Aviso referente a las compras navideñas de 2016

Autor: Benjamin Brown

Resumen ejecutivo

Ya no queda nada para la temporada de compras navideñas de 2016. Cada vez es más habitual que los compradores opten por realizar sus compras online para evitar las indisciplinadas hordas que abarrotan las tiendas físicas. Con este hecho en mente, es buen momento para repasar las amenazas potenciales que acechan a los activos digitales de los retailers y las medidas para sortearlas. Lo primero que conviene saber es el tráfico legítimo aproximado que puede esperar y cómo variará a lo largo del tiempo. Además de estar preparado para responder al tráfico de compradores, también querrá estarlo para los posibles flujos de tráfico malicioso, como ataques distribuidos de denegación de servicio (DDoS), rastreadores, scrapers, spammers, revendedores, rastreadores de cuentas, secuestros de DNS y traficantes de malware.

Patrones de tráfico pasados y flashmobs

Resulta importancia analizar en detalle los hábitos de compra online conforme los compradores aumentan sus compras en las tiendas digitales (véase la figura siguiente). El cómo compran los compradores no es el único factor de cambio; también se está modificando el cuándo. Según el estudio sobre los festivos del año 2015 elaborado por la organización estadounidense National Retail Federation, de los consumidores que realizaron compras durante el fin de semana de Acción de Gracias, 41 millones también lo hicieron online el mismo jueves, el Día de Acción de Gracias en sí (40 %). Aunque los retailers se centran en el viernes negro (Black Friday), el fin de semana y el ciberlunes (Cyber Monday), es importante ahora que no pasen por alto el posible aumento del tráfico durante el jueves. De lo contrario, se pueden ver saturados por un tráfico legítimo para el cual no están preparados.

Holiday Threat Advisory NRF

Como el tráfico real de compras no siempre se basa en patrones sistemáticos ni predecibles, es imprescindible que los distribuidores del sector del retail digital adopten medidas para los casos de flashmobs, ráfagas u oleadas de tráfico legítimo, que pueden presentar un aspecto muy parecido a los ataques DDoS. Una forma de distinguirlos es examinar la proporción entre clientes y solicitudes. En el caso de un flashmob, esto es, la interacción de una multitud de seres humanos con el activo digital, se registra un número relativamente reducido de solicitudes y uno elevado de clientes. En contraposición, la mayoría de los ataques DDoS suele presentar un número elevado de solicitudes por cliente y un número entre medio y alto de clientes. Una forma de gestionar con eficacia los casos de flashmob consiste en, primero, identificar el contenido con más probabilidades de ser solicitado y, segundo, aplicar una configuración que permita el almacenamiento en caché o la descarga eficientes. El uso estratégico del contenido estático, el cual se puede solicitar en masa durante un flashmob, también reduce en gran medida la presión sobre el sitio. Si es cliente de Akamai, póngase en contacto con el equipo de su cuenta y solicite ayuda para evaluar el sitio, optimizar su configuración y prepararse para esa coyuntura.

DDoS

Además de la posible avalancha de tráfico legítimo, los retailers también han de estar preparados para el tráfico malicioso en forma de DDoS. Se puede tratar de hackers jóvenes de sombrero negro cuyo objetivo es labrarse un nombre, como PoodleCorp o Lizard Squad (véase la captura de pantalla de su herramienta DDoS a continuación), o de activistas políticos, como los hacktivistas de Anonymous, o bien de agentes del Este de Europa vengándose de los recientes ataques lanzados sobre bancos rusos. Los ataques DDoS también sirven como distracción o tapadera del auténtico objetivo, por ejemplo, el robo de cuentas o la exfiltración de datos.

Un primer paso adecuado en la protección contra DDoS es la implementación de un firewall de aplicaciones web (WAF) entre el sitio web y el mundo exterior. Querrá estar seguro de que dispone de los conjuntos de reglas más recientes y revisar las reglas activas para garantizar que se ajusten tanto a la configuración como al conjunto de propiedades. Resulta lógico aplicar reglas de limitación de la frecuencia para el tipo de tráfico legítimo que espera. Puede rechazar el tráfico procedente de zonas geográficas distintas de la zona objetivo o bloquear el tráfico que llegue de proxies desconocidos o anónimos. Por otra parte, las empresas deben revisar el grado actual de fiabilidad de DNS para determinar si hace falta un segundo proveedor de DNS o uno de respaldo. Si algo hemos aprendido del reciente ataque al DNS de Dyn, es que la centralización de DNS puede dar lugar a situaciones catastróficas. Conviene elaborar de antemano un manual estratégico en el que se recojan las posibles situaciones de ataque y las maniobras de defensa aplicables que tiene el equipo a su disposición. Como complemento al manual, realice ejercicios teóricos y lleve a cabo simulacros de ataques con el equipo. Durante el proceso de análisis posterior a la simulación, dedique tiempo a retocar y ajustar el manual. Repita las simulaciones con variables constantemente cambiantes, combine o genere situaciones de ataque en cascada y, si lo estima conveniente, incorpore un evaluador profesional de penetración para que ajuste al máximo la respuesta ante incidentes. Colabore con otros proveedores relevantes para mejorar el tiempo de respuesta y consolidar protocolos de comunicación claros para el sistema que utiliza, pero sobre el que no tiene un control total.