Seguridad en E-commerce: Nadie está a salvo.

3 Comments

«Elige: Estoy haciéndote un DDOS, tu negocio está bloqueado, estás perdiendo dinero, si quieres que pare, págame 10.000€«, dijo el criminal cibernético.
Parece que este tipo de extorsión se está poniendo de moda, y no son pocos los que acceden a soltar billetes para parar un ataque que anule/bloquee las transacciones de su tienda de comercio electrónico.

Los ataques de denegación de servicio siempre han estado en al cresta de la ola, aunque últimamente se les ha dado mucha más importancia a raíz de las actuaciones de Anonymous y otros grupos activisitas en contra de determinadas decisiones políticas. Paypal, Visa, Mastercard… también han sufrido ataques por no permitir transacciones de Wikileaks. Este tipo de ataques que se hacen públicos son sólo la punta del iceberg, deconocemos el número de atques DDOS a grandes tiendas online (como Amazon) que se mantienen en secreto. Las tiendas online creían estar fuera del campo de batalla, peor no es así, y cada vez sufren más ataques, con extorsión incluida.

La consultora Gartner estimó en un 30% el incremento de ataques DDOS en 2010 comparado con 2009, y la tendencia ha continuado en 2011. En los últimos dos años las extorsiones, haciendo uso de los ataques DDOS, se han incrementado y no va a parar, en parte por el desconocimiento y falta de formación de las personas que están a cargo de las tiendas, así como por el ansia de dinero (o no, algunos prefieren fama antes que dinero) de los criminales cibernéticos.

Akamai Technologies Inc, lanzó este año un servicio para la mitigación de este tipo de ataques. La «idea» surgió a raíz del ataque que sufrieron 5 de sus mejores clientes (tiendas online), las cuales sufrieron DDOS en Navidad, periodo del año donde probablemente más se facture.

BatteriesPlus.com en Octubre de 2010 recibió un DDOS masivo que parecía proceder de Ukrania. Bloquearon el tráfico procedente de ese país, pero al cabo de un rato el ataque volvió, esta vez desde Thailandia. Volvieron a bloquear las conexiones procedentes de ese país, pero los atacantes modificaron de nuevo la región desde la cual ejecutabana el ataque. Al final bloquearon las conexiones que venían de fuera de USA, y se dieron cuenta que continuaba desde dentro del propio país. Algo que no es de extrañar, ya que USA lidera (o casi) la lista de paises con más PCs infectados pertenecientes a botnets.


Cuatro días después, el ataque paró, no se sabe si fue porque la tienda contrató una tecnología para la mitigación de DDOS, o porque los atacantes se aburrieron (o consiguieron el objetivo por el cual les habían contratado, si es que esto fue asi). El coste final para la tienda ascendió a 40,000$, contando la tencología contratada, horas extras del personal, consultorías de seguridad, etc.

Si eres una tienda online grande y te puedes permitir a un experto en seguridad, contrátalo. En caso contrario, protegete cómo puedas, pero vendría bien que de vez en cuando contrataras los servicios de consultores expertos para verificar que tu tienda es «dura de pelar». Nunca te dirán que es segura 100%, porque sería mentira, pero cuantas más trabas le pongas al atacante, más pereza le dará al atacarte. Una de las recomendaciones que dan los expertos es no entablar conversación con los atacantes.

Si tu tienda está basada en un CMS, como Magento, Prestashop, ZenCart, … visita regularmente la página del CMS, para descargar  posibles actualizaciones que solucionen agujeros de seguridad.

¡Actualízate! 😉

Referencias: http://www.internetretailer.com/2011/09/06/security-experts-warn-growing-attack-threats-retail-sites

Suscríbete a nuestra newsletter