Cinco consejos para mantener la seguridad de tu nombre de dominio y sitio web
Por Aman Masjide
Imagínate que después de meses, e incluso años, de construir tu sitio web, afinar tu posicionamiento en los motores de búsqueda y construir tu base de usuarios y clientes, te despiertas una mañana y encuentras a tus clientes furiosos en las redes sociales y tu posicionamiento en los motores de búsqueda desplomándose debido a que tu sitio web y sus datos han sido pirateados.
Este es un riesgo que ninguna pequeña empresa quiere correr.
Al aplazar la seguridad de tu dominio, dejas la puerta abierta para que los hackers destruyan el duro trabajo que has realizado. Esto es lo que podría ocurrir:
- Los datos de tus clientes, incluyendo información de identificación personal (IIP), pueden ser robados
- Es posible que tengas que pagar una multa por incumplimiento
- La reputación de tu marca puede verse dañada
La verdad es que los sitios web se ven comprometidos todo el tiempo. A veces la razón es para robar tus datos, pero a menudo es para usar tu servidor para enviar correos electrónicos de spam, compartir archivos ilegalmente o configurar un servidor web malicioso y temporal. Cualquiera de estas actividades puede perjudicar la reputación de tu marca.
A continuación se presentan cinco pasos que puedes seguir para asegurarte de que estés bien protegido:
1. Mantén actualizados tus datos de contacto y no los publiques innecesariamente
Mantener tu información de registro actualizada ayuda a mantener seguro tu dominio.
Asegúrate de ser el propietario del dominio
Si tu dominio es secuestrado, puedes recuperarlo más rápidamente si tú eres el registrante oficial del dominio. Si registraste tu dominio a través de una agencia web, por ejemplo, asegúrate de que los datos de contacto del propietario sean los tuyos, y no los de la agencia. O si un miembro de tu equipo registró tu dominio, podría haberlo hecho a su nombre. En ambos casos, debes cambiar el propietario de la cuenta de tu organización.
Mantén tus datos de contacto actualizados
Esto ayudará a tu registrador de dominios a notificarte si observa alguna discrepancia con tu cuenta. Si tu nombre y tus datos de contacto son correctos en la información de registro de dominio, te resultará más fácil restaurar el acceso a tu dominio si fuera necesario.
Oculta tus datos personales en el WHOIS
El WHOIS exhibe tu información de registro, incluyendo tu dirección y número de teléfono. Es posible que desees ocultar esta información por dos razones: primeramente, al publicar tu número de teléfono en el WHOIS es probable que recibas muchas llamadas de indeseadas. En segundo lugar, los hackers también pueden secuestrar tu número y usarlo para intentar acceder a tus cuentas a través del procesos de recuperación.
2. No compartas tus datos de inicio de sesión de registro de dominio
Como regla general, nunca compartas tus credenciales de inicio de sesión.
Es posible que los diseñadores Web, profesionales de TI y desarrolladores te pidan los datos de inicio de sesión para que puedan realizar cambios en la configuración del DNS.
Estas actualizaciones pueden realizarse sin compartir tus datos de acceso.
Si tu registrador te permite crear subcuentas, puedes proporcionarles derechos limitados a ciertas personas para acceder sólo a lo que necesiten. Si el desarrollador web necesita cambiar la configuración de DNS, sólo da les acceso a la configuración de DNS. De esta manera puedes estar segur@ de que no ningún dato se modificará más allá de lo necesario.
3. Está al pendiente de los mensajes de correo electrónico que soliciten tus datos de inicio de sesión
Los ataques de phishing fraudulentos suelen presentarse en forma de un simple mensaje de correo electrónico que parece provenir del registrador de dominios.
A menudo se envían por medio de una dirección de correo electrónica de un remitente de confianza falsificada, o provienen de un nombre de dominio que es muy similar a uno en el que confías. Por ejemplo, los phishers pueden enviar correos electrónicos desde un dominio como «gandeeemailsupport.com». Puede ser que estos correos electrónicos tengan que ver con la administración o renovación de tu dominio.
Nunca hagas clic en un enlace de un correo electrónico que te pida tu nombre de usuario y contraseña.
La mejor manera de evitar el phishing es conectándote a tu cuenta únicamente desde la página web oficial de tu registrador. Asegúrate de compartir el correo electrónico sospechoso que recibiste con tu registrador para verificar si se trata de un ataque de phishing.
4. Utiliza la autenticación de dos factores
La autenticación de dos factores (2FA) requiere que inicies sesión con un segundo factor de seguridad además de con tu nombre de usuario y contraseña. Este puede ser un código que se te envié por mensaje SMS o generado por una aplicación. Si un hacker obtiene acceso a tu cuenta, el hecho de tener la segunda capa de autenticación puede protegerte de perder tu dominio.
Sin embargo, 2FA sigue siendo vulnerable a los ataques. Al utilizar mensajes SMS para enviarte un código, si un atacante roba tu teléfono (como se mencionó anteriormente), puede acceder a aquellas cuentas que utilizan 2FA.
Para evitar este problema de secuestro, puedes usar TOTP o contraseñas de un solo uso, pero no te protegen a ti ni a tus usuarios de los ataques de phishing, ya que el atacante aún puede transmitirlos durante un phish exitoso.
Universal 2 Factor (U2F) es un 2FA más fuerte, que añade una capa de cifrado al proceso y proporciona una mayor validación, tanto de tu identidad como del sitio web, lo que evita los fraudes de suplantación de identidad.
5. Elije un buen registrador de dominios
Uno de los factores más importantes para mantener tu dominio seguro es elegir un buen registrador de dominios.
Al elegir un registrador de dominios, asegúrate de tener en cuenta sus características de seguridad.
Características como la privacidad gratuita de WHOIS, las subcuentas, la autenticación de dos factores e incluso el doble factor universale pueden ser decisivos.
Otras características de seguridad que son importantes que tenga tu registrador son:
- Gestión de DNSSEC: DNSSEC es una extensión de DNS que se utiliza para verificar que la información de DNS recibida es correcta. Sin DNSSEC, un atacante podría proporcionarle a un usuario que busca tu sitio web información que le permita acceder a un sitio malicioso y secuestrar tu tráfico.
- Soporte técnico de calidad: es imprescindible contar con soporte técnico las 24 horas del día. Siempre debes poder comunicarte con un representante de soporte en caso de que surja algún problema. En el caso de dominios secuestrados, el soporte inmediato es crucial para que tu dominio vuelva a funcionar.
Resumen
Tu nombre de dominio es uno de los aspectos más importantes de tu negocio. Si tu nombre de dominio es secuestrado, tu negocio puede ganar una reputación negativa, tu clasificación SEO podría caer, y meses o años de duro trabajo podrían ser destruidos. Siguiendo los consejos anteriores y eligiendo el registrador adecuado, puede reducir las posibilidades de que tu nombre de dominio sea secuestrado. Gandi es un ejemplo de un registrador que ofrece las funciones mencionadas anteriormente, pero es importante comparar todas las funciones de seguridad de un registrador para asegurarte de que su dominio esté seguro.
Aman Masjide lidera el departamento de Cumplimiento y Mitigación de Abuso en Radix, uno de los registradores de dominios más grandes del mundo. Radix ofrece nuevos dominios como .online, .store, .fun, .website, .tech, .host, .site, .space & .press.
Tagged in Nom de domainespoofing