23 Jan 24
En un mundo tan digitalizado como es el nuestro, multiversos aparte, la ciberseguridad es un término del que nadie es ajeno. En mayor o menor medida, todos estamos expuestos a ser objeto de un ciberataque. Pero, ¿existe alguna herramienta capaz de mitigar cualquier tipo de ataque? Hoy resuelvo esta pregunta en este post (spoiler: no).
Leemos a diario noticias que se hacen eco de ciberataques a grandes entidades, públicas y privadas. Las pequeñas empresas e incluso el ciudadano de a pie son, muy a menudo, víctimas también de este tipo de situaciones. Desde un simple virus en tu equipo hasta el robo de tus cuentas bancarias, pasando por el archiconocido ransomware.
Dentro de una plataforma como la de Transparent Edge, especializada en proteger sitios web, lidiamos a diario con cientos de ataques a los sites de nuestros clientes. Es muy común que estos piensen que teniendo una determinada herramienta se pueda mitigar cualquier tipo de ataque, pero lamentablemente no es posible.
A mí me gusta hacer la analogía del tenedor. Del mismo modo que no usas un tenedor para comer sopa, no puedes pretender que una única herramienta pueda mitigar cualquier tipo de ataque a tu sitio web.
En esta línea, yo suelo hacer una categorización muy simple en función de la tipología del ataque que puede recibir tu web. Por un lado, nos encontramos con los ataques de volumetría. Son los famosos ataques de denegación de servicio o DoS, que pueden venir de una sola dirección IP o de multitud de ellas (DDoS, Distributed Denial of Service) y que lo que buscan es dejar fuera de juego tu sitio web durante un tiempo determinado.
Por otro lado, nos encontramos ataques dirigidos al dato. En estos el atacante intentará buscar alguna vulnerabilidad en tus sistemas, ya sea en el código de tu web o en la configuración de tu servidor para robar información; o bien, comprometer tu servidor con el fin de controlarlo para otros fines como, por ejemplo, incorporarlo a una botnet para realizar ataques de denegación de servicio o envió de mails de forma masiva en el mejor de los casos.
Siguiendo con las analogías, en este caso la de la navaja suiza, en la que tienes tu afilada navaja para cortar una cuerda o tu destornillador para sacarte de un apuro al más puro estilo McGyver, a la hora de proteger tu sitio web conviene estar preparado y tener bien a punto las herramientas necesarias para detener cualquier tipo de ataque.
Los sistemas anti-DDoS son herramientas que se suelen activar bajo demanda cuando has detectado que tu sitio web se encuentra bajo ataque. Suele haber dos tipos, los que operan en la capa de red (3 y 4) y los que operan a nivel de aplicación (capa 7).
Este tipo de herramientas te ayudan a mitigar un ataque de volumetría, donde el atacante, por lo general, usa una botnet para simular tráfico lícito hacia tu web. El objetivo es dejarla fuera de juego y tratar de colapsar la plataforma que sirve tu web.
Antes comentaba que este tipo de herramientas suelen activarse bajo demanda ya que suelen ser elementos intrusivos y no conviene activarlos cuando no estás bajo ataque. La razón se debe a que podrías impedir a usuarios regulares de tu sitio web acceder a él. Aunque sí es cierto que puedes aplicar ciertas medidas más laxas de forma normal. Estas medidas podrían ser, por ejemplo, configurar un rate limit lo suficientemente “amplio” para no perjudicar a los usuarios lícitos y lo suficientemente restrictivo para parar esos usuarios malintencionados que te quieren buscar las cosquillas.
El WAF o Web Application Firewall es una herramienta que te va a proteger de esos ataques de “ganzúa”, los que buscan explotar vulnerabilidades en tu código para robarte datos o cambiar la portada de tu sitio web para poner mensajes y fotos, que tanto le gustan a los hacktivistas.
Hay varios tipos de WAF, todos ellos se basan en reglas (y algunos dirán que en IA). Unos las construyen de manera automática y requiere de un proceso de aprendizaje donde el WAF va a tratar de averiguar qué es tráfico legítimo y que es un ataque. Luego están los WAF que ya traen cargadas un grupo de reglas. Ambos tipos analizan cada petición que llega para ver si concuerda con alguna de las reglas que tiene cargadas y, si lo hace, interpreta que se trata de un ataque y la petición es bloqueada y logada.
Muchos de los ataques mencionados no son llevados a cabo por humanos directamente, sino que se valen de redes de servidores comprometidos y programados para atacar de manera automática a sus víctimas.
Hay que decir que no todos los bots son “malos”. Muchos realizan tareas necesarias para el correcto funcionamiento de internet, como puede ser el propio bot de Google, pero nunca está de más saber qué hacen, sean buenos o malos.
Un informe del 10 de mayo de 2023 de Imperva, aseguraba que cerca del 47% del tráfico de internet proviene de tráfico de bots. No necesariamente ataques, como mencionaba anteriormente, pero es un número muy elevado que, la verdad, sorprende.
Los sistemas de detección de bots pretenden detectar ese tráfico no humano y potencialmente malicioso. Este tipo de herramientas utilizan distintas técnicas, algunas bastante complejas, todo sea dicho de paso, para separar el grano de la paja.
Los sistemas de detección de anomalías son sistemas que se basan en la ciencia de datos para analizar patrones y detectar tráfico anómalo. Por ejemplo, un aumento pronunciado de las requests por segundo o de ancho de banda en tu sitio web, lo que puede ser señal clara de estar recibiendo un ataque de denegación de servicio.
Contar con este tipo de sistemas nos permite enterarnos cuando algo raro ocurre en nuestros sistemas y obrar en consecuencia, con la mayor premura posible. Incluso responder a esos eventos de manera automática, por ejemplo, activando el sistema Anti-DDoS.
Por último, no podemos olvidar el factor humano, que para mí es el más importante. No existe a día de hoy un sistema de seguridad 100% fiable y, si te dicen lo contrario, sospecha. El motivo no es otro que todo este tipo de herramientas son reactivas y siempre van por detrás de las técnicas de hacking que están en constante evolución. Son palos en la rueda, como siempre decimos a nuestros clientes, pero que sin duda hará desistir a más de un hacker cuando intentan atacar tu sitio web.
En esta línea es imprescindible contar con un equipo de expertos que, cuando tu sitio web se encuentre bajo ataque, te ayude a ajustar las tuercas necesarias para mitigarlo lo más pronto posible. Y, por supuesto, a recopilar toda la información requerida por si fuera necesario ponerlo en conocimiento de Fuerzas y Cuerpos de Seguridad del Estado.
Recuerda, los malos nunca duermen y el ataque te puede llegar en cualquier momento, por eso es importante tener gente detrás que responda 24×7.
Al igual que los amantes de las motos dicen que hay dos tipos de motoristas: los que se han caído y los que se van a caer. En el mundo de la ciberseguridad también podemos tener nuestra propia versión: hay dos tipos de empresas, las que ya han sido atacadas y las que van a volver a recibir un ataque.
Jorge Román es cofundador y director general de Transparent Edge.
Jorge Román es un técnico de sistemas que con los años ha dado paso al CEO que llevaba dentro, o un CEO que con los años ha dado paso al técnico de sistemas que llevaba dentro. No lo tiene muy claro y lo piensa a menudo mientras friega el suelo de la oficina y sirve cafés. El resto del tiempo, dirige la primera CDN de origen español, cría a dos hijas y le sobra tiempo para leer sobre emprendimiento. Lo de dormir ya, lo deja para otra vida