En los últimos años, los ataques de DDoS se han multiplicado y han adquirido una escala considerable. Estos ataques actualmente representan una gran amenaza para las empresas y organizaciones. Algunos proveedores de energía eléctrica, Netflix y Reddit (entre muchos otros) se cuentan entre sus víctimas. En estas situaciones, los servidores se cuelgan, las páginas web se caen y las empresas pierden millones de dólares mientras sus servicios se interrumpen. Este artículo pretende explicar qué es un ataque de DDoS, cómo funciona, y (lo más importante), compartir algunos consejos para protegerse de estas amenazas. En pocas palabras, es su guía para frenar los ataques de DDoS.
¿Qué es un ataque DDoS?
Un ataque de DDoS (Denegación de Servicio Distribuido) es un ciberataque en que los hackers intentan agotar los recursos de una página web con un exceso de solicitudes. Lo que pretenden es que este servicio web deje de estar disponible.
Su principio de funcionamiento se basa en sobrecargar la capacidad de una página web para atender múltiples solicitudes simultáneamente. Esta sobrecarga causa que los usuarios/visitantes legítimos no puedan obtener acceso.
El objetivo de los hackers tras este ataque es perjudicar a la reputación de la organización de la víctima y hacer que pierda clientes. Los clientes podrían enardecerse ante la situación y dejar de usar su servicio, y las interrupciones de servicio podrían incluso tener consecuencias legales.
Pero también pueden lanzarse para obtener dinero. En algunos casos, los hackers pueden exigir rescates para detener el ataque.
Cada vez con más frecuencia, el “hacktivismo” es el motivo de los ataques de DDoS, y a veces los perpetradores de DDoS pueden estar motivados por un problema político o social. Sin embargo, las bandas de crimen organizado suelen usar la fachada de propósitos políticos para ocultar sus acciones. Por lo tanto, es difícil saber si un ataque tiene una motivación política o simplemente es una tapadera para las actividades criminales.
Por último, también se pueden iniciar para ocultar otro tipo de acciones despiadadas mientras se ejecuta, como el robo de datos, una infección de ransomware o cualquier otro hack.
Sea cual sea su objetivo real, las pérdidas financieras en las que pueden incurrir pueden ser muy significativas. Los ataques prolongados pueden incluso amenazar la supervivencia de una empresa, si no se les detiene a tiempo.
Peor aún, los ataques de DDoS son relativamente baratos de ejecutar. Por la irrisoria suma de $5 por hora, es posible contratar un servicio de botnet para que ataque a un objetivo durante 24 horas. Tales servicios suelen promocionarse disfrazados como “servicios de tensión”, para personas que deseen hacer pruebas de tensión a sus servidores.
¿Cómo se ejecutan los ataques de Denegación de Servicio Distribuido (DDoS)?
El ataque de DDoS se puede iniciar de diversas maneras, pero suele implicar el que múltiples sistemas informáticos envíen un sinfín de solicitudes al sistema objetivo a la vez. El sistema objetivo queda saturado e inutilizado. Este ya no puede responder a solicitudes legítimas de los visitantes a la página en cuestión.
Los ataques de DDoS suelen usar botnets
Con frecuencia, los sistemas usados para enviar numerosas solicitudes para rebosar a la página objetivo son redes de bots llamadas “botnets“.
Un bot es un script o programa de software diseñado para ejecutar tareas repetitivas. Por ejemplo, las “arañas web” y los motores de búsqueda son bots (pero con buenas intenciones). Pero, en el caso de un ataque de DDoS, las tareas repetitivas consisten en hacer una solicitud a un servidor web, una y otra vez, con propósitos malintencionados.
Un ordenador, servidor o dispositivo IoT pueden convertirse en bots si el usuario descarga inadvertidamente algún malware de algún actor malintencionado. Este bot se conecta entonces con los servidores de comando y control, que contienen las instrucciones para lanzar un ataque.
Una vez que el malware se haya diseminado lo suficiente como para crear un ejército de bots, la botnet está lista para ser desplegada para propósitos malintencionados. El objetivo suele ser un ataque de DDoS, pero también se puede implementar para robar datos, enviar spam o distribuir ransomware.
Por ejemplo, en el 2016 el servicio de nombre de dominio (DNS) Dyn sufrió un ataque de DDoS masivo de una botnet. La botnet llamada Mirai explotó las vulnerabilidades de seguridad en 30.000 cámaras Wi-Fi, lo que les permitió a los hackers acceder a los routers Wi-Fi de los usuarios y así crear una gigantesca botnet. Este ataque tuvo efectos secundarios en miles de otras páginas web que usaban los servicios de Dyn
Los tres tipos de ataques de DDoS
Existen tres diferentes tipos de ataques de DDoS:
1 – Ataques de DDoS volumétricos
Los ataques volumétricos son los ataques de DDoS más comunes, y representan alrededor de dos tercios de estas amenazas.
Usan una botnet para hacer solicitudes a todos los servidores al mismo tiempo, sobrecargando su capacidad de ancho de banda. Esto evita que el verdadero tráfico pueda llegar a su destino.
Un tipo de ataque volumétrico muy común es un ataque de inundación de Protocolo de Datos de Usuario (UDP). Tal como su nombre sugiere, este ataque implica enviar una “inundación” de paquetes de UDP, a los cuales el servidor trata en vano de responder.
2- Ataques de DDoS de protocolo
Los ataques de protocolo son el segundo tipo de ataques de DDoS más común, que comprende aproximadamente el 20% de los casos.
Estos ataques se enfocan en debilidades en la capa de red (capa 3) o en la capa de transporte (capa 4). Las inundaciones SYN, un tipo de ataque de protocolo, envían una gran cantidad de solicitudes al objetivo desde direcciones IP suplantadas. La identidad del remitente se oculta suplantando otra dirección.
Este tipo de ataque explota el proceso de protocolo de enlace (o “handshake”) del Protocolo de Control de Transmisión (TCP). Este es un proceso de tres pasos que implica el intercambio de información de un cliente con un servidor para establecer una conexión para enviar y recibir datos.
En un ataque de inundación SYN, el volumen de estas solicitudes implica que el objetivo no es capaz de responderlas todas, agotando así sus recursos.
3 – Ataques de DDoS de capa de aplicación
Los ataques de capa de aplicación (capa 7) constituyen aproximadamente el 15% de los ataques de DDoS. La capa de aplicación es donde se hacen las solicitudes a un servidor web, por ejemplo para cargar una página específica y sus recursos.
La botnet sobrecarga este servidor con solicitudes, provocando que el servidor recoja múltiples solicitudes de carga de ciertos elementos, como archivos o solicitudes de base de datos.
Esto sería análogo a trabajar en un puesto de bocadillos, y de repente recibir 63 pedidos simultáneos de bocadillos gigantes.
Cómo evitar los ataques de DDoS
Considerando el peligro y las potenciales consecuencias de los ataques de DDoS, ¿Qué se puede hacer para evitarlos?
Elimine vulnerabilidades en su arquitectura de TI
El Instituto de Ingeniería de Software de la Universidad Carnegie Mellon University ofrece algunos consejos prácticos para la arquitectura de TI que permite evitar DDoS :
- Elimine todas las vulnerabilidades detectadas en su sistema de TI descargando cualquier actualización, parche o mitigación. Deje de usar protocolos poco seguros y fortalezca cualquier método de autenticación débil.
- Si tiene el presupuesto, opte por un ancho de banda entre 200 % y 500 % mayor. Esto le dará más flexibilidad para contrarrestar el ataque de DDoS.
- Ubique sus servidores en diferentes centros de datos o elimine los cuellos de botella. Considere la opción de tercerizar el hosting de su página web a un proveedor, de modo que un posible ataque no impacte a sus servidores empresariales.
- Los puntos únicos de falla reducen la probabilidad de que un ataque de DDoS acabe con su conectividad. Fortalezca la configuración de sus servidores, portales, cortafuegos y otros elementos de TI eliminando cualquier funcionalidad sin usar. Evalúe la posibilidad de usar funcionalidades opcionales si le parece que mejoran la protección.
- Bloquee cualquier puerto sin usar, tanto en sus servidores como en su cortafuegos.
- Los cortafuegos y equilibradores de carga también pueden protegerle contra ataques de capa 4 (capa de transporte).
Algunas herramientas externas de protección
También existen servicios externos que ofrecen protección contra los ataques de DDoS:
- Amazon ofrece protección contra DDoS a todos sus clientes de AWS sin coste adicional con AWS Shield.
- Sin embargo, para ataques más serios, hay opciones más sofisticadas a un coste superior.
- Project Shield pretende detener los ataques de denegación de servicio para organizaciones enfocadas en libertades civiles, pero que no tienen los presupuestos de las grandes tecnológicas. Creado por Jigsaw, y propiedad de la compañía matriz de Google, Alphabet, protege los servicios web de organizaciones de derechos humanos y de servicios de monitoreo electoral.
La ayuda de la cadena de bloques del Bitcóin
Por último, los ingenieros siempre están buscando nuevas formas de detener a los ataques de DDoS. Uno de estos métodos es una reciente patente otorgada a Amazon, que utiliza los principios inherentes a la criptomoneda bitcoin, basada en la tecnología de cadena de bloques, para proteger a los servicios contra ataques de DDoS.
En este sistema, llamado “prueba de trabajo” cualquier solicitud que se haga al servidor web objetivo tendría que completar un puzzle criptográfico.
Un ordenador individual que hiciese esta solicitud no se vería excesivamente cargado por este requerimiento. Sin embargo, un ataque coordinado por parte de una botnet sí tendría que asumir un alto coste en términos de poder de cómputo para resolver estos puzzles. Esto tiene el efecto de disuadir a los atacantes.
Conclusión
Los ataques de DDoS han demostrado ser una forma efectiva de interrumpir los servicios web. A pesar de los avances en las técnicas de mitigación y de prevención, los ataques de DDoS seguirán siendo una amenaza constante para organizaciones grandes y pequeñas por igual.
Un buen punto de inicio es adoptar una mentalidad de conciencia acerca de la privacidad y la seguridad, comenzando por un correo electrónico cifrado e implementando buenas prácticas de seguridad/privacidad en internet. Esto disminuiría las posibilidades de que sus dispositivos se conviertan en un bot que contribuya con ataques de DDoS.
En este punto de nuestro artículo, también debemos resaltar que Mailfence es uno de los mejores proveedores de correo electrónico seguro y privado. En este respecto, ofrece muchas funciones para mejorar su seguridad, tales como:
Mailfence es un paquete de correo electrónico seguro y privado, con herramientas de colaboración que le permiten trabajar de manera segura con todos los miembros de su equipo:
- Documentos Mailfence, una plataforma de gestión y almacenamiento de documentos.
- Calendario Mailfence, un calendario con gestión de encuestas, contactos y grupos.
- Mailfence jabber chat, un servicio de mensajería instantánea.
Todos estos servicios son seguros y privados, y también tendrá acceso a 500 MB de almacenamiento en nuestro plan gratis.
No se pierda esta oportunidad de mejorar su seguridad online: haga nuestro curso de seguridad para correo electrónico y suscríbase ahora a nuestro plan gratis para descubrir qué fácil es usar Mailfence.
