Si los costes de infraestructura se incrementan debido a aumentos repentinos en el tráfico, si sube el ratio de cuentas controladas (ATO) o si detecta que alguien está craqueando sus tarjetas de regalo, quizá es porque su empresa está siendo atacada por bots. Llegados a este punto, es probable también que perciba un descenso en los índices de reputación de su empresa y de lealtad de sus clientes.
Es posible que se sienta capaz de afrontar esta situación con sus propios recursos, aplicando limitaciones en la velocidad, bloqueos geográficos y de IPs, controles biométricos, herramientas para distinguir a usuarios humanos de programas automáticos, como captcha, o imponiendo sistemas de autenticación multifactor (MFA)… Pero todo eso puede convertirse en una batalla eterna que implica la gestión de múltiples soluciones, de esfuerzo para intentar mantenerse por delante de los hackers y de mucho estrés a la hora de tratar con clientes frustrados.
Para evitar lo anterior, la mayoría de empresas decide ponerse en contacto con profesionales especializados. El reto, entonces, es seleccionar al partner adecuado de acuerdo con las características y necesidades de cada empresa. Para no fallar en el proceso, hay algunas preguntas que pueden ayudar a la hora de tomar la decisión. Por supuesto, es necesario discutir muchos aspectos, como los relativos al modelo de implementación, de costes y al nivel de servicio (SLA). Sin embargo, al hablar con nuestros clientes siempre detectamos las siguientes dudas:
- ¿Cómo gestiona el proveedor la reorganización de los atacantes?
Si las cuentas de sus clientes tienen un valor potencial alto, los ciberdelincuentes no se van a rendir fácilmente, sino que van a seguir intentando superar, una y otra vez, cualquier barrera que se les ponga. Esto es algo básico en el modelo de negocio de los hackers, por lo que también se convierte en la pregunta más importante. Cuando se implementa una medida de seguridad, los atacantes persistentes se reorganizan para conseguir eludirla mediante una variedad de métodos, herramientas e, incluso, IA. Las organizaciones que han sido víctimas del relleno de credenciales dicen que luchar contra los bots y la automatización por si mismos es como participar en un juego sin fin. Cuando pensamos que el problema ya se ha solucionado, vuelve a aparecer. Si usted está dispuesto a pagar a un proveedor para que juegue por usted, no dude en preguntar cuál es su estrategia para poder ganar.
Si detecta que alguien está craqueando sus tarjetas de regalo, quizá es porque su empresa está siendo atacada por bots
- ¿Aumenta el proveedor con sus acciones la fricción con el cliente?
La implantación de herramientas tipo captcha y de métodos como MFA aumentarán drásticamente la fricción con los clientes. La tasa de fallo humano con estas medidas oscila entre el 15% y el 50%, lo que provoca un alto abandono y una disminución de la satisfacción del usuario. Lo peor es que tras una única experiencia negativa, lo más probable es que el cliente nunca regrese. Lo peor no es solo eso, sino que los hackers son muy capaces de superar ese tipo de medidas utilizando distintas herramientas y trabajo humano para resolver captchas, así como Información Personal Identificable (PII) que haya sido comprometida para hacerse pasar por titulares de cuentas y mover líneas telefónicas a cuentas bajo su control para poder completar solicitudes de MFA.
- ¿Cómo aborda los falsos positivos?
Un falso positivo es cuando la solución del proveedor confunde a un humano real con un bot. Un falso negativo es cuando marca a un bot como si fuera un humano. En la lucha contra los bots siempre se van a producir estos supuestos, pero el proveedor debe ser muy receptivo al problema y solucionarlo rápidamente.
- ¿Cómo actúa el proveedor cuando el hacker logra evadir las medidas dirigidas a detectarlo?
Un proveedor especializado en la mitigación de bots debe operar siempre como si un atacante experto hubiera logrado evadir todas las medidas de seguridad. Es posible que el cliente no sea consciente del ataque hasta que no vea sus efectos. Entonces, el proveedor tendrá que ser capaz de proporcionar una respuesta rápida y trabajar de forma cercana con la empresa atacada para remediar el problema.
- ¿Cómo maneja el proveedor el fraude manual, ejecutado por humanos?
Un hacker hábil y decidido introducirá de forma manual las credenciales en los distintos navegadores a fin de eludir las defensas contra la automatización, lo que podría conducir a la apropiación de cuentas (ATO) y al fraude. El proveedor debe poder determinar si un ser humano es un cliente confiable o un estafador, y tomar las medidas adecuadas.
- Si un atacante consigue comprometer a un cliente, ¿cómo evita el proveedor que el resto de sus clientes se vean afectados?
Se deben implementar políticas personalizadas de detección y mitigación para cada cliente. De esa manera, si un atacante se reorganiza lo suficiente como para sortear las contramedidas de un site, no podría utilizar el mismo método para acceder a otro site diferente.
- Si un ciberdelincuente logra superar una mitigación, ¿tiene el servicio visibilidad del ataque?
Las soluciones de mitigación de bots más efectivas recopilan y analizan continuamente diversas señales de telemetría de comportamiento, redes, entornos y dispositivos para maximizar la visibilidad e identificar anomalías con precisión. Esto, a su vez, mejora la eficacia de los modelos de IA de circuito cerrado, al tiempo que proporciona información clave al Centro de Operaciones de Seguridad (SOC) del proveedor.
- ¿Es la solución del proveedor difícil de implementar y mantener?
¿Es necesario instalar un software o la protección es automática? ¿Cómo detecta el proveedor los dispositivos móviles rooteados? ¿Cómo detecta ataques utilizando las últimas herramientas de seguridad y datos de la Dark Web? ¿Qué pasa con las API?
- ¿Qué tipo de anomalías detecta?
Los atacantes aprovechan los bots, la automatización y las credenciales comprometidas para alcanzar sus objetivos, que, al final, siempre son económicos. Las soluciones de mitigación básicas nunca suelen ser suficientes. Por ejemplo, los atacantes reutilizan las direcciones IP, pero normalmente solo 2,2 veces de media. Lo normal es que las usen una vez al día o una vez a la semana, lo que hace que el bloqueo de la IP sea, en gran medida, poco eficaz.
Los hackers suelen centrarse en cuatro vectores:
- Suplantar el tráfico de la red
- Emular una variedad de navegadores y dispositivos válidos
- Usar de credenciales robadas, PII e identidades sintéticas
- Emular y exhibir el comportamiento humano real.
Un buen servicio aprovechará una variedad de señales e inteligencia artificial para proporcionar información procesable y detectar comportamientos anómalos indicativos de fraude, incluida la actividad de copiar y pegar, alternancia de pantalla, uso de bienes raíces de pantallas extrañas, afinidad de dispositivos, suplantación de identidad ambiental e intentos de anonimizar la identidad.
- ¿Con qué rapidez puede llevar a cabo cambios el proveedor?
Cuando el atacante se readapte para sortear las contramedidas actuales, ¿con qué rapidez se adaptará el proveedor? ¿El proveedor cobrará más si hay un atacante persistente sofisticado y se necesitan múltiples contramedidas o consultas con el SOC?
Enric Máñez, responsable de Ventas de Ciberseguridad y Fraude en F5