Guía completa sobre los ataques de denegación de servicio (DDoS)

Los ataques de denegación de servicio (DoS, por sus siglas en inglés) son el arma cibernética elegida tanto por actores amenazantes patrocinados por el estado como por jóvenes aficionados a la programación. Independientemente de quién los utilice, los ataques de denegación de servicio pueden ser especialmente disruptivos y dañinos para las organizaciones objetivo de los ciberdelincuentes. Desde 2018, la frecuencia y la potencia de los ataques DDoS han ido en aumento, lo que los convierte en un riesgo más potente para las organizaciones.

La hoja de ayuda de Newsmatic sobre ataques de denegación de servicio es una guía completa sobre este tema. Este artículo se actualiza periódicamente a medida que evolucionan las estrategias de ataque y mitigación. También está disponible para descarga gratuita en formato PDF.

Índice de Contenido
  1. ¿Qué es un ataque de denegación de servicio?
  2. ¿Qué tan sencillos de ejecutar y dañinos son los ataques DDoS?
  3. ¿Cuáles son los mayores ataques DDoS observados?
  4. ¿Cómo puedo protegerme contra un ataque DDoS?
  5. ¿Cómo puedo evitar participar en un ataque de denegación de servicio distribuido?

¿Qué es un ataque de denegación de servicio?

Un ataque de denegación de servicio (DoS) es una estrategia de ataque en la que un actor malintencionado intenta evitar que otras personas accedan a un servidor web, una aplicación web o un servicio en la nube inundándolo con solicitudes de servicio. Mientras que un ataque DoS es esencialmente de un origen, un ataque de denegación de servicio distribuido (DDoS) utiliza una gran cantidad de máquinas en diferentes redes para interrumpir a un proveedor de servicios en particular, lo que dificulta su mitigación, ya que el ataque se está llevando a cabo desde múltiples fuentes.

Después de un poderoso ataque DDoS contra la popular aplicación de mensajería segura Telegram, la compañía describió los ataques DDoS de manera colorida como un caso en el que "tus servidores reciben un MONTÓN de solicitudes basura que les impiden procesar solicitudes legítimas. Imagina que un ejército de lemmings se saltó la cola en McDonald's frente a ti, y cada uno de ellos pide un Whopper. El servidor está ocupado diciéndole a los lemmings de Whopper que vinieron al lugar equivocado, pero hay tantos que el servidor ni siquiera puede verte para tratar de tomar tu orden".

Típicamente, los ataques DDoS apuntan a la infraestructura de red, tratando de colapsar toda la pila de red. En cambio, los ataques de capa de aplicación se dirigen a funciones específicas de un sitio web dado, tratando de deshabilitar una característica específica al sobrecargar el proceso con un número excesivo de solicitudes.

Otros tipos de ataques DDoS incluyen los denominados "ataques smurf", que utilizan una gran cantidad de paquetes de Protocolo de Mensajes de Control de Internet (ICMP) con la dirección IP de la víctima falsificada para que aparezca como el origen.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

En general, los ataques DDoS pueden clasificarse como ataques de inundación, que tienen como objetivo sobrecargar los sistemas, o ataques de bloqueo, que intentan dejar inutilizable una aplicación o sistema.

¿Qué tan sencillos de ejecutar y dañinos son los ataques DDoS?

Ejecutar un ataque DDoS no requiere de habilidades particulares. "Un ataque DDoS no es un ataque sofisticado", dijo Matthew Prince, CEO y cofundador de Cloudflare, a Newsmatic en 2015, después de un ataque a Protonmail. "Es el equivalente funcional de un cavernícola con un garrote. Pero un cavernícola con un garrote puede hacer mucho daño".

Aunque es relativamente seguro asumir que los ataques DDoS de mayor potencia son obra de profesionales, estos son ataques que incluso un aficionado promedio puede lanzar con éxito sustancial. La industria de los ataques DDoS también ha dado lugar a servicios de "denegación de servicio como servicio", también conocidos como servicios de "booter" o "stresser", que permiten a los usuarios realizar un ataque DDoS contra cualquier objetivo arbitrario a cambio de un pago.

Debido a la facilidad con la que se pueden lanzar ataques DDoS, pueden ser utilizados por cualquier persona, desde hackers patrocinados por el estado con financiamiento hasta adolescentes con rencor hacia alguien.

Para las empresas, los daños potenciales derivados de una interrupción son diversos. Ya sea a través de pérdidas de ventas, un golpe a la reputación por experimentar tiempo de inactividad o costos relacionados con la cantidad excesiva de tráfico de red, los problemas potenciales derivados de los ataques DDoS son demasiado importantes para ignorarlos. Estos riesgos generan la necesidad de medidas de mitigación proactivas antes de que se lance un ataque.

¿Cuáles son los mayores ataques DDoS observados?

Principalmente, los ataques de denegación de servicio afectan al anfitrión conectado a Internet que es objetivo del atacante. En la práctica, esto afecta a la empresa que es objetivo de los atacantes, así como a los usuarios del servicio que esa empresa proporciona. Cualquier organización puede ser objeto de un ataque de denegación de servicio, ya que, debido a su efectividad y a la relativa facilidad con la que se pueden utilizar, a menudo se despliegan contra organizaciones más pequeñas con gran efectividad.

Cómo proteger tu computadora de los virus: métodos y consejos

En febrero de 2018, se observaron varios ataques DDoS récord utilizando una vulnerabilidad en el protocolo memcached, aprovechando las fallas en el protocolo de datagramas de usuario (UDP). Los informes iniciales del proveedor de CDN Cloudflare observaron 260 Gbps de tráfico entrante generado en ataques DDoS impulsados por memcached. Un día después, los ataques impulsados por memcached alcanzaron velocidades máximas de 1,35 Tbps en GitHub. En marzo de 2018, Arbor Networks de NETSCOUT confirmó un ataque DDoS de 1,7 Tbps realizado contra uno de sus clientes.

Esos ataques récord de DDoS en 2018 palidecen en comparación con el último ataque masivo de DDoS que afectó a Amazon's AWS en febrero de 2020, que alcanzó la impresionante cifra de 2,3 Tbps. Amazon logró mitigar el ataque utilizando su software de protección DDoS de Amazon Shield.

Estos ataques son iniciados por un servidor que falsifica su dirección IP -especificando la dirección del objetivo como la dirección de origen- y envía un paquete de solicitud de 15 bytes. Este paquete de solicitud es respondido por un servidor de memcached vulnerable con respuestas que varían entre 134 KB y 750 KB. La disparidad de tamaño entre la solicitud y la respuesta, hasta 51.200 veces más grande, es lo que hace que los ataques de amplificación sean tan efectivos. Cuando se descubrió la vulnerabilidad de memcached, se encontraron 88.000 servidores no protegidos desde los que se podían lanzar ataques y que estaban conectados a Internet.

Es importante destacar que el ataque de 260 Gbps en Cloudflare se observó a un máximo de 23 millones de paquetes por segundo; debido a las propiedades de amplificación, se necesitaban relativamente pocos paquetes para llevar a cabo el ataque, pero con un ancho de banda relativamente alto. En 2019, Imperva observó un ataque DDoS que superó los 500 millones de paquetes por segundo, cuatro veces más que el ataque a GitHub, lo que ejerce mucha más presión sobre los sistemas de mitigación, ya que normalmente inspeccionan los encabezados de cada paquete, aunque normalmente no el contenido completo.

Muchos ataques DDoS utilizan botnets de dispositivos comprometidos, especialmente dispositivos de Internet de las cosas (IoT). La botnet Mirai se ha utilizado para afectar enrutadores y dispositivos IoT, y se utilizó para atacar al proveedor de servicios DNS administrado Dyn, causando interrupciones que afectaron a casi una cuarta parte de Internet. De manera similar, Mirai se utilizó en un ataque que dejó sin servicios de Internet a toda Liberia.

Los ataques DDoS están experimentando un resurgimiento, ya que los ataques aumentaron un 94% en el primer trimestre de 2019, según un informe de Kaspersky Lab. Del mismo modo, los ataques superiores a 100 Gbps aumentaron un 967% en el primer trimestre de 2019 en comparación con el primer trimestre de 2018, según un informe de Neustar.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En un informe publicado en enero de 2021, Akamai informó que 2020 fue el año con más ataques DDoS registrados, superando los máximos establecidos en 2016. Los servicios empresariales experimentaron un aumento del 960% en los ataques DDoS en 2020, y otras industrias también fueron afectadas: los ataques DDoS contra minoristas y bienes de consumo aumentaron un 445%, los servicios financieros experimentaron un aumento del 190%, y los servicios de software y tecnología fueron atacados un 196% más en 2020, entre otros.

Akamai dijo que 2020 experimentó un gran aumento debido a que las restricciones de COVID-19 aumentaron la dependencia de las herramientas digitales, y predijo que 2021 y los años posteriores verán una tendencia creciente en el número y la gravedad de los ataques DDoS.

También en 2020, apareció una tendencia de amenazar a las empresas con ataques DDoS si no se pagaba un rescate, con los demandantes de rescate haciéndose pasar por conocidos grupos de piratas informáticos como Fancy Bear, Lazarus Group y Armada Collective. Los rescates comenzaron en 20 Bitcoins y aumentaron en 10 BTC cada día que el rescate no se pagaba. Cada empresa objetivo informó que eventualmente fue objeto de un ataque DDoS, lo que indica que los atacantes son serios. Los ataques amenazaban con superar los 2 Tbps, pero los ataques reales informados estuvieron en el rango de los 300 Gbps, lo que aún puede ser devastador.

¿Cómo puedo protegerme contra un ataque DDoS?

Existen formas de mitigar los efectos de los ataques DDoS, permitiendo que los sistemas objetivo continúen operando normalmente para los usuarios, de manera transparente, como si no hubiera ningún ataque en curso.

El primer paso es separar a los usuarios legítimos del tráfico generado programáticamente utilizado en los ataques DDoS. Esto se puede hacer utilizando filtrado de direcciones IP, verificación del estado de las cookies/sesiones y huellas dactilares del navegador, entre otros métodos.

Las estrategias de filtrado de tráfico incluyen el seguimiento de conexiones, la limitación de velocidad, la inclusión o exclusión de tráfico en listas negras o listas blancas. La mitigación manual de DDoS puede ser derrotada por atacantes avanzados que despliegan ataques en etapas y vuelven a montar el ataque desde un conjunto de dispositivos diferentes cuando las conexiones son rechazadas desde los sistemas utilizados en la primera etapa del ataque.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

La mitigación de DDoS basada en la nube está disponible a través de proveedores como AWS, Cloudflare, Imperva, Akamai, Radware, Coreo y Arbor Networks. Uno de los métodos utilizados por estos proveedores incluye el seguimiento de direcciones IP en sitios web protegidos por un servicio determinado para diferenciar a los usuarios legítimos del tráfico generado.

¿Cómo puedo evitar participar en un ataque de denegación de servicio distribuido?

Las pequeñas y medianas empresas y las redes domésticas pueden no ser el objetivo frecuente de ataques DDoS, pero existe la posibilidad de que una seguridad de red deficiente pueda provocar que los enrutadores, computadoras y dispositivos IoT se conviertan involuntariamente en nodos de botnet utilizados para lanzar ataques DDoS contra objetivos de nivel empresarial.

El malware VPNFilter, por ejemplo, se utilizó para infectar 500,000 enrutadores en todo el mundo, incluidos dispositivos fabricados por ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, UPVEL y ZTE, así como dispositivos de almacenamiento en red (NAS) de QNAP. Los informes iniciales indicaron que reiniciar el enrutador era suficiente para eliminar la infección, pero actualizaciones posteriores encontraron que eso no era suficiente, recomendando que los usuarios reinstalen el firmware también.

"Una de las fuentes de crecimiento más rápido de los ataques DDoS son actualmente los dispositivos IoT comprometidos reclutados en enormes botnets. Las organizaciones que utilizan este tipo de dispositivos deben adoptar las mejores prácticas para actualizar el software a las últimas versiones y asegurarse de tener una buena higiene de contraseñas, ya que muchos dispositivos se envían con valores predeterminados comunes", dijo Sean Newman, director de gestión de productos de Coreo, a Newsmatic. "El otro objetivo común es la infraestructura de DNS que se utiliza para amplificar ataques DDoS. Cualquier organización con sus propios servidores DNS debe asegurarse de seguir las mejores prácticas en cuanto a monitoreo y seguridad, para evitar que sean mal utilizados para atacar a otros".

La hoja de ayuda de Newsmatic sobre botnets incluye una descripción de qué buscar para ver si su dispositivo está infectado, así como los pasos que puede seguir para evitar que su hardware sea secuestrado.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Guía completa sobre los ataques de denegación de servicio (DDoS) , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.