A menudo nos hacen esta pregunta, y la respuesta más simple es que no hay nadie que ofrezca lo mismo que VirtualRoad.org. Para el lector más curioso, hemos preparado una tabla comparativa entre VirtualRoad.org (VR) y un proveedor de alojamiento común (PA) que podrás encontrar más abajo. Por favor, ten en cuenta que los datos proporcionados para el ‘proveedor de alojamiento común’ no se aplican a TODOS los proveedores de alojamiento, pero nos proporciona un entendimiento general de lo que ofrecen la mayoría de éstos.
| Parámetro | Alojamiento seguro con VirtualRoad.org [VR] | Proveedor de alojamiento común [PA] |
|
|---|---|---|---|
| Prevención | Auditoría | Auditoría de todos los componentes de terceros (plugins, temas, etc.) y código personalizado antes de la migración a VR. | No. |
| Comunicación segura | Uso de comunicaciones cifradas para la información confidencial o sensible. | No. Es una práctica común el comunicar contraseñas, contratos, facturas, etc. por emails en texto plano. Incluso si el cliente solicita una comunicación cifrada, pocos PA tienen dichas rutinas implementadas en su trabajo. | |
| Actualizaciones del CMS [1] | VR insiste en que se apliquen actualizaciones del CMS (incluídos temas y plugins), que son implementadas por los clientes | No. Esta responsabilidad recae sobre el cliente, que a menudo puede descuidarse. | |
| Mantenimiento de los VPS | Gestionado completamente por VR. | Gestionado por defecto por el cliente (la opción más barata). Muchos PA ofrecen la opción de que ellos gestionen el VPS (esta opción es más cara). | |
| Mitigación | Monitorización | Paranoica. Monitoriza un gran rango de ataques (ataques de fuerza bruta, escaneos de vulnerabilidades, L7, SYN-floods, etc.) y permite apenas unos intentos a cada IP. | Permisiva. Permite una gran cantidad de intentos por IP para evitar falsos positivos (es decir, bloquear conexiones válidas). |
| Mitigación DDoS | Ofrecida por defecto a todos los clientes. No se descarta (black-holing [2]) ningún tipo de tráfico de los sitios que estén bajo ataque. | Servicio premium que se ofrece con un coste alto. A los clientes que no tengan protección DDoS y se encuentren bajo ataque, normalmente se les aplica un descarte del tráfico (black-holing) para no afectar colateralmente a otros clientes. | |
| Infraestructura | Propiedad | Todo el hardware es propiedad de VR. No se utiliza ningún servicio en la nube. | Depende, pero normalmente no se comunica a los clientes. |
| Acceso al servidor | El acceso a los servidores solo les es permitido a los miembros permanentes de VR. Nunca se proporciona tal acceso a terceros. | Cuentan con un gran equipo de soporte, usualmente siendo éste llevado por terceras empresas. | |
| Proveedores de upstream | La elección es tomada dependiendo de la ética de negocio y la calidad del servicio. Todos nuestros proveedores de upstream apoyan abiertamente la libertad de expresión. | La elección es tomada dependiendo del coste, capacidad, y calidad del servicio. | |
| Gestión de datos | Compartición de datos | Todos los datos son propiedad del cliente. Los datos del cliente solo se comparten bajo aprobación del mismo o después de una orden judicial válida emitida por una autoridad. | En teoria, solo compartidos después de una orden judicial válida. |
| Retención de datos | Se aplica la ley de retención de datos sueca. | Depende del país donde se encuentre. Para PA internacionales, la localización puede ser cambiada fácilmente sin que el cliente lo sepa o lo apruebe, y con ello, también la ley de retención de datos aplicada. | |
| Análisis forense | Reporte de incidencias | Para ataques largos y repetitivos, VR ofrece informes forenses que incluyen el tipo de ataque, tamaño, huella y origen. Estos informes se comparten con el cliente para que los utilice judicialmente o para hacer campañas. | En el mejor de los casos, los PA ofrecen acceso a los registros sin analizar al cliente. Para clientes premium con mitigación DDoS, se suelen generar informes de incidencia automáticos. |
| Atribución | Para casos especiales [3], VR lleva a cabo una ‘investigación de atribución’ para identificar a los actores involucrados en alojar, apoyar, permitir y llevar a cabo el ataque. | No. | |
| Ética | Clientes | Solo medios independientes que se encuentren bajo regímenes represivos y organizaciones relacionadas con los derechos humanos. | Cualquiera que genere tráfico y dinero, incluídos sitios pornográficos, de apuestas, que inciten al odio, etc. |
| Funding | Donantes , partidarios y pagos de los clientes alojados. | Clientes alojados. | |
| Modelo de negocio | Precio | Precio flexible dependiendo de la situación financiera del cliente. | Precio fijo, marcado por el mercado. |
| Modelo de precios | Coste mensual fijo, independientemente del nivel de riesgo o historial de ataques. Riesgo bajo para el cliente. | Coste mensual fijo hasta un límite. Un coste variable se puede aplicar si se alcanza dicho límite (por ejemplo al aumentar el tráfico debido a un ataque). Riesgo elevado para el cliente. | |
[1] Nuestra experiencia nos dice que la mayoría de ataques exitosos, tienen como objetivo plugins y temas vulnerables. Por lo tanto, es crucial mantener todos los componentes del software actualizados, e idealmente auditados antes de su uso para proporcionar una solución holística segura.
[2] Black-holing: hace referencia al tráfico que es descartado de forma silenciosa, sin informar a la fuente de que los datos no llegaron a su destinatario.
[3] Algunas de nuestras investigaciones de atribución están publicadas aquí.