Significado de ataque DDoS
Ataque DDoS significa «Ataque Distribuido de Denegación de Servicio (DDoS)» y es un ciberdelito en el que el atacante inunda un servidor con tráfico de Internet para impedir que los usuarios accedan a los servicios y sitios en línea conectados.
Las motivaciones para llevar a cabo un DDoS varían ampliamente, al igual que los tipos de individuos y organizaciones deseosos de perpetrar esta forma de ciberataque. Algunos ataques son llevados a cabo por individuos descontentos y hacktivistas que desean derribar los servidores de una empresa simplemente para hacer una declaración, divertirse explotando la debilidad cibernética o expresar su desaprobación.
Otros ataques de denegación de servicio distribuido tienen motivaciones económicas, como cuando un competidor interrumpe o cierra las operaciones en línea de otra empresa para robarle negocio mientras tanto. Otros implican extorsión, en la que los perpetradores atacan a una empresa e instalan hostageware o ransomware en sus servidores, y luego les obligan a pagar una gran suma económica para que se reviertan los daños.
Los ataques DDoS van en aumento, e incluso algunas de las mayores empresas mundiales no son inmunes a los ataques DDoS. El mayor ataque de la historia se produjo en febrero de 2020 a nada menos que Amazon Web Services (AWS), superando un ataque anterior a GitHub dos años antes. Las ramificaciones de los ataques DDoS incluyen una caída del tráfico legítimo, pérdida de negocio y daños a la reputación.
A medida que la Internet de las Cosas (IoT) sigue proliferando, al igual que el número de empleados remotos que trabajan desde casa conectados desde su router, también lo hará el número de dispositivos conectados a una red. La seguridad de cada dispositivo IoT puede no seguir necesariamente el ritmo, dejando la red a la que está conectado vulnerable a los ataques. Por ello, la importancia de la protección y mitigación DDoS es crucial.
Cómo funcionan los ataques DDoS
Un ataque DDoS tiene como objetivo saturar los dispositivos, servicios y red de su objetivo con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
DoS vs. DDoS
Un ataque distribuido de denegación de servicio es una subcategoría del ataque más general de denegación de servicio (DoS). En un ataque DoS, el atacante utiliza una única conexión a Internet para bombardear un objetivo con peticiones falsas o para intentar explotar una vulnerabilidad de ciberseguridad. El DDoS es de mayor escala. Utiliza miles (incluso millones) de dispositivos conectados para cumplir su objetivo. El gran volumen de dispositivos utilizados hace que el DDoS sea mucho más difícil de combatir.
Botnets
Las redes de bots son la principal forma de llevar a cabo ataques distribuidos de denegación de servicio (DDoS). El atacante piratea ordenadores u otros dispositivos e instala un fragmento de código malicioso, o malware, denominado bot. Juntos, los ordenadores infectados forman una red denominada botnet. A continuación, el atacante ordena a la botnet que sature los servidores y dispositivos de la víctima con más solicitudes de conexión de las que pueden gestionar.
Qué es un ataque DDoS: Síntomas del ataque y cómo identificarlo
Uno de los mayores problemas a la hora de identificar un ataque DDoS es que los síntomas no son inusuales. Muchos de los síntomas son similares a los que los usuarios de tecnología encuentran todos los días, incluyendo velocidades lentas de carga o descarga, el sitio web no está disponible para ver, una conexión a Internet caída, medios y contenidos inusuales, o una cantidad excesiva de spam.
Además, un ataque DDoS puede durar desde unas horas hasta unos meses, y el grado de ataque puede variar.
Tipos de ataques DDoS
Diferentes ataques se dirigen a diferentes partes de una red, y se clasifican según las capas de conexión de red a las que se dirigen. Una conexión en Internet se compone de siete «capas» diferentes, definidas por el modelo de Interconexión de Sistemas Abiertos (OSI) creado por la Organización Internacional de Normalización. Este modelo permite que distintos sistemas informáticos puedan «hablar» entre sí.
Ataques basados en el volumen o volumétricos
Este tipo de ataque pretende controlar todo el ancho de banda disponible entre la víctima e Internet. La amplificación del sistema de nombres de dominio (DNS) es un ejemplo de ataque basado en el volumen. En este escenario, el atacante falsifica la dirección del objetivo y envía una solicitud de búsqueda de nombre DNS a un servidor DNS abierto con la dirección falsificada.
Cuando el servidor DNS envía la respuesta del registro DNS, la envía en su lugar al objetivo, con lo que el objetivo recibe una amplificación de la consulta inicialmente pequeña del atacante.
Ataques de protocolo
Los ataques de protocolo consumen toda la capacidad disponible de los servidores web u otros recursos, como los cortafuegos. Exponen debilidades en las Capas 3 y 4 de la pila de protocolos OSI para hacer inaccesible el objetivo.
Una inundación SYN es un ejemplo de ataque de protocolo, en el que el atacante envía al objetivo un número abrumador de solicitudes de protocolo de control de transmisión (TCP) con direcciones IP de origen falsificadas. Los servidores atacados intentan responder a cada solicitud de conexión, pero el apretón de manos final nunca se produce, abrumando al objetivo en el proceso.
Ataques en la capa de aplicación
Estos ataques también pretenden agotar o saturar los recursos del objetivo, pero son difíciles de identificar como maliciosos. A menudo denominado ataque DDoS de Capa 7, en referencia a la Capa 7 del modelo OSI, un ataque de capa de aplicación se dirige a la capa en la que se generan las páginas web en respuesta a las solicitudes del Protocolo de Transferencia de Hipertexto (HTTP).
Un servidor ejecuta consultas a la base de datos para generar una página web. En esta forma de ataque, el atacante fuerza al servidor de la víctima a manejar más de lo que normalmente hace. Una inundación HTTP es un tipo de ataque de capa de aplicación y es similar a refrescar constantemente un navegador web en diferentes ordenadores a la vez. De esta forma, el número excesivo de peticiones HTTP abruma al servidor, lo que da lugar a un DDoS.
Prevención de ataques DDoS
Incluso sabiendo lo que es un ataque DDoS, es extremadamente difícil evitar los ataques porque la detección es todo un reto. Esto se debe a que los síntomas del ataque pueden no variar mucho de los problemas típicos del servicio, como la carga lenta de páginas web, y el nivel de sofisticación y complejidad de las técnicas DDoS sigue creciendo.
Además, muchas empresas acogen con satisfacción un aumento del tráfico en Internet, especialmente si la empresa ha lanzado recientemente nuevos productos o servicios o ha anunciado noticias que afectan al mercado. Como tal, la prevención no siempre es posible, por lo que es mejor que una organización planifique una respuesta para cuando se produzcan estos ataques.
Mitigación de DDoS
Una vez que se sospecha de un ataque, una organización tiene varias opciones para mitigar sus efectos.
Evaluación de riesgos
Las organizaciones deben realizar periódicamente evaluaciones de riesgos y auditorías en sus dispositivos, servidores y red. Aunque es imposible evitar por completo un DDoS, un conocimiento profundo tanto de los puntos fuertes como de las vulnerabilidades de los activos de hardware y software de la organización puede ayudar mucho. Conocer los segmentos más vulnerables de la red de una organización es clave para entender qué estrategia implementar para disminuir el daño y la interrupción que un ataque DDoS puede imponer.
Diferenciación del tráfico
Si una organización cree que acaba de ser víctima de un DDoS, una de las primeras cosas que debe hacer es determinar la calidad o el origen del tráfico anómalo. Por supuesto, una organización no puede cortar el tráfico por completo, ya que esto sería perjudicar por completo toda la organización para contrarestar ese ataque.
Como estrategia de mitigación, utilice una red Anycast para dispersar el tráfico de ataque a través de una red de servidores distribuidos. Esto se realiza para que el tráfico sea absorbido por la red y sea más manejable.
Enrutamiento por agujero negro
Otra forma de defensa es el enrutamiento de agujero negro, en el que un administrador de red, o el proveedor de servicios de Internet de una organización, crea una ruta de agujero negro y empuja el tráfico hacia ese agujero negro. Con esta estrategia, todo el tráfico, tanto bueno como malo, se enruta a una ruta nula y se elimina de la red. Esto puede ser bastante extremo, ya que el tráfico legítimo también se detiene y puede conducir a la pérdida de negocio.
Limitación de velocidad
Otra forma de mitigar los ataques DDoS es limitar el número de peticiones que un servidor puede aceptar dentro de un marco de tiempo específico. Esto por sí solo no suele ser suficiente para luchar contra un ataque más sofisticado, pero puede servir como componente de un enfoque múltiple.
Cortafuegos
Para reducir el impacto de un ataque de capa de aplicación o capa 7, algunas organizaciones optan por un cortafuegos de aplicaciones Web (WAF). Un WAF es un dispositivo que se sitúa entre Internet y los servidores de una empresa y actúa como proxy inverso. Como con todos los cortafuegos, una organización puede crear un conjunto de reglas que filtren las peticiones. Pueden empezar con un conjunto de reglas y luego modificarlas en función de lo que observen como patrones de actividad sospechosa llevada a cabo por el DDoS.
Solución de protección DDoS
Una solución de protección DDoS totalmente robusta incluye elementos que ayudan a una organización tanto en la defensa como en la supervisión. Como el nivel de sofisticación y complejidad de los ataques sigue evolucionando, las empresas necesitan una solución que pueda ayudarles tanto con los ataques conocidos como con los desconocidos.
Una solución de protección DDoS debe emplear una gama de herramientas que puedan defender contra cada tipo de ataque DDoS y supervisar cientos de miles de parámetros simultáneamente.
Preguntas frecuentes
¿Qué es un ataque DDoS?
Ataque DDoS significa «ataque distribuido de denegación de servicio (DDoS)» y es un ciberdelito en el que el atacante inunda un servidor con tráfico de Internet para impedir que los usuarios accedan a los servicios y sitios en línea conectados.
¿Cuándo funciona un ataque DDoS?
Un ataque DDoS tiene como objetivo saturar los dispositivos, servicios y red de su objetivo con tráfico de Internet falso, haciéndolos inaccesibles o inútiles para los usuarios legítimos.
¿Qué es un ejemplo de ataque DDoS?
Diferentes ataques se dirigen a diferentes partes de una red, y se clasifican según las capas de conexión de red a las que se dirigen. Los tres tipos incluyen:
1. Ataques basados en el volumen o volumétricos.
2. Ataques de protocolo.
3. Ataques a la capa de aplicación.
Ingeniero informático de profesión y curioso por naturaleza. Me apasiona programar y gestionar hardware.
También soy un apasionado de las nuevas tecnologías y el marketing digital. Me encanta crear webs y redactar artículos con el objetivo de ofrecer el mejor contenido posible al lector.