¿Qué es un ataque DDoS?

DDoS, abreviatura de "denegación de servicio distribuido", es un ciberataque que intenta interrumpir el funcionamiento de un servidor o una red inundándolos con tráfico de Internet falso, impidiendo así el acceso de los usuarios e interrumpiendo las operaciones.

El propósito de un ataque DDoS es interrumpir la capacidad de una organización de prestar servicios a sus usuarios. Los actores maliciosos utilizan estos ataques para:

• sabotear a la competencia
• vengarse como usuarios internos
• realizar actividades estatales/nacionales
• sembrar el caos

¿Cuál es la diferencia entre los ataques DDoS y DoS?

La principal diferencia entre un ataque DDoS y un ataque DoS es el origen del ataque. Los ataques DDoS se lanzan desde múltiples sistemas, mientras que los ataques DoS (denegación de servicio) se originan desde un solo sistema. Los ataques DDoS son más rápidos y difíciles de bloquear que los ataques DoS. Estos últimos son más fáciles de bloquear porque solo hay una máquina atacante que se deba identificar.

¿Cómo funciona un ataque DDoS?

No se puede hablar de ataques DDoS sin hablar de redes de bots. Una red de bots es una red de equipos infectados con malware que permite a actores maliciosos controlar los dispositivos de forma remota. Estas redes de bots están "distribuidas" porque pueden ubicarse en cualquier lugar y pertenecer a cualquier persona. Los propietarios inocentes de equipos infectados posiblemente nunca sepan que sus sistemas forman parte de una red de bots.

Tras crear una red de bots masiva de millones de dispositivos vulnerados, un ciberdelincuente dirige remotamente a cada bot para que envíe solicitudes a la dirección IP de la víctima. El objetivo es superar los límites de capacidad de los recursos web de la víctima con una cantidad abrumadora de solicitudes de conexión o datos para finalmente detener su servicio.

Tipos de ataques DDoS

Los ataques DDoS pueden clasificarse de varias maneras, pero es común agruparlos en tres tipos:

1. Ataque volumétrico

Las redes de bots envían cantidades masivas de tráfico falso a un recurso. Este tipo de ataque puede utilizar inundaciones de ping, inundaciones de paquetes falsificados o inundaciones UDP. Un ataque basado en volumen se mide en bits por segundo (BPS).

2. Ataques a la capa de red

Los ataques a la capa de red, también conocidos como ataques de protocolo, envían grandes cantidades de paquetes a un objetivo. Un ataque a la capa de red no requiere una conexión de protocolo de control de transmisión (TCP) abierta y no ataca un puerto específico. Un ataque a la capa de red se mide en paquetes por segundo (PPS). Algunos ejemplos de este tipo de ataque son los siguientes:

• Ataque pitufo (Smurf): intento de inundar un servidor a nivel de red usando paquetes ICMP (protocolo de mensajes de control de Internet) y explotando vulnerabilidades de IP.
• Inundación SYN: inicia una conexión a un servidor sin cerrar dicha conexión, lo que da lugar a una saturación de los servidores. Este tipo de ataque utiliza una gran cantidad de solicitudes de protocolo de enlace TCP con direcciones IP falsificadas.

3. Ataques a la capa de aplicación

Los ataques a la capa de aplicación explotan solicitudes comunes, como HTTP GET y HTTP POST. Estos ataques afectan tanto a los recursos del servidor como a los de la red, por lo que se puede lograr el mismo efecto disruptivo de otros tipos de ataques DDoS con menos ancho de banda. Distinguir entre tráfico legítimo y malicioso en esta capa es difícil porque el tráfico no está falsificado y, por lo tanto, parece normal. Un ataque a la capa de aplicación se mide en solicitudes por segundo (RPS). Si bien la mayoría de los ataques se basan en el volumen, también hay ataques DDoS con actividad baja y lenta que eluden la detección al enviar flujos pequeños y constantes de solicitudes que pueden degradar el rendimiento sin que se observen durante largos periodos de tiempo. Los ataques con actividad baja y lenta atacan servidores web basados en subprocesos y provocan que los datos se transmitan a usuarios legítimos muy lentamente, aunque no lo suficiente como para provocar un error de tiempo de espera. Algunas herramientas empleadas en ataques con actividad baja y lenta son Slowloris, R.U.D.Y. y Sockstress.

¿Por qué los ataques DDoS son una amenaza creciente?

Los ataques DDoS son cada vez más frecuentes. A pesar de la caída registrada en 2018, cuando el FBI cerró los sitios de DDoS a demanda más grandes de la dark web, los ataques DDoS aumentaron un 151 % en la primera mitad de 2020. En algunos países, los ataques DDoS pueden representar hasta el 25 % del tráfico total de Internet durante un ataque. Este auge se debe a la adopción del Internet de las cosas (IoT). La mayoría de los dispositivos IoT no tienen firmware integrado ni controles de seguridad. Como los dispositivos IoT son numerosos y a menudo se implementan sin someterse a pruebas y controles de seguridad, son susceptibles de verse secuestrados por redes de bots IoT. Otra flaqueza creciente son las API o interfaces de programación de aplicaciones. Las API son pequeños fragmentos de código que permiten que diferentes sistemas compartan datos. Por ejemplo, un sitio de viajes que publica horarios de aerolíneas utiliza API para obtener esos datos de los sitios de las aerolíneas y trasladarlos a sus páginas web. Las API "públicas", que están disponibles para que las use cualquier persona, pueden estar mal protegidas. Las vulnerabilidades típicas incluyen controles de autenticación débiles, seguridad inadecuada de los endpoints, falta de cifrado robusto y lógica empresarial defectuosa.

Ejemplos de ataques DDoS

El segundo ataque DDoS más grande y uno de los más populares tuvo como objetivo a uno de los clientes de Google Cloud. En un momento dado, el cliente de Google estaba siendo bombardeado con 46 millones de RPS (solicitudes por segundo). Google alertó a su cliente del ataque y logró bloquearlo en una hora. En octubre de 2022, los sitios web de varios aeropuertos importantes de EE. UU. colapsaron como resultado de un ataque DDoS. El ataque lo orquestó un grupo ruso llamado KillNet. Afortunadamente, las operaciones aeroportuarias no se vieron interrumpidas, salvo por el hecho de que los viajeros y sus familiares no pudieron buscar información sobre los vuelos. Este ataque se produjo unos días después de que varios sitios web del Gobierno estadounidense, como el portal web del estado de Colorado, sufrieran un ataque. Ninguno de estos ataques terminó con impactos negativos a largo plazo y ahora los sitios funcionan correctamente. ¿Cuál es el mayor ataque DDoS jamás registrado? Cuando se trata de ataques DDoS, el tamaño no importa. Ninguna empresa está completamente segura. Hasta hoy, el mayor ataque DDoS ocurrió en febrero de 2023 contra CloudFlare con 71 millones de RPS (peticiones por segundo), superando en un 35 % al de Google Cloud de junio de 2022. Este fue el mayor de las decenas de ataques DDoS que detectaron y mitigaron durante el fin de semana del 11 de febrero, todos ellos con una media de 50 a 70 millones de RPS.

¿Cuáles son los signos de un ataque DDoS?

Las víctimas de ataques DDoS generalmente notan que su red, sitio web o dispositivo funciona lentamente o no brinda el servicio. Con todo, estos síntomas no son exclusivos de los ataques DDoS: muchos factores pueden causarlos, como un servidor que funciona mal, un aumento en el tráfico legítimo o incluso un cable roto. Por eso no puedes confiar simplemente en observaciones manuales, sino que debes aprovechar una herramienta de análisis de tráfico para detectar ataques de denegación de servicio distribuidos.

Mitigación y protección de ataques DDoS

La mitigación de ataques DDoS y la defensa contra estos exige un enfoque multifacético: ninguna herramienta puede garantizar por sí sola una protección completa contra todos los tipos de ataques DDoS. A continuación se muestran algunas herramientas básicas que puedes añadir a tu arsenal:

Evaluación de riesgos:

Las empresas deben adoptar un enfoque proactivo a la hora de protegerse contra ataques DDoS. El primer paso es ser consciente de todas las vulnerabilidades y fortalezas de tu empresa. Realiza evaluaciones de riesgos en todos tus recursos digitales (es decir, redes, servidores, dispositivos, software) para tener todo preparado con el mejor plan de mitigación cuando llegue el momento.

Firewall de aplicaciones web (WAF):

Un WAF es como un punto de control para aplicaciones web, ya que se utiliza para monitorizar las solicitudes de tráfico HTTP entrantes y filtrar el tráfico malicioso. Cuando se detecta un ataque DDoS en la capa de aplicación, la directiva WAF se puede cambiar rápidamente para limitar la tasa de solicitudes y bloquear el tráfico malicioso actualizando la lista de control de acceso (ACL).

Gestión de eventos e información de seguridad (SIEM):

La SIEM es una herramienta que extrae datos de todos los rincones de un entorno y los agrega en una única interfaz centralizada, proporcionando visibilidad sobre la actividad maliciosa que puede usarse para calificar alertas, crear informes y respaldar la respuesta a incidentes.

Redes de distribución de contenido/Balanceadores de carga:

Las CDN y los balanceadores de carga se pueden utilizar para mitigar el riesgo de sobrecarga del servidor y los consiguientes problemas de rendimiento y disponibilidad al distribuir automáticamente los flujos de tráfico entre múltiples servidores.

Enrutamiento de agujeros negros:

Durante el enrutamiento de agujeros negros, el administrador de red envía todo el tráfico, ya sea bueno o malo, a través de una ruta de agujero negro. El objetivo es eliminar TODO el tráfico de la red, lo que tiene como consecuencia la pérdida de tráfico legítimo y, potencialmente, de algo de negocio.

Limitación de velocidad:

Limita la cantidad de solicitudes de servicio que tu red recibe y acepta en un periodo de tiempo determinado. Por lo general, esto no basta para combatir ataques DDoS más sofisticados, por lo que debe emplearse junto con otras estrategias de mitigación.