Los ataques cibernéticos a pequeñas y medianas empresas en 2019 costaron en promedio $ 200,000 por empresa, dejando sin piedad a muchas de ellas fuera del negocio, dice CNBC en su análisis de un informe reciente de Accenture. A la luz de la escasez global de habilidades en seguridad cibernética, se espera que el número se dispare en 2020. Solo en el Reino Unido, más de 50,000 pymes británicas podrían colapsar el próximo año luego de un ataque cibernético.

Este artículo trae una lista de herramientas gratuitas que ya se están utilizando para combatir estos desafíos alarmantes y que permiten a las pymes armarse contra una amplia gama de delincuentes cibernéticos.

Prueba de seguridad del sitio web con GDPR y escaneo de cumplimiento de PCI DSS

El problema: Sería difícil encontrar una PYME sin un sitio web, o al menos una página web en Internet. Dichos sitios web suelen estar mal protegidos, lo que los convierte en una fruta fácil de alcanzar para los ciberdelincuentes. Incluso si el sitio web no almacena ni maneja ninguna transacción de pago o información confidencial, una vez violado, el acceso a él se puede vender en los mercados de Dark Web desde $ 5 a $ 500 dependiendo de la popularidad del sitio web, la industria y la calidad de los visitantes.

Luego, los ciberdelincuentes explotarán el sitio web para enviar spam, propagar spyware y ransomware, y distribuir troyanos de acceso remoto (RAT) adaptados para vaciar cuentas de banca electrónica de visitantes involuntarios. Además del daño a la reputación y la caída de las ventas, estos incidentes imprevisibles también pueden desencadenar demandas prolongadas y costosas por parte de las víctimas, y mucho menos multas y sanciones imposibles según el RGPD y una gran cantidad de otras leyes y regulaciones de privacidad.

Peor aún, una vez que su sitio web se identifique como una fuente de spam, malware o ataques DDoS derivados de la violación, Google y otros motores de búsqueda lo incluirán rápidamente en la lista negra. La integridad de sus esfuerzos de SEO y la inversión en Google Ads se desvanecerá en minutos y durante muchos meses, mientras que el soporte de Google revisará su queja para eliminarlo del purgatorio de los sitios web peligrosos. Sin embargo, en la mayoría de los casos, su posición actual en los resultados de búsqueda (SERP) se perderá irremediablemente.

La herramienta: Nuestra primera herramienta en línea gratuita es, por lo tanto, una prueba de seguridad de sitios web que no solo busca vulnerabilidades, debilidades y configuraciones web, sino que también ejecuta un análisis de cumplimiento de GDPR y PCI DSS:

La prueba gratuita solo requiere una URL del sitio web para comenzar; no se requiere registro ni instalación. Se realizarán las siguientes pruebas y verificaciones de seguridad del sitio web no intrusivas y seguras para la producción:

• Escaneo CMS en profundidad para más de 50,000 vulnerabilidades de seguridad web conocidas
• Un escaneo completo de los complementos de WordPress, Drupal, Joomla y Magento
• Análisis completo de software de código abierto y sus componentes
• Comprobación de encabezados HTTP de privacidad y seguridad
• Verificación de la Política de Seguridad de Contenido (CSP)
• Comprobar presencia en Listas Negras
• Comprobar si hay malware

Además de esto, obtendrá una evaluación detallada de los requisitos aplicables de las siguientes normas reglamentarias y de cumplimiento:
Es importante destacar que la prueba gratuita está equipada con un descubrimiento OSINT rápido de sus subdominios, lo que proporciona una visibilidad más amplia de la superficie de ataque externa. La prueba también proporciona una API gratuita si desea automatizar las pruebas o exportar datos de vulnerabilidad a cualquier solución o plataforma de ciberseguridad existente.

Prueba de seguridad y privacidad de aplicaciones móviles

El problema: Las aplicaciones móviles y los ecosistemas están generando ingresos en constante crecimiento para las PYMES que están llegando a nuevos clientes y mercados en todo el mundo con sus productos y servicios.

Sin embargo, el mercado móvil emergente no está exento de inconvenientes y peligros. Las aplicaciones móviles inseguras o un cifrado de datos transmitido mal implementado pueden exponer datos confidenciales de los clientes, provocar daños a la reputación y pérdidas financieras considerables. Algunos casos pueden incluso dar lugar a demandas por parte de clientes beligerantes e inmensas sanciones financieras por parte de las autoridades de protección de datos y las agencias reguladoras.

Además, su aplicación puede ser prohibida permanentemente en las tiendas Apple y Google Play, lo que causa daños irreparables y prolongados a su negocio.

La herramienta: Para detectar, mitigar y prevenir tales consecuencias indeseables de manera oportuna, presentamos una prueba de seguridad móvil para sus aplicaciones iOS y Android:

La prueba gratuita requiere que su aplicación móvil esté cargada, o si la aplicación ya está disponible en Google Play, solo escriba su nombre en el cuadro de búsqueda y selecciónelo de la lista. No se requiere instalación ni registro para probar en sus aplicaciones móviles.

Durante el proceso de escaneo de seguridad, se realizarán las siguientes comprobaciones y pruebas:

• Escaneo en profundidad de seguridad OWASP Mobile Top 10
• Escaneo inteligente de contraseñas codificadas y claves API
• Comprobación de privacidad holística e inventario de permisos de aplicaciones
• Pruebas dinámicas (DAST) del binario de su aplicación móvil en busca de fallas de seguridad
• Pruebas estáticas (SAST) del código fuente de su aplicación móvil en busca de fallas de seguridad
• Análisis de composición de software (SCA) en profundidad para riesgos conocidos de software de código abierto (OSS)
• Revisar el cifrado de los datos enviados al backend de la aplicación móvil (API y servicios web)
• Escaneo de malware y cryptojacking

Obtendrá una descripción general consolidada de la seguridad y privacidad de su aplicación móvil con excepciones procesables de código fuente problemático y recomendaciones sobre cómo solucionar los problemas. Además, puede usar una API gratuita para automatizar las pruebas de sus aplicaciones móviles antes de lanzar una nueva versión, por ejemplo.

Cifrado SSL/TLS y prueba de certificado con escaneo PCI DSS, NIST y HIPAA

El problema: La Internet moderna sería imposible sin el cifrado. Incluso los principiantes saben que un ícono de candado verde en el lado izquierdo de la barra de direcciones del navegador es un buen indicador de confianza. El cifrado SSL/TLS correctamente implementado y el certificado SSL correctamente instalado pueden impulsar sus ventas en línea y brindarle una ventaja competitiva en el mercado global.

Si tiene un sitio web de comercio electrónico y acepta pagos con tarjetas de crédito, es probable que cumpla con los estrictos requisitos de seguridad impuestos por PCI SSC a los comerciantes en línea, incluida la versión más reciente de PCI DSS. En medio de esos 12 requisitos de seguridad bien pensados, la implementación debida del cifrado SSL / TLS juega un papel notable para proteger los datos de la tarjeta de crédito de la interceptación y el robo.

El formidable RGPD también requiere inequívocamente una estrategia de cifrado implementada correctamente siempre que procese, almacene o maneje cualquier información de identificación personal (PII) de europeos o residentes europeos (UE).

Recientemente, Google introdujo una modificación importante en sus algoritmos de búsqueda y clasificación, dando claramente preferencia a los sitios web con un cifrado HTTPS impecable de acuerdo con las mejores prácticas de la industria.

La herramienta: Ahora echemos un vistazo a esta prueba de seguridad SSL / TSL gratuita que puede escanear rápidamente su sitio web y sus subdominios en busca de todas las configuraciones erróneas de cifrado conocidas y debilidades relacionadas:

A diferencia de muchas otras pruebas de seguridad SSL y herramientas de validación de cifrado en línea, esta es capaz de probar no solo el cifrado HTTPS, sino que también se adapta bien al correo electrónico (p. ej., POP3S, IMAPS, STARTTLS) y todas las demás implementaciones comunes de SSL/TLS en cualquier Puerto.

La prueba solo requiere su sitio web o el nombre del servidor y luego realizará rápidamente las siguientes comprobaciones y buscará:

• Más de 30 vulnerabilidades de implementación de SSL/TLS conocidas, incluidas Poodle y Heartbleed
• Requisitos de PCI DSS para cifrado SSL/TLS, trajes de cifrado y certificado SSL
• Directrices del NIST sobre SSL/TLS, incluida una comprobación exhaustiva de todos los conjuntos de cifrado
• Orientación de HIPPA sobre el refuerzo y la implementación de SSL/TLS
• Inserción no segura (no HTTPS) de contenido web externo
• Cadena de certificados SSL y verificación de CA

Además, la prueba enumerará todos sus subdominios descubiertos con el reconocimiento OSINT no intrusivo. Eventualmente, puede automatizar sin problemas el escaneo regular usando la API gratuita.

Prueba de seguridad de dominio

El problema: El phishing es probablemente uno de los problemas más frecuentes y conocidos que cuestan miles de millones de dólares cada año a las víctimas desatendidas o descuidadas. Con el aumento vertiginoso de los ataques Business Email Compromise (BEC), también entrelazados con los llamados correos electrónicos «CEO Fraud», la prevención del phishing merece un lugar especial en su estrategia de ciberseguridad.

Los ataques de dominio, incluidos el typosquatting y el cybersquatting, suplantan su marca y sus marcas registradas en el espacio digital. Se roban los visitantes y el tráfico del sitio web, parasitando su buena voluntad y su reputación ganada con tanto esfuerzo. En mercados pequeños y de rápido crecimiento, estos gorrones pueden socavar sus esfuerzos de marketing y anular su éxito anterior.

Por último, pero no menos importante, las cuentas falsas en las redes sociales que pretenden representarlo o estar conectadas de alguna manera con su negocio también pueden causar mucho daño a la reputación y pérdida de ganancias.

La herramienta: Para abordar los desafíos anteriores, debe probar esta prueba de phishing y seguridad de dominio:

Todo lo que necesita para comenzar la prueba es ingresar su nombre de dominio. La prueba rastreará meticulosamente más de 200 000 000 de los dominios existentes o previamente existentes tratando de encontrar infractores, impostores y otros parásitos digitales.

Representará la seguridad de su dominio mediante la entrega de un inventario actualizado de dominios y sitios web maliciosos, que incluye:

• Todos los sitios web conocidos de phishing, malware y estafa que explotan su marca
• Cuentas falsas en Twitter, Facebook y otras redes sociales
• Lista completa de dominios typosquatted que abusan de su marca
• Lista completa de dominios ciberocupados que abusan de su marca

La prueba también es capaz de identificar y distinguir los sitios web y dominios que pertenecen o son operados por sus organizaciones, marcándolos apareciendo en azul. Mientras que todos los demás dominios no autorizados aparecerán en rojo y requerirán su atención para una pronta acción de eliminación.

¡Compruebe estas y otras pruebas de seguridad gratuitas que ofrece ImmuniWeb® Community y manténgase seguro en 2020!