Ataques DDoS, el principal desafío de los entornos web y las aplicaciones

Seguridad

Junto a los ataques de denegación de servicio, el robo de credenciales, los ataques dirigidos, las estafas y los secuestros de activos se encuentran entre las amenazas más frecuentes

Actividades tan cotidianas como navegar por Internet, comprar o descargar aplicaciones esconden muchos más peligros de lo que a simple vista parece. Hoy en día el desafío de seguridad al que se enfrentan los entornos web y las aplicaciones pasa por defenderse de amenazas constantes que sufren por parte de ciberdelincuentes muy bien preparados.

Seguridad WebUno de los ataques más frecuentes es la denegación de servicio o DDoS que, a pesar de llevar décadas combatiéndose, está a la orden del día. “Llevamos tres trimestres consecutivos con una duración media del ataque de más de 20 horas, aunque se dan muchos ataques de 15 minutos. Esto significa que hay tecnología asequible y accesible para atacar durante tanto tiempo. Sin embargo, hay muchas técnicas para contrarrestarlo y, aunque existen muchos ataques, no todos tienen éxito”, comentaba Federico Dios, service line manager para el sur de Europa de Akamai, durante un desayuno informativo que ha reunido a Pablo García Pérez, senior systems engineer de Fortinet, y  moderado por Rosalía Arroyo, redactora Jefe de ChannelBiz.es.

Además de incrementarse, los ataques DDoS han ido evolucionando a otras tipologías más específicas. Existen, por ejemplo, ataques denominados “low and slow”. Esta nueva categoría lanza ataques de muy baja intensidad, tanto es así que no son detectados por ninguna alarma típica como pasa con los ataques DDoS. No se trata de aumentar de golpe el tráfico de la red, sino de ir lanzando comunicaciones y dejando abiertas las sesiones hasta que finalmente se logra tirar las infraestructuras de una compañía.

Y es que el tipo de ataques ha cambiado, yendo de ataques de un único vector a ataques multivector. “Es verdad que el número de ataques se ha intensificado pero también hemos crecido en protección”, explicaba Pablo García Pérez, senior systems engineer de Fortinet.

Poseer un equipo de seguridad es un músculo de respuesta frente a los ataques pero no una garantía para evitarlos porque “si un hacker quiere hacerte daño al final, de una manera u otra, lo va a conseguir”, señalaban ambos ejecutivos.

Desayuno Seguridad Web

No sólo son frecuentes los ataques DDoS, también el robo de credenciales, los ataques dirigidos, las estafas y los secuestros de activos digitales se encuentran en el Top10. Ambas compañías tienen casos de lo más variopintos de clientes que han sufrido estos tipos de amenaza. Ejemplos como el de una empresa que vende paquetes vacacionales por Internet, donde su atacante pretende tan solo bajar la velocidad de su página web, sin llegar a tirarla, para que los usuarios crean que no funciona bien y vayan a buscar su viaje en la web de la competencia, o incluso, el caso de un cliente al que le hicieron un butrón en la oficina para llevarse el servidor físico al no poder acceder por la web. “Es necesario tener controles en todos sitios, tanto en la nube, como en el ISP y en el data center”, aconsejaba Pablo García.

En este sentido, la nube ya no es una excusa para no aplicar seguridad. Compañías como Fortinet han llegado a acuerdos con los gigantes cloud como son Amazon Web Services o Microsoft para integrar sus soluciones en estas plataformas. Todo ello para adaptarse a los cambios de la industria tanto en el modelo de negocio como en el modelo de servicio. “Trabajamos con todos los grandes proveedores y ofrecemos soluciones en formato pago por uso, seguridad gestionada y pay as grow”, añadía el representante de Fortinet.

Un Internet más cifrado

Federico Dios, Akamai
Federico Dios, service line manager para el sur de Europa de Akamai.

Tras el escándalo de la NSA hay una tendencia por cifrar todo en Internet, lo que ha agradado a las compañías de seguridad, quienes recomiendan que todo el tráfico posible sea SSL. “Hay que cifrar por una cuestión de privacidad y protección de la información natural, no porque esté más oculto a los ojos de los cibercriminales”, apuntaba Federico Dios.

Además, es importante proteger los activos de fuera a dentro, dando prioridad a los servidores, y limitar la navegación de los usuarios para que no puedan acceder a páginas maliciosas. Ambos ejecutivos han afirmado que para hacer seguridad no basta con cumplir una ‘check list’ de soluciones, es necesario e imprescindible trabajar y adaptar las herramientas a la política de cada compañía.

España, el mayor mercado de eCommerce del sur de Europa pero no el más seguro

A pesar de ser el país con el mayor mercado de comercio electrónico en Europa del sur, todavía no somos el más seguro, según han coincidido ambos expertos. “La conciencia es muy alta y tienen muchas soluciones pero esas soluciones se han ido desarrollando de forma individual, habría que trabajar en común y establecer un estándar o una guía”, explicaba Federico.

Esto no significa tener que crear una tecnología de seguridad específica para el eCommerce, sino adaptar de forma adecuada la existente y afinar las políticas.

Los usuarios, los más vulnerables

A pesar de todas las herramientas de protección que existen hoy en día en el mercado, uno de los puntos más vulnerables son los usuarios. “Tenemos infinidad de clientes con buenas soluciones que se han infectado porque un usuario se baja un correo con contenido malicioso y lo abre”, comentaba Pablo García.

Aquí, la gestión de identidades juega un papel imprescindible. Por ejemplo, en la red de Akamai solo es posible conectarse con un portátil de la compañía. Sin embargo, existen organizaciones que prefieren el bring own your device (BYOD), utilizándose el doble factor de autenticación para el acceso a datos más críticos. Sectores como el bancario, grandes empresas o grandes corporaciones cada vez son más partidarias de implantar este tipo de sistemas de políticas con los usuarios. “Nueve de cada diez clientes preguntan y quieren implantarlo”, afirmaba Pablo García.

Por el contrario, sectores más ‘libres’, como puede ser el sector educativo, no se muestra tan tajante con estos controles. “Se deja a los alumnos y profesores hacer lo que quieren y esto es un problema. Gran parte de las organizaciones educativas son centenarias, además en las universidades impera la libertad de cátedra de los profesores, convirtiéndose en una difícil tarea cambiar la mentalidad de este tipo de instituciones. Existen alternativas como la creación de mini redes de trabajo que aunque son viables tecnológicamente, suponen un gran esfuerzo interno para las organizaciones”, explicaba Federico Dios

Otra difícil tarea que tienen hoy en día las compañías de seguridad es la reducción de los falsos positivos que se encuentra por debajo del 1%. “Falsos positivos va a haber siempre, lo que intentamos es reducir el número dotando cada vez de más inteligencia y más capacidad de análisis a las soluciones”, explicaba Pablo García.

Medidas para asegurar un servidor web y aplicaciones de terceros

Pablo García Pérez, Fortinet
Pablo García Pérez, senior systems engineer de Fortinet .

Existen dos vertientes para fortalecer un servidor web. Por un lado, impera la actualización de servidores, la utilización de últimas versiones, parchear, desarrollo seguro, aplicaciones testeadas, no solo desde el punto de vista de la funcionalidad sino de la seguridad, todo ello para cumplir con todos los paradigmas de desarrollo seguro y bastionado. Este término, equivalente al hardering, se encarga de quitar las aplicaciones que corren por defecto y no se utilizan. La segunda vertiente sería establecer todos los elementos y soluciones de seguridad necesarios.

Por otro lado, las aplicaciones de terceros se pueden controlar a través de relaciones contractuales donde tiene que estar claro cuáles son las exigencias y el nivel de riesgo, sobre todo en el movimiento de datos a la nube. Además de realizar test periódicos de seguridad. “Es alucinante la cantidad de aplicaciones que están publicadas en el mundo que son vulnerables a ataques sencillos. Atacantes con un PC, tiempo y un poquito de ganas pueden llegar hasta la cocina de una casa. Esto no se debería permitir. Debe haber unos mínimos innegociables”, decía Pablo.

Para satisfacer las necesidades de la seguridad web y de las aplicaciones, Akamai trabaja en dos áreas principalmente. Por un lado, está invirtiendo en inteligencia con la intención de entender mejor las demandas de sus clientes y poder adaptarse a ellos y a sus requerimientos. Y, por otro lado, derivado de esto, la compañía intenta adaptar la información y la inteligencia de manera que se pueda compartir.

Por su parte, en Fortinet destaca el departamento de análisis de riesgo para generar colaboraciones y sinergías. “Nosotros estamos trabajando en ampliar nuestro porfolio en todos los formatos, y modalidades que necesiten los clientes y estamos colaborando muchísimo con proveedores, telcos, e ISP en integrar sus soluciones”, concluía Pablo.