¿Qué precauciones toma Nominalia para proteger a sus clientes? ¿Y qué medidas adopta en caso de ataque informático? Hablamos de ello con Cosimo Vagarini, Chief Technology Officer del grupo Register.
La seguridad informática es uno de los pilares de Nominalia. La fiabilidad de los servicios y la protección de los sitios web alojados en las plataformas de la empresa son una prioridad absoluta, a la que se dedican decenas de personas dentro del grupo.
La supervisión, la detección, la intervención y las medidas correctivas son los ejes centrales del sistema de Nominalia para proteger las redes, los programas y los datos contra posibles ataques o accesos no autorizados.
Hablamos con Cosimo Vagarini, Chief Technology Officer del grupo Register del que Nominalia forma parte, para conocer las líneas de acción principales que Nominalia emprende en el ámbito de la seguridad informática, así como las sinergias que se activan en caso de ciberataque.
Contenidos
¿Cuáles son los tipos de ataque más frecuentes?
Podemos dividir los ataques principales en dos macrocategorías: por un lado, los ataques a toda la plataforma, como los DDoS, y, por el otro, los ataques dirigidos a páginas concretas, que intentan explotar las vulnerabilidades de esos sitios, principalmente debido a la falta de actualización.
Los ataques DDoS [de distributed denial of service o «ataque distribuido de denegación de servicio»] son ciberataques lanzados simultáneamente desde varios equipos con el objetivo de agotar los recursos de un sistema y hacer que no logre prestar servicio. Se trata de ataques en masa que pueden afectar a todos los sitios web alojados en la plataforma víctima.
En los ataques dirigidos a páginas específicas, los ciberdelincuentes aprovechan las vulnerabilidades o la falta de actualización de WordPress, Joomla! o la aplicación que el usuario haya usado para crear y gestionar su web. La intención, generalmente, es penetrar en el sitio para añadir páginas o enlaces relacionados con actividades de phishing.
¿Qué hace Nominalia contra este tipos de ataques informáticos?
En ambos casos, la vigilancia constante de nuestra plataforma y los controles, tanto humanos como automáticos, nos permiten identificar las amenazas e intervenir rápidamente.
En los ataques DDoS, las infraestructuras atacadas experimentan picos anormales de actividad debido a la superación de unos umbrales preestablecidos. La monitorización que llevamos a cabo nos permite detectar al momento esos picos y actuar de forma inmediata, examinando la anomalía y mitigando el ataque (si es necesario, con ayuda de empresas externas especializadas en protección contra DDoS).
La mitigación consiste en dirigir el tráfico a sistemas especializados de depuración que, en unos milisegundos, analizan las visitas, identifican el patrón de ataque y descartan las visitas ilegítimas, lo cual hace que la plataforma vuelva a su funcionamiento normal.
En el caso de los ataques dirigidos a sitios web particulares, nuestro sistema hace comprobaciones automáticas, gracias a las cuales se verifica la legitimidad de la fuente cuando se suben archivos a los sitios de nuestros clientes.
Además, velamos por que no haya patrones denunciados por las autoridades o por organizaciones o empresas especializadas en ciberseguridad, que vigilan el entorno digital para identificar ataques en curso y nos notifican las características.
Mediante nuestros sistemas de control automático, comprobamos continuamente si las páginas y los enlaces que se denuncian residen en nuestros sistemas y, en caso de que así sea, inhabilitamos inmediatamente la página y la inutilizamos.
¿También se toman acciones preventivas para anticiparse a los ataques?
La prevención es esencial. Nuestro sistema de vigilancia está conformado por una sofisticada combinación de programas internos y externos que analizan el tráfico de forma constante para avisarnos de cualquier anomalía que pudiera ocultar un ataque.
Si se detecta un comportamiento anormal, activamos inmediatamente a nuestro equipo de respuesta 24 horas para evaluar la situación y tomar medidas urgentes para restablecer la normalidad y resolver el problema sin que afecte al funcionamiento de las instalaciones de nuestros clientes.
Obviamente, lo que hemos comentado antes sobre los informes de las empresas y autoridades con las que trabajamos también es parte integrante de nuestro sistema de prevención, tanto si se trata de ataques en curso como de ataques que pretenden explotar vulnerabilidades zero-day.
¿Qué son las vulnerabilidades Zero Day?
Las vulnerabilidades zero-day o de día cero son fallos de sistema descubiertos recientemente y que el fabricante del software aún no ha corregido. Por lo tanto, suponen una posible puerta de entrada para ataques potenciales.
Para los atacantes, es crucial moverse en el lapso de tiempo que va desde el momento en que se descubre o se divulga una vulnerabilidad hasta el lanzamiento de la siguiente actualización que soluciona ese agujero de seguridad.
Estar al tanto inmediatamente de las vulnerabilidades de día cero nos permite tomar las medidas necesarias para contrarrestar posibles ataques mientras esperamos la actualización del fabricante.
¿Con qué frecuencia hay intentos de ataque?
En cuanto a los ataques dirigidos a sitios alojados en Nominalia, prácticamente son diarios y se producen varias veces al día, a lo largo de la jornada.
Los ataques DDoS suelen ser menos frecuentes; van por oleadas, con periodos bastante intensos y otros relativamente tranquilos.
La gran mayoría de los ataques ni siquiera llegan a ser percibidos por nuestros clientes en lo que respecta a funcionalidad: nuestros sistemas de vigilancia, con un equipo dedicado y listo para actuar a cualquier hora del día y de la noche, nos permiten tener un tiempo de reacción prácticamente inmediato.
Por desgracia, aunque tomemos todas las precauciones necesarias, no hay garantía de que seamos completamente inmunes a los ciberataques. No obstante, ponemos todos los medios para minimizar en la medida de lo posible la repercusión de cualquier ataque y actuamos con prontitud para mitigar los efectos lo mejor posible.
Durante la Pandemia, ¿se ha notado un incremento de los ataques debido al aumento del tráfico en la red?
Durante el confinamiento, definitivamente notamos un cambio en la composición del tráfico, que pasó de tener más usuarios empresariales a más domésticos debido al teletrabajo, pero este aumento de usuarios domésticos no resultó ser un problema en lo referente a la seguridad.
Sin embargo, sí observamos una distribución diferente de los horarios de los ataques: mientras que antes del confinamiento los ataques se producían sobre todo por la tarde, durante la cuarentena se produjeron a cualquier hora del día; pero no hubo un aumento, sino una distribución diferente de la hora de ataque en 24 horas.
