¿Qué es la puntuación de SecurityScorecard y qué significa para tu sitio web?

La calificación de SecurityScorecard es una puntuación de seguridad basada en una perspectiva externa que se asigna a tu organización basándose exclusivamente en lo que es visible públicamente a través de Internet. No requiere tu colaboración, tus credenciales ni siquiera que te des cuenta. SecurityScorecard analiza tu infraestructura pública y puntúa lo que encuentra, del mismo modo que un atacante examinaría tu sitio web antes de decidir si seguir investigando.

Si has recibido un informe de evaluación de un cliente, un proveedor o tu propio equipo de seguridad y no estás seguro de qué significa, este artículo explica qué es lo que mide la plataforma, por qué ciertos problemas son difíciles de solucionar en un alojamiento compartido o gestionado, y qué cambia con un servidor dedicado.

¿Cómo mide SecurityScorecard tu nivel de seguridad?

SecurityScorecard analiza todo el espacio de direcciones IPv4 —más de 3.900 millones de direcciones IP enrutables— cada 10 días a través de más de 1.400 puertos. La plataforma también analiza los activos en la nube varias veces al día, ya que la propiedad de las direcciones IP en la nube cambia con frecuencia.

El análisis recopila toda la información que un atacante podría detectar desde el exterior: puertos expuestos, versiones de software obsoletas y vulnerabilidades conocidas, además de datos procedentes de fuentes privadas, como fuentes de inteligencia sobre amenazas y bases de datos de vulnerabilidades.

Este proceso no requiere en absoluto acceder a tus sistemas. Tu puntuación refleja lo que SecurityScorecard puede ver desde la red pública de Internet, que es precisamente lo primero que vería cualquiera que intentara atacar tu sitio web.

Las puntuaciones se actualizan a diario. Si tu infraestructura y el número de incidencias se mantienen estables, tu puntuación se mantendrá igual. Si corriges un problema, tu puntuación mejorará, normalmente entre 24 y 48 horas después de que el siguiente ciclo de análisis confirme la corrección.

¿Qué significa realmente la calificación con letras?

La calificación alfabética —de la A a la F— y la puntuación numérica correspondiente, de 100 a 0, reflejan la probabilidad estadística de que tu organización sufra una filtración de datos. Cuanto más baja sea la puntuación, mayor será la probabilidad.

La relación entre la calificación y la probabilidad de incumplimiento es significativa:

• A (90–100): Probabilidad de violación más baja
• B (80–89): Riesgo bajo
• C (70–79): Riesgo moderado
• D (60-69): Riesgo elevado
• F (por debajo de 60): Alto riesgo

Las organizaciones con una calificación de «F» tienen 13,8 veces más probabilidades de sufrir una filtración que las que tienen una «A». No es una diferencia insignificante. Una organización con una calificación de «D» se sitúa un nivel por encima de ese umbral, y una recalibración programada de la puntuación puede inclinar la balanza aún más en cualquier dirección.

¿Cuáles son los 10 factores de riesgo que evalúa SecurityScorecard?

SecurityScorecard evalúa a las empresas en función de 10 factores de riesgo: seguridad de las aplicaciones, puntuación Cubit, estado del DNS, seguridad de los dispositivos finales, comentarios de los hackers, credenciales filtradas, reputación de las direcciones IP, seguridad de la red, frecuencia de aplicación de parches e ingeniería social.

Varios de estos aspectos están directamente relacionados con la configuración de tu servidor:

La seguridad de red comprueba si hay puertos abiertos inseguros, protocolos TLS débiles y conjuntos de cifrado mal configurados. Los puertos inseguros pueden ser objeto de ataques que permitan a un atacante eludir el proceso de inicio de sesión u obtener acceso con privilegios elevados al sistema. Si está mal configurado, un puerto abierto actúa como punto de entrada directo entre el entorno de un hacker y tu red interna.

La seguridad de las aplicaciones evalúa si tus sitios web implementan encabezados de seguridad HTTP —controles como la Política de seguridad de contenidos (CSP), la Seguridad de transporte estricta de HTTP (HSTS) y X-Content-Type-Options— que los navegadores utilizan para bloquear vectores de ataque habituales.

El índice de aplicación de parches mide la rapidez con la que tu organización responde a las vulnerabilidades conocidas y aplica los parches, en comparación con otras empresas de tamaño similar. La lentitud en la aplicación de parches es uno de los comportamientos que más se penalizan en la plataforma.

DNS Health comprueba que la configuración del DNS esté en orden, que los servidores de correo cuenten con las protecciones adecuadas contra la suplantación de identidad (SPF, DKIM, DMARC) y que no haya eventos maliciosos en tu historial de DNS pasivo.

Los demás factores —la reputación de las direcciones IP, la seguridad de los dispositivos finales, las conversaciones de los hackers y las credenciales filtradas— reflejan aspectos como si tus direcciones IP han aparecido en listas de malware, si se han encontrado credenciales de tu organización en bases de datos de filtraciones o si se habla de tu organización en las comunidades de los actores maliciosos.

¿Por qué les importa tu puntuación a los clientes corporativos y a los equipos de compras?

La calificación de SecurityScorecard ha traspasado con creces los límites del ámbito de la seguridad interna. La tecnología patentada de la plataforma es utilizada por las organizaciones para la gestión de riesgos corporativos, la gestión de riesgos de terceros, la presentación de informes al consejo de administración, la diligencia debida, la suscripción de seguros cibernéticos y la supervisión normativa.

Eso significa que tu puntuación es cada vez más visible para personas ajenas a tu organización:

• Las empresas que cuentan con programas de gestión de riesgos de proveedores revisan las fichas de evaluación de estos antes de firmar los contratos. Algunas establecen unos umbrales mínimos de puntuación que los proveedores deben alcanzar para ser aprobados.
• Las aseguradoras cibernéticas utilizan las calificaciones de SecurityScorecard a la hora de fijar el precio de las pólizas. La plataforma ya ha ofrecido los primeros descuentos en seguros cibernéticos del sector, vinculados directamente a las mejores calificaciones de seguridad, gracias a colaboraciones con las aseguradoras. Una puntuación baja puede aumentar tu prima o limitar tus opciones de cobertura.
• Los equipos de compras de las empresas reguladas —del sector financiero, sanitario o de la contratación pública— suelen tener que documentar el nivel de seguridad de cada proveedor antes de aprobarlo. Una puntuación de «F» o «D» en la ficha de evaluación es una señal de alerta documentada en ese proceso.

Esto sorprende a muchos propietarios de sitios web. La mayoría da por hecho que una calificación de seguridad es un indicador interno de cumplimiento. Para las agencias y empresas que trabajan con clientes corporativos, funciona más bien como una puntuación crediticia: es visible para las contrapartes y puede influir en los acuerdos incluso antes de que empiece la conversación.

¿Qué incidencias de tu tarjeta de puntuación se deben a problemas de configuración del servidor?

Muchos de los hallazgos que aparecen en un informe de SecurityScorecard no son errores de software ni filtraciones de credenciales. Son problemas de configuración de los servidores, es decir, aspectos que existen o no existen en función de las decisiones tomadas a nivel de infraestructura.

Piensa en lo que aparece con más frecuencia en los sitios web con baja puntuación:

Compatibilidad con el protocolo TLS: Un servidor que siga aceptando conexiones a través de TLS 1.0 o TLS 1.1 se marca como un problema de seguridad de red de gravedad alta. La IETF dejó de recomendar estos protocolos en 2021 debido a sus conocidas vulnerabilidades criptográficas. El hecho de que esos protocolos estén activados o desactivados se controla en la configuración de tu servidor web —Apache, NGINX y el sistema operativo Linux— y no en el código de tu aplicación.

Selección de conjuntos de cifrado: Los conjuntos de cifrado débiles —esos que usan RC4, 3DES o cifrado de grado de exportación— se marcan por separado. Los conjuntos de cifrado que ofrece tu servidor se configuran en los mismos archivos de configuración del servidor web. Una aplicación que se ejecute en WordPress Magento no Magento control sobre esto; es el servidor quien lo controla.

Encabezados de seguridad HTTP: CSP, HSTS, X-Content-Type-Options, X-Frame-Options. Estos son los encabezados que los servidores envían a los navegadores para limitar lo que el navegador puede hacer con el contenido de tu dominio. Para añadirlos, necesitas una directiva en la configuración de tu servidor web o un middleware a nivel de servidor. No se pueden configurar de forma fiable solo desde dentro WordPress un plugin de CMS, y una CDN puede anular o eliminar los encabezados dependiendo de su configuración.

Configuración del certificado: la vigencia del certificado, la compatibilidad con la revocación y el algoritmo de firma son aspectos relacionados con la forma en que se emite y configura un certificado TLS en el servidor. No se trata de problemas de tu aplicación, sino de la forma en que se implementa el certificado.

Por qué los entornos de alojamiento compartido y restringido limitan lo que puedes arreglar

Aquí es donde la elección del alojamiento web se convierte en una cuestión de seguridad, y no solo de rendimiento o precio.

En el alojamiento compartido —incluidas WordPress gestionadas WordPress con restricciones— el proveedor de alojamiento se encarga de configurar y mantener el servidor. Esa es la contrapartida: no tienes que gestionar el servidor, pero tampoco puedes configurarlo. El servidor web que aloja tu sitio se comparte con decenas o cientos de clientes más, y su configuración refleja las decisiones del proveedor, no las tuyas.

Si tu proveedor de alojamiento no ha desactivado TLS 1.0 en toda la plataforma, tu sitio seguirá indicando que es compatible con TLS 1.0. Si HSTS no está configurado a nivel de servidor, tu sitio no enviará encabezados HSTS aunque tú quieras que lo haga. Y como esa configuración da servicio a miles de sitios, los proveedores tardan en cambiarla: cualquier error de configuración afecta a todos los clientes.

WordPress gestionado WordPress optimizan específicamente WordPress y el tiempo de actividad WordPress . Por lo general, el refuerzo de la seguridad a nivel de servidor no forma parte de lo que ofrecen. Cuando les pides que modifiquen los conjuntos de cifrado o que añadan encabezados de seguridad globales, la respuesta suele ser «no podemos hacerlo» o «envía un ticket de soporte y lo revisaremos», sin dar ningún plazo ni garantía.

Esto da lugar a una situación previsible: aparecen unos hallazgos en tu informe de SecurityScorecard, intentas solucionarlos y descubres que la solución requiere un acceso al servidor del que no dispones.

¿Qué cambia con un servidor dedicado?

Un servidor dedicado te da acceso de root a una máquina física que no comparte nadie más. Todas las decisiones de configuración —qué versiones de TLS acepta el servidor, qué conjuntos de cifrado ofrece, qué encabezados HTTP envía, cómo se gestionan los certificados— las tomas tú.

Eso significa que cada problema de las categorías «Seguridad de red» y «Seguridad de aplicaciones» de un informe de SecurityScorecard se puede solucionar fácilmente. Desactivar TLS 1.0 y 1.1 en un servidor Apache solo requiere un pequeño cambio en la configuración y reiniciar el servicio. Añadir HSTS a cada respuesta son solo tres líneas en un bloque de servidor. Aplicar una política de seguridad de contenido estricta solo requiere acceder al mismo archivo de configuración. Ninguna de estas acciones requiere abrir un ticket de soporte. Ninguna requiere esperar a que el proveedor actúe.

En los servidores dedicadosInMotion Hosting, tienes acceso root completo y control total cPanel. Para los clientes que prefieren un enfoque guiado, InMotion Solutions —el equipo interno de administración de sistemas— puede implementar medidas de refuerzo de seguridad a nivel de servidor, gestionar la configuración de TLS y validar los cambios según criterios de puntuación de seguridad. El paquete Premier Care añade una gestión proactiva de la seguridad con la defensa contra malware de Monarx y asistencia técnica avanzada.

En resumen: los problemas detectados por SecurityScorecard relacionados con la configuración, que no se pueden solucionar en un alojamiento compartido, sí se pueden resolver en un servidor dedicado.

Lo que SecurityScorecard no mide

Vale la pena hacer algunas aclaraciones, porque a veces se exagera lo que abarca la plataforma.

SecurityScorecard mide tu superficie de ataque externa, es decir, lo que es visible desde la red pública de Internet. No evalúa la seguridad de tu red interna, tus controles de acceso, la formación de tus empleados ni tus procedimientos de respuesta ante incidentes. Una puntuación perfecta en SecurityScorecard no significa que tu organización no tenga vulnerabilidades de seguridad; significa que tu infraestructura expuesta al público no presenta los indicios que comprueba la plataforma.

La plataforma también tiene algunas limitaciones conocidas en cuanto a la atribución de direcciones IP. Los problemas de atribución de direcciones IP se citan como dificultades habituales en los escaneos, y algunos usuarios informan de direcciones IP marcadas erróneamente que requieren la intervención del servicio de asistencia. Si aparecen resultados que no se corresponden con tu infraestructura, SecurityScorecard ofrece un proceso de reclamación para revisar y impugnar las atribuciones erróneas.

Las puntuaciones también reflejan el entorno de tu sector. SecurityScorecard utiliza una escala logarítmica y compara las puntuaciones con las de más de 12 millones de organizaciones, contrastando tu volumen de incidencias con el de otras de tamaño y presencia digital similares. Una pequeña empresa y una gran corporación no compiten en cuanto al número bruto de incidencias detectadas.

Cómo empezar a mejorar tu puntuación

Si estás viendo un panel con varios incidencias pendientes, lo más práctico es ir de mayor a menor riesgo de incumplimiento, que es justo cómo las ordena la pestaña «Incidencias» de la plataforma.

Para la mayoría de los sitios web pequeños y medianos, las mejoras más eficaces se pueden clasificar en tres categorías:

1. Configuración de TLS y conjuntos de cifrado: desactiva TLS 1.0 y 1.1; elimina los conjuntos de cifrado débiles. Estos suelen ser los hallazgos de seguridad de red que presentan mayor riesgo de violación.
2. Encabezados de seguridad HTTP: añade HSTS, CSP, X-Content-Type-Options y X-Frame-Options a nivel de servidor. Estos resuelven la mayor parte de los problemas de seguridad detectados en las aplicaciones.
3. Gestión de certificados: asegúrate de que los certificados utilicen algoritmos de firma actuales (como mínimo, ECDSA o RSA-SHA256), implementen OCSP stapling para la gestión de revocaciones y tengan una vigencia acorde con las mejores prácticas actuales.

Las tres opciones requieren acceso a nivel de servidor. Si tu entorno de alojamiento actual no te ofrece ese acceso, para mejorar tu puntuación tendrás que trabajar dentro de las limitaciones que te impone tu proveedor o cambiarte a un entorno en el que seas tú quien tome esas decisiones.

Cómo tomar el control de tu configuración de seguridad

La puntuación de SecurityScorecard refleja decisiones reales sobre la infraestructura, y estas decisiones empiezan por dónde está alojado tu sitio web. Si tu puntuación muestra fallos de configuración recurrentes que tu proveedor de alojamiento actual no puede solucionar, los servidores dedicadosInMotion Hosting te ofrecen acceso root, asistencia técnica gestionada y experiencia en seguridad para solucionarlos —y asegurarse de que no vuelvan a aparecer.