Consejos para enfrentar ciberataques

El conocimiento de la comunicación digital y la experiencia son indispensables para la toma decisiones en tiempos de crisis. Trabajando en la campaña electoral del Presidente Electo para el 2014-2019 en mi país, hubo semanas en las cuales todos los días había algún tipo de crisis provocada por las malas prácticas en redes sociales por parte de los candidatos opositores que buscaban dañar la imagen del candidato que asesoramos.

enfrentar ciberataquesEn este artículo me enfocaré en explicar básicamente los ciberataques que pueden sufrir los sitios web y algunos conocimientos generales para saber como sobrevivir a ellos.

Comencemos con el peor escenario, están atacando tu sitio web de comercio electrónico o tu plataforma tecnológica. La gran mayoría de las empresas que tienen sitio web, no destinan muchos recursos para su protección y utilizan planes de alojamiento económicos que no sobrepasan los $500 dólares al año (existen planes de alojamiento más baratos) por lo tanto tu sitio web no aguantará ningún ataque y estará fuera de servicio en poco tiempo. Por esto, cuando escucho hablar a una persona que se llama experta en comercio electrónico, y habla de que es fácil abrir una tienda online. Se que no tiene ninguna experiencia, porque un profesional de verdad; sabe los costos para mantener un servidor y todo lo que conlleva el comercio online.

 

1. DDoS

Los ataques de denegación de servicios (DDoS) y sus variantes son otras de las amenazas más recurrentes de los sitios web o plataforma de tecnología de las empresas. Cualquier persona con un conocimiento básico puede atacar y bajar un sitio web con DDoS u otro tipos de ataque con el mismo resultado, un sitio web caído.

El primer recurso para protegernos de ataques es contratar un buen servicio de alojamiento web, no es económico y supera con creces el presupuesto regular de las empresas en esta materia. Por lo regular también necesitas a un administrador que te ayude recuperar el sitio web una vez que este sea tumbado por un ciberataque y sepa configurar el sitio web.

Uno de los mejores servicios de alojamiento web es: Amazon Web Services (AWS), y fácilmente puedes estar pagando una anualidad arriba de los 1000 dólares, pero esto dependerá del tipo recursos que contrates. Sin embargo, solo el tráfico de un sitio web popular puede estar por arriba de los 500 dólares mensuales.

Si tienes un alojamiento web fuerte y usas configuraciones de seguridad, los ataques DDoS de pequeña escala no tumbaran tu sitio web, sin embargo si los ataques son a gran escala propiciados por expertos en el tema, te aseguro que fácilmente tumbaran nuevamente tu sitio web, si no realizan bloqueos rutinarios y análisis que te permitan conocer los tipos de ataques que estas recibiendo y como contrarrestarlo. En este punto la experiencia y el conocimiento del administrador es esencial, sino hay administrador o proveedor con conocimiento en el tema, no podrás levantar el sitio web una vez que te lo tumben.

Para que tengas una idea de los costos de un atacante: un ataque DDoS de 1Gb por hora cuesta $1000 dólares en promedio.

Por ejemplo: si tu sitio web tiene configuraciones de seguridad y puede aguantar 5 GB de ataque o de tráfico mensual, y alguien desea tumbarlo, el atacante deberá pagar $6000 dólares por cada hora que desea que tu sitio web este abajo. Lógicamente tu proveedor o tu administrador debe ayudarte a levantarlo y crear medidas que permitan bloquear las olas de ataque que seguirás recibiendo.

Te preguntarás a ¿Quién le pagan para este tipo de trabajo? existen organizaciones criminales que tienen servidores con fuerte capacidades de ataque de varios GB por segundo e incluso tienen computadoras zombies.

 

2. Hacker

Un hacker intenta utilizar la vulnerabilidad de un sitio web con el propósito de robar información, demostrar su capacidad vulnerando las defensa o simplemente para molestar tumbando el sitio web.

Es extraño que un hacker ataque sitios web si este no posee algún tipo de importancia, aunque algunos lo hacen por diversión. Cuando te ataca un hacker pagado para hacerte daño o busca hacerte daño por razones personales, solo te queda contratar a una persona o a un proveedor que te ayude a mejorar la seguridad de tu plataforma.

No todos los ingenieros en sistemas o programadores web tienen la capacidad de brindarte seguridad o la capacidad de blindar tu sitio web. Es un profesional con una especialidad, y tiene un costo por encima de un empleado o proveedor promedio.

También las plataformas que utilices tienen que ver mucho con la seguridad, una de las recomendaciones de un proveedor para un cliente fue usar Bootstrap (plantilla CSS y HTML) o utilizar Blogger. Sin embargo, todo dependerá de los usos que le has dado a la plataforma y a la migración de contenido. Es algo que se debe consultar con un asesor y depende mucho de tus necesidades de seguridad versus el contenido de tu sitio web.

 

3. Phishing

Otro ataque menos agresivo pero igual de dañino es la suplantación de identidad (Phishing), un sitio web se hace pasar por ti y roba la información financiera de tus clientes, o trata de dañar la imagen de tu cliente con información errada. Esto lo hacen en política contra candidatos, para robar datos de clientes de un banco particular, simular una tienda de comercio electrónico para robar los números tu tarjeta de crédito, etc.

No hay forma para evitar este ataque, lo mejor que puedes hacer para evitarlo es comprar todos los dominios similares al tuyo, incluyendo aquellos con errores ortográficos, poniendo un especial cuidado en plurales, singulares o caracteres similares como cero “0” con la vocal “o”, como notarás el cero y la vocal “o” son muy similares. Pero aún así los atacantes pueden usar un dominio cualquiera, pero el diseño web es idéntico al tuyo; y muchos de tus usuarios caerán en el engaño. Por que no revisan los certificados de seguridad de los sitios web que visitan.

El phishing no solo se limita a sitios web con dominios similares, también a emails, páginas de Facebook o perfiles en cualquier red social. Informar, educar y dar comunicados de prensa cuando lo a merite, estas son las mejores armas contra la suplantación de identidad.

 

4. Plan de respaldo

¿Qué hacer si tu sitio web esta caído? ¿Cual será tu plan de respaldo cuando tu sitio web o plataforma esta inoperante? Esta es una de las respuestas que deberás encontrar una solución dependiendo de la plataforma o funciones de tu sitio web. Algunos planes de respaldo requieren grandes presupuestos para aumentar los recursos de los planes de alojamiento, o invertir en servidores de respaldo.

Dependiendo del caso, algunos pueden permitirse el lujo de dejar caer su sitio web, y utilizar las redes sociales como respaldo para publicar comunicados o notas de prensa, mientras el sitio web se restablece por parte del administrador.

Aunque a veces existen hackers que les gusta molestar sin buscar algún tipo de beneficio económico, por tanto considera que puede ser un ataque aislado y que no volverá ocurrir porque pueden perder interés. En todo caso tener una copia de respaldo del sitio web siempre será una buena idea.

 

Reflexión final

Hoy en día existen miles profesionales seniors que ofrecen sus servicios en redes sociales o comunicación digital, sin embargo jamas han experimentado o enfrentado situaciones similares o peores a las señaladas en este artículo. Hablo de situaciones o crisis provocadas por organizaciones criminales o profesionales del terrorismo digital que son contratados para hacer daño a los proyectos digitales por un interés económico.

De cierta forma es lógico que una gran parte de profesionales no enfrenten este tipo de situaciones. Enfrentar estos problemas son sinónimos que se esta luchando en contra o a favor de poderes económicos, políticos, criminales e incluso sociales ligados a grandes corporaciones, empresas multinacionales, instituciones, campañas electorales o gobiernos que desean ganar o no desean perder mercado, votos, dinero o poder.

Si como profesional te llega ocurrir un ciberataque, considera que pudo ser la competencia, porque fue la única forma de detenerte; por tanto decidieron hacer algo ilegal y penalizado por la ley para ganar algo de tiempo para ellos para alcanzarte.

Mis Redes

Carlos Chen

Director de comunicaciones at Formulas Exitosas
Experto en comunicación digital, growth hacking, newsjacking, manejo de crisis de comunicación y reputación.
Mis Redes

Latest posts by Carlos Chen (see all)