¿Qué es un ataque de denegación de servicio (DoS)?
Un ataque de denegación de servicio (DoS) es un ciberataque que inunda una máquina o red con solicitudes falsas para interrumpir las operaciones comerciales. Durante un ataque DoS, los usuarios no pueden realizar tareas rutinarias y necesarias, como acceder al correo electrónico, navegar por sitios web o consultar cuentas en línea u otros recursos operados por un dispositivo o una red comprometidos.
Aunque la mayoría de estos ataques no ocasionan pérdidas de datos y normalmente se resuelven sin pagar un rescate, le cuestan a la organización tiempo, dinero y recursos para restaurar operaciones comerciales críticas.
¿Cómo funcionan los ataques DoS?
Un ataque DoS se suele llevar a cabo inundando el host o la red objetivo con solicitudes de servicio ilegítimas. El sello distintivo de estos ataques es el uso de una dirección IP falsa, que impide al servidor autenticar al usuario. Conforme se procesa la avalancha de solicitudes falsas, el servidor se sobrecarga, lo que provoca que se ralentice y, a veces, se bloquee, momento en el que se interrumpe el acceso de los usuarios legítimos. Para que la mayoría de los ataques DoS tengan éxito, el actor malicioso debe tener más ancho de banda disponible que la víctima.
Tipos de ataques DoS
Existen dos tipos principales de ataques DoS:
- Aquellos que hacen colapsar los servicios basados en web, llamados desbordamientos de búfer.
- Los que los inundan, denominados ataques de inundación.
Dentro de esas dos categorías, hay diferentes subconjuntos, que varían en función de los métodos del adversario, el equipo que ataca y cómo se mide el ataque.
| Tipo | Descripción | Ejemplos |
|---|---|---|
| 1. Desbordamientos de búfer | Los desbordamientos de búfer son la forma más común de ataque DoS. En este tipo de exploit, el adversario dirige más tráfico a una dirección de red del que el sistema es capaz de procesar. Esto hace que la máquina consuma todos los búferes disponibles, que son regiones de almacenamiento de memoria que contienen datos temporalmente mientras se transfieren dentro de la red. Un desbordamiento de búfer ocurre cuando el volumen de datos excede todo el ancho de banda disponible, incluido el espacio en disco, la memoria o la CPU, lo que genera un rendimiento lento y fallos del sistema. | Desbordamiento de pila: el tipo más común de ataque de desbordamiento de búfer, en el que un programa de ordenador intenta utilizar espacio de memoria en la pila de llamadas que se le ha asignado. Anula los límites en los que se encuentra el búfer. Desbordamiento de Unicode: crea un desbordamiento de búfer a través de Unicode, donde se puede crear cualquier carácter. El ataque entra en juego cuando se inserta Unicode en una entrada ASCII esperada. Unicode y ASCII son estándares de codificación. Permiten que los ordenadores representen texto. |
| 2. Ataques de inundación | Los ataques de inundación ocurren cuando el sistema recibe demasiado tráfico para que el servidor lo pueda administrar, lo que provoca que se ralentice y posiblemente se detenga. | Inundaciones ICMP: comúnmente llamadas ataques pitufo (Smurf) o de ping, explotan dispositivos de red mal configurados. En estos ataques, el adversario envía paquetes falsificados —o direcciones IP falsas— que hacen "ping" a cada dispositivo de la red objetivo sin esperar una respuesta. A medida que la red gestiona el aumento del tráfico, el sistema se ralentizará y posiblemente se detenga. Inundación SYN: envía una solicitud de conexión a un servidor, pero nunca completa el "apretón de manos" metafórico con el host. Estas solicitudes continúan inundando el sistema hasta que todos los puertos abiertos están saturados, sin dejar vías de acceso disponibles para usuarios legítimos. |
¿Cómo puedes identificar un ataque DoS?
Cualquier usuario de la red puede observar los signos de un ataque DoS. Algunos indicadores comunes son:
- Rendimiento lento de la red para tareas habituales, como descargar/cargar archivos, iniciar sesión en una cuenta, acceder a un sitio web o transmitir contenido de audio o vídeo.
- Incapacidad de acceder a recursos en línea, incluidos sitios web o cuentas basadas en la web, como cuentas bancarias, carteras de inversión, materiales educativos o registros de salud.
- Una interrupción o pérdida de conectividad de varios dispositivos en la misma red.
Desafortunadamente, para la mayoría de los usuarios del sistema, los síntomas de un ataque DoS a menudo se parecen a problemas básicos de conectividad de red, mantenimiento rutinario o un simple aumento en el tráfico web, lo que lleva a muchos a ignorar el problema.
DoS vs. DDoS
La principal diferencia entre un ataque de denegación de servicio distribuido (DDoS) y un ataque DoS es el origen del ataque. DDoS es un ataque orquestado lanzado desde múltiples ubicaciones por varios sistemas simultáneamente, mientras que un ataque DoS es de naturaleza singular.
Normalmente, un ataque DDoS se considera más sofisticado y representa una amenaza mucho mayor para las organizaciones porque aprovecha múltiples dispositivos en una variedad de geografías, lo que hace que sea más difícil de identificar, rastrear y neutralizar. Lo más común es que los atacantes DDoS aprovechen una red de bots (una red de ordenadores o dispositivos comprometidos que son supervisados por un canal de comando y control [C&C]) para llevar a cabo este tipo de ataque sincronizado.
¿Cómo se puede reducir el riesgo de un ataque DoS?
Robin Jackson, consultor principal de CrowdStrike, ofreció a las organizaciones los siguientes consejos para prevenir, detectar y corregir ciberataques, incluidos los ataques DoS. Algunos de los consejos que menciona en la publicación del blog incluyen:
- Establecer una formación consistente e integral para los empleados sobre cómo reconocer indicadores de ataques comunes y promover una actividad responsable en línea.
- Verificar los intentos de extorsión cuando el adversario amenace con ataques DoS masivos. Un socio de ciberseguridad podría ayudar a la organización a investigar rápidamente la amenaza y evaluar su capacidad para interrumpir las operaciones, lo que podría ahorrarle a la organización una cantidad significativa de dinero en caso de que la amenaza no sea creíble.
- Realizar ejercicios de simulación teórica y pruebas de penetración de rutina para mejorar las capacidades de prevención mediante la identificación de debilidades en la arquitectura de la red.
- Segregar las copias de seguridad para evitar la enumeración si el ransomware comienza a cifrar.
- Cifrar datos confidenciales cuando estén en reposo y en movimiento para reducir el riesgo de pérdida, fuga o robo de datos.
- Garantizar la mejor instrumentación para mejorar la visibilidad de la red.
- Crear un plan de comunicaciones para que tu empresa pueda gestionar las consultas de los medios, las preguntas de los clientes y otros asuntos de las partes interesadas de forma rápida y clara.
- Contactar a las autoridades policiales para que tengan más información sobre los ciberdelincuentes y sus tácticas y procedimientos.
Más información
Descubre cómo la plataforma CrowdStrike Falcon® ayudó a identificar un ataque DoS que afectó a varios sitios web.
Leer: Honeypots de Docker comprometidos usados en ataque DoS
Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.
