El problema de la seguridad en Internet se ha convertido en algo más que una preocupación en los últimos meses, en parte debido a un importante incremento del número y sofisticación de los ataques web. Cada vez más empresas están adoptando opciones basadas en Internet para reforzar sus capacidades internas de seguridad, lo que les permite contar con sistemas de defensa multicapa que siempre están activos, gestionados de forma proactiva y continuamente reforzados con una inteligencia sobre los ataques en tiempo real. Las empresas de comercio electrónico no son una excepción. 

El incremento tanto del volumen como de la complejidad de dichos ataques diarios contra empresas ha sido facilitado por el hecho de que es ahora más fácil y más económico que nunca lanzar un ataque altamente distribuido. Una proliferación de herramientas de ataque fáciles de usar y el acceso a servicios de “DDoS-for-hire” (DDoS para alquilar) han animado a más ladrones y activistas a emplear métodos digitales para perpetrar sus crímenes. Entre los más experimentados atacantes, los métodos y técnicas utilizados no paran de evolucionar, lo que significa que las defensas tienen que ser igual de dinámicas para asegurar la integridad de los datos online. La capacidad de las defensas TI disponibles para mitigar los ataques más grandes y la comprensión y pericia para mantenerlos a la última en el panorama cambiante de amenazas son ahora factores críticos a la hora de determinar la seguridad y disponibilidad de los activos online de una empresa. El Informe de Seguridad del Estado de Internet para el Primer Trimestre de 2015 de Akamai afirmaba que la compañía había observado más de 170 millones de ataques a aplicaciones web en su red, lo que equivale aproximadamente a 34.000 ataques por cliente. De las 8 industrias estudiadas, el sector retail fue el que más ataques recibió, con más del 25% de todos los ataques. Por lo tanto, es especialmente crítico que las empresas dentro de este sector se aseguren de que están protegiendo suficientemente sus valiosas aplicaciones web y sus datos con un cortafuegos para aplicaciones web (WAF).

Ciberataques durante la temporada de rebajas

Securizar los sitios de eCommerce y mCommerce durante la temporada de rebajas no es algo sencillo. La elección entre el deseo de mantener la seguridad web, que a menudo se asocia a una reducción del rendimiento, y la presión del negocio por incrementar los tiempos de carga de páginas y asegurar que los visitantes legítimos no se vean bloqueados por los cortafuegos, supone en la mayoría de los casos un dilema. De hecho, durante los eventos de rebajas, como el Black Friday, no es poco común que los retailers dejen de utilizar sus WAFs para eliminar el riesgo de “Falsos Positivos” que bloqueen a los usuarios legítimos. Esto es particularmente cierto cuando los retailers confían poco en la exactitud de sus sistemas de seguridad, donde las mejores soluciones son actualizadas con frecuencia por los profesionales de la seguridad aplicando inteligencia sobre ataques para asegurar que solo el tráfico malicioso es bloqueado, permitiendo el acceso a los usuarios genuinos.

Así pues, durante la temporada de rebajas de 2013, Akamai registró un incremento más acentuado en todos los tipos de tráfico de ataques (incluyendo los ataques a aplicaciones y ataques volumétricos DDoS – denegación de servicios distribuidos). En las rebajas de 2014, en cambio se produjo un marcado cambio en los tipos de ataques. Los ataques DDoS – o al menos los disparadores de control de tasa – disminuyeron, mientras que los ataques a nivel de aplicación se vieron incrementado. Esta tendencia sugiere una reducción de los intentos para hacer caer los sitios web y un incremento del número de hackers que intentan robar datos para ganar dinero.

Ha habido muchos eventos de seguridad contra los clientes de comercio electrónico de Akamai durante las rebajas navideñas de 2014 pero pocos de los ataques tuvieron éxito. Kona Client Reputation de Akamai descubrió y puso de relieve más de 5.700 direcciones IP de atacantes antes de que lanzaran solicitudes maliciosas durante el Black Friday en 2014. Este evento disparó más de 2,5 veces el anterior número de reglas de WAF durante un viernes normal, en el que los vectores de ataques más comunes fueron por secuencias de comandos entre páginas Web (XSS – cross-site scripting) y de inyección SQL. 

Una ojeada a los siete vectores de ataques a aplicaciones web más comunes

Durante mucho tiempo Akamai ha estado siguiendo los ataques DDoS tanto a nivel de de aplicación como de red, y típicamente se habla, escribe y comenta más sobre las estadísticas de ataques DDoS que producen. A lo largo de los años, los clientes han pedido una visión similar sobre los ataques a la capa de aplicaciones dirigidos a empresas y gobiernos entre otros. Para el Informe de Seguridad del Estado de Internet del primer trimestre de 2015, Akamai ha concentrado su análisis en los siete vectores de ataques a aplicaciones web más comunes, que alcanzaron 178,85 millones de ataques observados en la red Akamai Edge. Estos vectores incluyeron a la inyección SQL (SQLi), inclusión de fichero local (LFI), inclusión de fichero remoto (RFI), inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL Java (JAVAi) y subida de ficheros maliciosos (MFU).

Durante el primer trimestre de 2015, más del 66% de los ataques a aplicaciones web fue atribuido a ataques LFI. Esto fue impulsado por una campaña masiva contra dos grandes retailers en marzo, dirigida al plugin WordPress RevSlider.

Los ataques SQLi también fueron bastante comunes, representando más del 29% de los ataques a aplicaciones web. Una parte sustancial de los ataques SQLi estuvo relacionada con campañas de ataques contra dos empresas de la industria de viajes y hoteles. Los otros cinco vectores representaron el cinco por ciento restante de ataques, lo que pone de relieve la importancia de tener en marcha reglas extremadamente ajustadas para defenderse contra tentativas de “exploit” SQLi y LFI.

Finalmente, las MFUs son un tipo de ataque en el que un usuario sube ficheros no autorizados a la aplicación de destino, potencialmente maliciosos pueden ser utilizados más tarde para tomar todo el control del sistema y fueron el tercer vector de ataques más comúnmente utilizado. En el primer trimestre de 2015, los clientes de Akamai observaron 3,99 millones de tentativas de subidas de ficheros maliciosos, y la industria hotelera y de viajes fue en este caso el sector más frecuentemente atacado.

Dada la facilidad de acceso a herramientas sofisticadas de ataque y a servicios económicos de “ataques para alquilar”, los ataques mezclados se están convirtiendo en la norma. Los ataques DDoS pueden a menudo ser lanzados para distraer a los equipos de seguridad, mientras que se lanza un ataque posterior a aplicaciones web para robar datos, lo que da a los atacantes una mayor oportunidad para entrar mediante la red sin que se note. Las mejores soluciones de seguridad requieren a profesionales de la seguridad altamente experimentados, con acceso a inteligencia en tiempo real para asegurar que si las amenazas de seguridad cambian, la capacidad de un retailer para parar los ataques no disminuye.

Por la plataforma de Akamai pasa hasta un 30% del tráfico web global por lo que cuenta con amplia información y datos de ataques en tiempo real que se analizan de forma constante para perfeccionar la exactitud y efectividad de sus ofertas de seguridad web. Esto permite a nuestro WAF conseguir las tasas de falsos positivos y negativos más bajas de la industria de la seguridad, lo que significa que puede ofrecer una posición de seguridad muy fuerte para resolver los problemas y vulnerabilidades descritos en este artículo. Además de esto, gracias a los beneficios de rendimiento inherentes al hecho de estar en la plataforma inteligente de Akamai, los servicios de seguridad no tendrán un impacto negativo en el rendimiento de un sitio web, eliminando así el problema común de una seguridad web fuerte que provoca tiempos de carga de páginas más lentos y pérdidas de ingresos.