Viraliza & Comparte
  •   
  •   
  •   
  •   
  •   
  •   
  •   
  •  
  •  
  •  
  •  
  •  
  •  

No soy ingeniero informático ni tampoco un técnico que pueda enfrentar hackers o ciberataques. Sin embargo al ser el head of digital de la campaña electoral del Presidente Electo para el 2014-2019 en mi país, hubo semanas en las cuales todos los días había algún tipo de crisis provocada por las malas prácticas en redes sociales (ciberataques) por parte de los partidos opositores que buscaban dañar la imagen del candidato que asesoramos. De tal forma que aprendí de mala manera como enfrentar ciberataques.

El conocimiento y la experiencia en la comunicación digital son indispensables para la toma decisiones en tiempos de crisis. Por ello compartiré un poco de mi experiencia adquirida si algún lector se encuentra en una situación similar, hay muy poca información de este tema en las “surface web”. Me enfocaré en explicar básicamente los ciberataques que pueden sufrir los sitios web y algunos conocimientos generales para saber como sobrevivir a ellos.

La mayoría de los clientes o empresas no destinan muchos recursos en la protección de sus sitios web, utilizan planes de alojamiento económicos que no sobrepasan los $500 dólares al año (existen planes de alojamiento más baratos) e incluso contratan ingenieros informáticos con poco conocimiento o experiencia en ciberataques porque resultan más baratos en tenerlos en la planilla de su empresa.

Hay muchos pseudo profesionales que se jactan de ser expertos en comercio electrónico, hablan de lo barato y  fácil de abrir una tienda online. Pero una declaración como esa demuestra que no tienen experiencia, porque un profesional de verdad; sabe los costos reales para mantener un servidor y todo lo que conlleva el comercio online.

 

1. DDoS

Los ciberataques de denegación de servicios (DDoS) y sus variantes es una de las amenazas más recurrentes que puede enfrentar un sitios web o plataforma de tecnología.

Para que tengas una idea de los costos de un atacante: un ataque DDoS de 1Gb por hora cuesta $1000 dólares en promedio, aunque ese costo puede bajar dependiendo del origen del proveedor, países como China, India pueden ofrecer el servicio a un precio mucho menor.

Por ejemplo: si tu sitio web tiene configuraciones de seguridad y puede aguantar 5 GB de ataque o de tráfico mensual, y alguien desea tumbarlo, el atacante deberá pagar $6000 dólares por cada hora que desea que tu sitio web este abajo. Lógicamente tu proveedor o tu administrador debe ayudarte a levantarlo y crear medidas que permitan bloquear las olas de ataque que seguirás recibiendo.

El primer recurso para protegernos de ataques es contratar un buen servicio de alojamiento web, no es económico y supera con creces el presupuesto regular de las empresas en esta materia. Por lo regular también necesitas a un administrador que te ayude recuperar el sitio web una vez que este sea tumbado por un ciberataque y sepa configurar el sitio web.

Uno de los mejores servicios de alojamiento web es: Amazon Web Services (AWS), y fácilmente puedes estar pagando una anualidad arriba de los 1000 dólares, pero esto dependerá del tipo recursos que contrates. Sin embargo, solo el tráfico de un sitio web popular puede estar por arriba de los 500 dólares mensuales.

Si tienes un alojamiento web fuerte y usas configuraciones de seguridad, los ataques DDoS de pequeña escala no tumbaran tu sitio web, sin embargo si los ataques son a gran escala propiciados por expertos en el tema, te aseguro que fácilmente tumbaran nuevamente tu sitio web, si no realizan bloqueos rutinarios y análisis que te permitan conocer los tipos de ataques que estas recibiendo y como contrarrestarlo. En este punto la experiencia y el conocimiento del administrador es esencial, sino hay administrador o proveedor con conocimiento en el tema, no podrás levantar el sitio web una vez que te lo tumben.

Si te preguntas a ¿Quién le pagan para este tipo de trabajo malicioso? existen organizaciones criminales que tienen servidores con fuerte capacidades de ataque de varios GB por segundo e incluso tienen computadoras zombies (pc infectadas por un malware para ser usados por terceros).  Aquí es donde es necesario contratar a una persona con experiencia y que te de resultados óptimos. No cualquier graduado de universidad tiene los conocimientos o experiencias para enfrentar un DDoS.

 

2. Hacker

Un hacker intenta utilizar la vulnerabilidad de un sitio web con el propósito de robar información, demostrar su capacidad vulnerando las defensa o simplemente para molestar tumbando el sitio web.

Es extraño que un hacker ataque sitios web si este no posee algún tipo de importancia, aunque algunos lo hacen por diversión. Cuando te ataca un hacker pagado para hacerte daño o busca hacerte daño por razones personales, solo te queda contratar a una persona o a un proveedor que te ayude a mejorar la seguridad de tu plataforma. Aunque es posible denunciarlo al FBI, es casi improbable que puedan capturarlo si este vive fuera de las fronteras de Estados Unidos.

No todos los ingenieros en sistemas o programadores web tienen la capacidad de brindarte seguridad o la capacidad de blindar tu sitio web. Es un profesional con una especialidad, y tiene un costo por encima de un empleado o proveedor promedio.

También las plataformas que utilices tienen que ver mucho con la seguridad, una de las recomendaciones de un proveedor para un cliente fue usar Bootstrap (plantilla CSS y HTML) o utilizar Blogger. Sin embargo, todo dependerá de los usos que le has dado a la plataforma y a la migración de contenido. Es algo que se debe consultar con un asesor y depende mucho de tus necesidades de seguridad versus el contenido de tu sitio web.

 

3. Phishing

Otro ataque menos agresivo pero igual de dañino es la suplantación de identidad (Phishing), un sitio web se hace pasar por ti y roba la información financiera de tus clientes, o trata de dañar la imagen de tu cliente con información errada. Esto lo hacen en política contra candidatos, para robar datos de clientes de un banco particular, simular una tienda de comercio electrónico para robar los números tu tarjeta de crédito, etc.

Ante todo primero debemos comprar un certificado SSL para tu sitio, este certificado cuesta entre $11 a $100 dolares al año. Esta certificación le da una capa adicional de seguridad a tu sitio. Se identifican fácilmente los sitios con SSL porque el navegador en el URL de muestra un candado y el sitio tiene una “s” en el https.

Aunque comprar un certificado SSL no evita que te hagan phising, solo ayuda a que los usuarios de tu sitio más entendidos en seguridad identifique si es tu sitio web o es un sitio web falso. No hay forma para evitar este ciberataque, lo mejor que puedes hacer para evitarlo es comprar todos los dominios similares al tuyo, incluyendo aquellos con errores ortográficos, poniendo un especial cuidado en plurales, singulares o caracteres similares como cero “0” con la vocal “o”, como notarás el cero y la vocal “o” son muy similares. Pero aún así los atacantes pueden usar un dominio cualquiera, pero el diseño web es idéntico al tuyo; y muchos de tus usuarios caerán en el engaño. Por que no revisan los certificados de seguridad de los sitios web que visitan.

El phishing no solo se limita a sitios web con dominios similares, también a emails, páginas de Facebook o perfiles en cualquier red social. Informar, educar y dar comunicados de prensa cuando lo a merite, estas son las mejores armas contra la suplantación de identidad.

 

4. Plan de respaldo para ciberataques

¿Qué hacer si tu sitio web esta caído? ¿Cual será tu plan de respaldo cuando tu sitio web o plataforma esta inoperante? Esta es una de las respuestas que deberás encontrar una solución dependiendo de la plataforma o funciones de tu sitio web. Algunos planes de respaldo requieren grandes presupuestos para aumentar los recursos de los planes de alojamiento, o invertir en servidores de respaldo.

Dependiendo del caso, algunos pueden permitirse el lujo de dejar caer su sitio web, y utilizar las redes sociales como respaldo para publicar comunicados o notas de prensa, mientras el sitio web se restablece por parte del administrador.

Aunque a veces existen hackers que les gusta molestar sin buscar algún tipo de beneficio económico, por tanto considera que puede ser ciberataques aislados y que no volverá ocurrir porque pueden perder interés. En todo caso tener una copia de respaldo del sitio web siempre es una buena idea frente a los ciberataques.

 

Reflexión final

Hoy en día existen miles profesionales seniors que ofrecen sus servicios en redes sociales o comunicación digital, sin embargo jamas han experimentado o enfrentado situaciones similares o peores a las señaladas en este artículo. Hablo de situaciones o crisis provocadas por organizaciones criminales o profesionales del terrorismo digital que son contratados para hacer daño a los proyectos digitales por un interés económico.

De cierta forma es lógico que una gran parte de profesionales no enfrenten este tipo de situaciones. Enfrentar estos problemas son sinónimos que se esta luchando en contra o a favor de poderes económicos, políticos, criminales e incluso sociales ligados a grandes corporaciones, empresas multinacionales, instituciones, campañas electorales o gobiernos que desean ganar o no desean perder mercado, votos, dinero o poder.

Si como profesional te llega ocurrir un ciberataque, considera que pudo ser la competencia, porque fue la única forma de detenerte; por tanto decidieron hacer algo ilegal y penalizado por la ley para ganar algo de tiempo porque no tenían otra forma de detener tu trabajo que usar alguna ilegalidad digital.

Perfil del autor

Magister Carlos A. Chen
Digital Manager, diseñando comunicación del siglo 21 utilizando análisis de inteligencia de tendencias, big data, growthacking, newsjacking y otras soluciones a crisis de comunicación. Trabaje como Social Media Strategic Planner y aplicaciones tecnológicas y de comunicación digital en la campaña presidencial del departamento de comunicación del Presidente Electo 2014-2019 de Panamá, Ing. Juan Carlos Varela.

Actualmente laboro como coordinador de proyectos y asesor de comunicación para autoridades, despachos superiores, secretarías, ministerios, directores, periodistas, relacionistas públicos, ministros en materia de manejo y soluciones de comunicación a crisis, gestión operativa, logística, administrativa y estratégica de penetración y estructuración de impacto en el mensaje.
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •