario a un sitio web en teoría conocido, pero que es en realidad una copia del original donde se solicita información confidencial.

De esta manera, usuarios demasiado confiados podrían verse involucrados en este tipo de ataques que tienen como principal objetivo el robo de datos personales.

Ejemplos reales: phishing a ING DIRECT, phishing a Bankia, phishing a Banco Popular, phishing a Caja España, phishing al Banco Santander, phishing a Banco BBVA.

También son golosas para los atacantes las pasarelas de pago online (PayPal, Mastercard, Visa, etc.) en este caso, se ponen en contacto con el usuario simulando cambios de normativa, cierre incorrecto de sesión, detectada intrusión en sus sistemas de seguridad, etc. la finalidad siempre es la misma, robar datos bancarios.

Otra forma de phishing en la de promocionarse en redes sociales como Facebook, a través de páginas con muchos fans. Utilizan un anuncio “gancho” muy atractivo y cuando el usuario intenta acceder al contenido se encuentra con que nada tiene que ver con el contenido original. Faceboock es un gran nicho para estas prácticas ilegales.

Por eso, si vas a lanzar una promoción en Facebook, hazlo dejando evidencias claras de legalidad.
Solo a titulo informativo, podemos nombrar otras formas de phishing como: Páginas de compra/venta y subastas (Amazon, eBay, etc.) Juegos online Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)

Últimamente son muy frecuentes campañas que utilizan como pretexto falsas ofertas de empleo que envían por correo. Pretenden recoger la mayor cantidad de datos posibles para utilizarlos con fines fraudulentos.

Pharming

En este caso, se trata de conducir al usuario a un sitio web simulado, alterando los servidores del sistema de nombres de dominio de internet o manipulando archivos ficheros en los equipos de los usuarios redirigiendo sus peticiones a otras web controladas por los atacantes.

Rogueware

También se los conoce como virus falsos que buscan generar estados de emergencia ante una falsa amenaza, muy ligados también al ransomware (secuestro del sistema a cambio de un «rescate»). Uno de los casos más famosos sobre estos temas fue el popular virus de la policía.

Utilizados con dudoso gusto y poca ética en el mundo del marketing en forma de pop-up, banners de advertencia que invaden la pantalla y nos fuerzan a ver anuncios y promociones.

Streaming

 Con la fiebre del streaming, Internet se utiliza hoy en día, y más que nunca, para descargar contenido multimedia: vídeos, películas, series, música, partidos de fútbol, etc. y esta necesidad ha incrementado el número de atacantes  que esperan al incauto a que se registre para apropiarse de sus datos y descargar programas maliciosos que pueden infectar tu equipo y vulnerar la seguridad de tu blog.

Como proteger los datos de usuarios de un blog

Ante todo, debes empezar por conocer los derechos que  asisten a los usuarios y clientes que contactan contigo a través de tu blog, realizan transacciones, se suscriben a tu boletín, etc..

En caso de sufrir una brecha de seguridad, tu serás el responsable legal y deberás responder de las consecuencias.

También has de saber que el nuevo reglamento de protección de datos o, obliga a las empresas a informar de las brechas de seguridad en determinadas circunstancias.

Es sabido que  la seguridad absoluta no existe cuando hablamos Internet, las amenazas son constantes y cada vez mas complejas, pero puedes minimizar riesgos y daños en tu blog.

Te propongo algunas medidas imprescindibles para tu blog que puedes empezar a implantar ahora mismo.

• Instalar y configurar obligatoriamente un plugin de copia de seguridad de tu blog.
• Actualizar siempre  WordPress a la última versión.
• Mantener  plugins y temas actualizados.Nunca instales temas ni descargues plugins de sitios que no sean oficiales.
• Ten cuidado con los programas o aplicaciones que descargas en los soportes que almacenan datos de  usuarios o suscriptores que se integran a WordPress.
• Añade programas cortafuegos y de eliminación de software espías.
• No utilices nunca la opción “guardar contraseñas”
• Cambia las contraseñas con frecuencia y asegúrate que sean fuertes.
• Nunca utilices la misma contraseña para diferentes servicios, como la de tu cuenta de administrador en tu blog, Debe ser robusta y utilizada sólo en tu blog.
• Todo el personal, colaborador o externo que en el ejercicio de las labores asignadas deba tener acceso a los ficheros con datos de carácter personal, deberá suscribir un compromiso de confidencialidad en el que reconocerá haber tomado conocimiento y comprendido las obligaciones respecto a los datos a los que tiene acceso y se le informará de las consecuencias jurídicas de su incumplimiento.
• No abras jamás correos electrónicos que no hayan solicitado y elimínelos directamente y jamás envíes información comercial a personales que no te conocen ni te han dado su permiso.
• Evita descargar cualquier software de la Web. El spyware puede incluirse en software auténtico o el software puede contener programas registradores de pulsaciones de teclas o raspadores de pantalla que roban la información  y que son utilizadas por los atacantes.
• No accedas a programas de Chat,  foros o grupos de noticias desde el ordenador profesional y menos utilizando direcciones de correo profesionales al ser especialmente peligrosos en la revelación de información confidencial y en la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que deberías evitar su uso.
• No proporciones jamás y bajo ninguna circunstancia tu usuario y contraseña .
• No hagas click en el primer botón de descarga que veas. Examina bien la página. En algunas ocasiones, la descarga es un enlace de texto, ni siquiera es un botón. Pasa el ratón por encima de ellos y mira la dirección que aparece en la barra de estado. Quizás eso te de una pista sobre si es SPAM o una descarga real.
• Nunca dejes tu correo en una página que no exponga claramente su política de privacidad y la finalidad con la que piensa utilizar tu correo. Tampoco si no autentifica a sus usuarios y les pide consentimiento para hacer uso de sus datos, eso evidencia falta de seriedad y legalidad del responsable de la web.
• No confíes en páginas de redes sociales sólo por el hecho de tener muchos fans. Hazte una visión global de la página. Evita las que publican siempre los mismos enlaces o tengan pocas publicaciones, el objetivo es llevarte hacia enlaces engañosos desarrollados por ladrones de datos.
• Ten cuidado con los enlaces que aparecen en páginas y correos, pueden ser maliciosos.
• Cuidado al descargar ficheros adjuntos de correos aunque sean de contactos conocidos, pueden esconderse ladrones de datos tras de cada uno de ellos.

Te recomiendo también  esta genial  Guía de seguridad para blog de WordPress escrita por Javi Gobea para ciudadanos 2.0

Aprende a convertir tu blog en una fortaleza

Gestionar un blog implica gestionar la confianza de usuarios  suscriptores que se relacionan con tu web, por tanto, es imprescindible  adecuar tu blog al RGPD.