Evitar el carbón en el almacén del minorista electrónico: El pionero en mitigación de ataques DDoS Defense.Net comparte siete consejos para proteger los sitios de comercio electrónico contra los ataques del Cyber Monday

Medidas que los minoristas en línea pueden tomar para evitar una caída catastrófica de su sitio web durante el periodo de compras más crítico del año

BELMONT, CALIFORNIA - Defense.Net, la única empresa diseñada para mitigar la creciente escala y sofisticación de los modernos ataques de denegación de servicio distribuido (DDoS), ha publicado hoy los siete consejos principales para que los sitios de comercio electrónico se protejan contra los ciberataques durante la temporada de compras más ajetreada del año. Los consejos, del pionero en ciberseguridad y mitigación de ataques DDoS Barrett Lyon, llegan en un momento en que los nuevos ataques DDoS, que pueden inutilizar los sitios web incluso de empresas bien defendidas, han aumentado en escala y frecuencia en los últimos 12 meses.

"Los minoristas en línea y otras empresas que dependen de sus sitios web para hacer negocios sólo tienen que recordar lo que le ocurrió a Burlington Coat Factory hace dos años, cuando un ataque DDoS cerró su sitio web durante 45 horas", dijo Barrett Lyon, fundador y director de tecnología de Defense.Net, cuya persecución de los piratas informáticos que operan como parte de la mafia rusa fue relatada en el libro más vendido, Fatal System Error. "A medida que 2013 ha visto un aumento sin precedentes de los ataques DDoS, hay algunas medidas sencillas que los minoristas en línea pueden tomar para evitar la devastadora pérdida financiera de un ataque DDoS durante la temporada crítica de compras navideñas o en el Cyber Monday, el día de compras en línea más concurrido del año."

En los ataques DDoS, los autores reúnen un ejército de ordenadores comprometidos (una botnet) para inundar un sitio web con un volumen de peticiones que lo desborda y lo bloquea. Recientemente, la facilidad de acceso a sofisticadas herramientas de ataque ha avanzado hasta un nivel en el que una red de bots capaz de causar millones de dólares de daños en cuestión de minutos puede alquilarse por 7 dólares la hora. Esto ha hecho proliferar un arma que antes estaba en el dominio de sofisticados ciberdelincuentes a un amplio público con motivaciones diversas para atacar un sitio web: desde competidores comerciales a clientes o antiguos empleados descontentos, pasando por extorsionadores o "hacktivistas" que se oponen a la venta de mercancías. Según Forrester, el impacto estimado puede rondar los 2,1 millones de dólares perdidos por cada cuatro horas de inactividad de un sitio web y los 27 millones por una interrupción de 24 horas, dependiendo del tamaño de la empresa.

"Demasiadas empresas creen hoy en día que un ataque DDoS 'nunca podría pasarme a mí', pero cuando recientemente presenté en el evento 'Retail Center of Innovation' en Silicon Valley y hablé con las principales marcas participantes en el evento, más de un tercio dijo que sus marcas habían sufrido un ataque DDoS en la última semana", dijo Chris Risley, CEO de Defense.Net. "Si un hacker quisiera atacar un sitio de comercio electrónico y lograr el mayor impacto, el Cyber Monday sería un objetivo obvio. Es más importante que nunca que los sitios de venta al por menor se preparen con antelación y se adelanten a posibles ataques".

Barrett Lyon, de Defense.Net, ofrece siete consejos para que los sitios de comercio electrónico minorista se protejan de un ataque DDoS:

1.Evalúe su riesgo y evite el síndrome de "a mí nunca me podría pasar".

Evalúe su riesgo y evite el síndrome de "a mí nunca me podría pasar". ¿Hay clientes descontentos, socios, antiguos empleados, etc. que podrían sentirse lo suficientemente fuertes como para lanzar un ataque contra usted? ¿Vende artículos que puedan ser considerados objetables por alguien, como abrigos de piel, artículos fabricados en "fábricas de explotación" reales o percibidas, etc.? Tenga en cuenta que, aunque crea que no hay nadie que guarde rencor a su empresa, en cualquier momento puede recibir una "nota de rescate" de un extorsionador que le exija un pago para evitar un ataque DDoS inminente a su sitio web.

2.Escuche la charla

Muchos hackers lo hacen para obtener reconocimiento, especialmente en el caso de los ataques DDoS, que suelen utilizarse con fines punitivos frente a otros ciberdelitos en los que el autor busca un beneficio económico. Mantente al día de las noticias, blogs y foros como Pastebin, que los hackers utilizan para alardear de sus hazañas, de modo que puedas prepararte mejor antes de que se lance un ataque. Supervise de cerca su marca en las redes sociales, ya que es probable que se entere primero de un ataque en Twitter.

3.Hable con su proveedor de servicios

La mayoría de los proveedores de servicios ofrecerán servicios de mitigación DDoS a un coste nominal. Sin embargo, es importante investigar los recursos de ancho de banda de su proveedor de servicios. Tenga en cuenta que un gran ataque DDoS a uno de los otros clientes de su proveedor de servicios podría acabar con la capacidad de ese proveedor para proteger a otros clientes, dejando su sitio vulnerable. Otra consideración: como la mitigación de ataques es cara y accesoria a su negocio principal, la mayoría de los proveedores de servicios cancelarán tu protección si eres atacado regularmente.

4.Considerar recursos adicionales de mitigación

Investigue las opciones disponibles para una defensa más agresiva contra los ataques DDoS. Las opciones van desde la construcción de su propia red a la instalación de hardware de mitigación DDoS o el uso de los servicios de un proveedor de mitigación DDoS basado en la nube. Estas opciones varían en coste y complejidad, pero ofrecen la mejor póliza de seguros contra una interrupción catastrófica del sitio. Tenga en cuenta que si estos sistemas se instalan antes de que se produzca un ataque, la mitigación será mucho más eficaz y menos costosa que si se ponen en marcha una vez que el ataque ha comenzado.

5.Comprenda las señales de advertencia de que su sitio está siendo atacado

Los ataques DDoS suelen diagnosticarse erróneamente como niveles de tráfico legítimo superiores a los normales. Los minoristas son especialmente vulnerables a esta situación durante la temporada de compras navideñas, cuando se espera un aumento del tráfico, pero la cuantía del incremento es impredecible. Trabajando con su proveedor de servicios o desarrollando la capacidad interna de revisar las direcciones IP del tráfico entrante a su sitio web, puede evaluar la legitimidad de los visitantes de su sitio y desplegar contramedidas antes de que un ataque desborde sus defensas.

6.Como último recurso, sepa a quién llamar en caso de emergencia

Prepare una lista de los principales servicios de mitigación a los que puede recurrir para recuperar su sitio en caso de que haya sido derribado por un ataque DDoS. Como ya se ha señalado, esto será más caro y dejará algunos "daños colaterales" similares a los de los bomberos que rompen ventanas y paredes, dejan daños por el agua, pero extinguen el incendio.

7.Durante un ataque, asegúrese de vigilar la tienda

Recientemente, los ataques DDoS se han lanzado como distracciones para que los ciberdelincuentes roben información de tarjetas de crédito o contraseñas, o para cometer otros ciberdelitos más allá de tumbar su sitio web. En otros casos, los ciberdelincuentes buscan un sitio bajo ataque DDoS e intentan oportunistamente robar datos cuando la atención de la empresa está centrada en el ataque DDoS y en restaurar el sitio web. Asegúrese de estar igualmente atento a los ataques acumulados cuando mitigue un ataque DDoS.

Para más información, lea el libro blanco del fundador y director técnico de Defense.Net, Barrett Lyon, sobre el panorama de las amenazas DDos.

Acerca de Defense.Net

Fundada por Barrett Lyon, que creó el sector de la mitigación de ataques de denegación de servicio distribuidos (DDoS) hace más de 10 años, Defense.Net ha combinado las mejores mentes en el espacio DDoS con nuevas tecnologías de vanguardia diseñadas para abordar eficazmente los desafíos de mitigación DDoS de hoy y de mañana. Es la única empresa que defiende a las empresas y organizaciones contra esta nueva generación de ataques DDoS masivos y sofisticados, al tiempo que ofrece los más altos niveles de rendimiento de las aplicaciones de Internet, dos áreas en las que los servicios de mitigación DDoS heredados no han podido igualar las modernas estrategias de los ciberatacantes actuales. Ante las crecientes amenazas derivadas de la escala y complejidad cada vez mayores de los ataques DDoS y el creciente número de antagonistas dispuestos a utilizarlos, Defense.Net protege a las organizaciones de los ataques modernos proporcionando a los usuarios finales una experiencia fluida como si no se estuviera produciendo ningún ataque. La empresa ha recaudado más de 9,5 millones de dólares en financiación de deuda y capital con inversores entre los que se encuentra el visionario inversor en seguridad e Internet Bessemer Venture Partners (BVP).

Adenda: F5 Networks adquirió Defense.Net en mayo de 2014

Acerca de F5

F5 (NASDAQ: FFIV) hace que las aplicaciones sean más rápidas, inteligentes y seguras para las mayores empresas, proveedores de servicios, gobiernos y marcas de consumo del mundo. F5 ofrece soluciones de nube y seguridad que permiten a las organizaciones adoptar la infraestructura de aplicaciones que elijan sin sacrificar la velocidad y el control. Para más información, visite f5.com. También puede seguir @f5networks en Twitter o visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.

F5 es una marca comercial o marca de servicio de F5 Networks, Inc. en EE.UU. y otros países. Todos los demás nombres de productos y empresas pueden ser marcas registradas de sus respectivos propietarios.

# # #

Este comunicado de prensa puede contener afirmaciones de carácter prospectivo relativas a acontecimientos o resultados financieros futuros que entrañen riesgos e incertidumbres. Tales afirmaciones pueden identificarse por términos como "puede", "será", "debería", "espera", "planea", "anticipa", "cree", "estima", "predice", "potencial" o "continúa", o el negativo de tales términos o términos comparables. Estas afirmaciones son sólo predicciones y los resultados reales podrían diferir sustancialmente de los previstos en ellas en función de una serie de factores, incluidos los señalados en los documentos presentados por la empresa a la SEC.