Representación digital de "Ataques DDoS: Qué es / Modos Defensa", mostrando el término "DDoS" en luces rojas sobre un fondo de cuadrícula digital. La imagen ilustra el concepto de ataques de denegación de servicio distribuido.
Descubre qué son los ataques DDoS, cómo funcionan y cómo protegerte de ellos. Aprende sobre las estrategias de defensa más efectivas para garantizar la seguridad de tu infraestructura online.
Blog CCNA
·13 Minutos de lectura

Ataques DDoS: Qué es, Modos de Defensa y Contramedidas

Inicio
Blog CCNA

En los ataques DoS y DDoS, agentes externos envían intencionalmente a un sistema objetivo más solicitudes de las que puede manejar, saturando sus recursos y causando una interrupción del servicio. A continuación, las acciones a tomar para fortalecer tu posición de seguridad.

Ataques DoS y DDoS: Qué son y cómo funcionan

Contrariamente a lo que se pueda pensar en un primer acercamiento a este tema, el acrónimo DoS, que proviene del inglés, expresa simplemente un aspecto trivial pero de una complejidad desconsiderada: Denial of Service, es decir, «denegación de servicio«.

Con el tiempo, este significado se ha enriquecido con contenidos muy precisos y complejos, y hoy este término expresa inequívocamente un ataque donde agentes externos envían intencionalmente a un sistema objetivo (dispositivos de red, sistemas operativos o servicios individuales) más solicitudes de las que este puede satisfacer.

Esta forma de ataque es particularmente efectiva cuando un sistema debe gestionar solicitudes provenientes de diferentes botnets (red de computadoras, usualmente PCs, controlada por un botmaster y compuesta por dispositivos infectados con un malware específico, llamados bots o zombis), creando así un ataque DDoS, es decir, un ataque DoS «a gran escala».

Distributed Denial of Service o DDoS

Ilustración de un ataque DDoS. Un candado abierto se destaca entre candados cerrados sobre un fondo oscuro, con una franja roja que indica "¡Ataque DDoS!". La imagen simboliza la vulnerabilidad y el riesgo de los ataques DDoS.
Un solo candado abierto representa la brecha de seguridad que permite un ataque DDoS, inundando un sistema con tráfico malicioso. ¿Estás preparado?

Con «Distributed Denial of Service» (DDoS) se indica, por lo tanto, una forma común de ataque DoS, en la que los ataques no provienen de un único dispositivo, sino que los sistemas objetivo son «estresados» con más solicitudes provenientes de diferentes ordenadores (u otros dispositivos) pertenecientes a una botnet más amplia.

Es natural que con una red de este tipo, entre los ordenadores se genere mucho más tráfico que con los simples ataques DoS que, como se ha dicho, se ejecutan desde una única máquina.

Los ataques DDoS son, por lo tanto, considerables y existen pocas posibilidades de encontrar el origen real de los ataques. De hecho, para la creación de este tipo de botnets se necesitan softwares específicos que se colocan en red en ordenadores poco protegidos, sin el conocimiento de los administradores, y se gestionan centralmente.

Por lo general, la propagación de este tipo de virus latentes se planifica meses antes de que se produzca el ataque DDoS en sí.

Tipos de Ataque DDoS

El término DDoS abarca una amplia gama de tipos de ataque realizados con esta técnica. Podemos mencionar ataques:

  • Basados en volumen
  • De protocolo
  • De aplicación (considerados los tipos de ciberataques más sofisticados y peligrosos)

A diferencia de otras acciones dañinas, el objetivo principal de los ataques DDoS no es infiltrarse en el sistema, sino bloquear un sistema de entrada para desviar la atención del ataque hacia otro sistema. Al disminuir la capacidad de reacción de un servidor, los atacantes pueden manipular las solicitudes enviadas al sistema sobrecargado, apuntando a:

  • Saturación de ancho de banda
  • Sobrecarga de los recursos del sistema
  • Explotación de errores en el software

Saturación del Ancho de Banda

La sobrecarga del ancho de banda tiene como objetivo hacer que una computadora sea inalcanzable. En este caso, los ataques DoS y DDoS se dirigen directamente a la red y a los dispositivos conectados. Por ejemplo, un router solo puede procesar una cierta cantidad de datos simultáneamente, y si este volumen de datos se utiliza completamente por un ataque, los servicios que ofrece dejan de estar disponibles para otros usuarios.

Sobrecarga de los Recursos del Sistema

Si un ataque DDoS apunta a los recursos del sistema, los hackers aprovechan el hecho de que un servidor web solo puede establecer un número limitado de conexiones. Si este número se alcanza con el envío de solicitudes sin sentido o no válidas, los servicios proporcionados por el servidor quedarán bloqueados para los usuarios «normales»: en este caso, se habla de flooding (inundación).

Explotación de Errores en el Software

Conociendo determinadas fallas de seguridad de un sistema operativo o de un programa, se pueden lanzar ataques DoS y DDoS para que las solicitudes provoquen errores en el software y consecuentes bloqueos del sistema.

Cómo se Construye un Ataque DDoS

Es evidente que cualquiera que quiera lanzar un ataque de este tipo necesita los recursos de hardware necesarios para saturar un servicio web de una institución financiera o un sitio de streaming. Sin embargo, la red puede suplir esta falta, dando al atacante la posibilidad de utilizar una botnet.

Una botnet es una red de computadoras infectadas con un malware, generalmente un virus o un gusano. El malware da acceso al hacker a ciertas funciones de las computadoras conectadas a la botnet y le permite utilizarlas, por ejemplo, para enviar solicitudes de conexión al servidor de un sitio web.

Si la botnet está compuesta por muchos terminales comprometidos (llamados zombis), el ataque DDoS puede fácilmente saturar el ancho de banda incluso de los sitios web más grandes y estructurados. Además, el virus que inserta la computadora en la botnet está diseñado para detectar automáticamente los contactos del usuario y propagarse a través de aplicaciones de mensajería instantánea o correo electrónico.

Para lograr su objetivo, es decir, hacer inaccesible el servicio atacado, el atacante necesita un punto de ataque adecuado dentro del sistema o de la red de la víctima. Una vez que se encuentra una puerta trasera con estas características, puede enviar los comandos necesarios a los bots para llevar a cabo los ataques DDoS.

Propagación de los Ataques DDoS

Casi todos los ataques DDoS se dirigen a grandes empresas. Los motivos por los que algunos servicios web son atacados son variados: chantaje, activismo, competencia desleal. Básicamente, los ataques DDoS son casi exclusivamente un problema de las grandes empresas que prestan servicios o venden productos online.

Básicamente, los ataques DDoS son casi exclusivamente un problema de las grandes empresas que prestan servicios o venden productos online. Si quisiéramos recrear un historial de los ataques más famosos en este ámbito, seguramente tendríamos que remontarnos a 2013 y a lo que pasó a la historia como el ataque «Spamhaus«.

En el punto de mira de los hackers, o mejor dicho, spammers, se encontraba la organización internacional Spamhaus, líder en la provisión de herramientas antispam. Se ha definido como uno de los mayores DDoS de la historia, según los expertos en la materia para la época en que ocurrió.

Los mayores ataques se dirigieron a todos los servidores de Spamhaus. El ciberataque apuntaba directamente a los servidores y a los centros de datos, inundándolos de falsas solicitudes de acceso a velocidad duplicada. De esta manera, los servidores, al no poder seguir el ritmo, resultaron inaccesibles. En el caso de Spamhaus, se estimó una potencia de ataque de aproximadamente 300 GB por segundo.

En un período más reciente, durante 2017, podemos recordar otro ataque muy importante contra DynDNS, un conocido servicio de DNS dinámicos, que provocó el mal funcionamiento de varios de los servicios online más difundidos y populares.

Las consecuencias del ataque fueron más graves, sobre todo en la costa este de Estados Unidos, pero con una larga cola también en Europa. ¿El origen? Millones de dispositivos IoT (Internet of Things), como DVR o cámaras de vigilancia, que enviaron paquetes de datos a una velocidad total insostenible para las infraestructuras del servicio.

Ver también

Este episodio es interesante porque en este ataque estuvieron involucrados durante varias horas sitios y servicios importantísimos como Twitter, Amazon, Tumblr, Reddit, Spotify y Netflix, PayPal, con navegadores que no podían resolver la URL y, por lo tanto, garantizar el acceso a los usuarios, pero sobre todo porque el ataque fue vehiculado principalmente por grabadoras de vídeo digitales y cámaras IP de un fabricante chino y no por ordenadores o servidores comunes.

La empresa china en cuestión fabrica y vende componentes a fabricantes de terceros, que luego se integran en productos comercializados al público en general. En este caso, fue posible convertir en una botnet toda una línea de productos que apuntó y paralizó durante varias horas los Estados Unidos de América.

El ataque fue interesante, por lo tanto, por el tipo de medio utilizado para lanzar el ataque y lo que se desarrollaría en los años siguientes utilizando routers, bombillas, hornos, e incluso frigoríficos con navegadores integrados, como dispositivos de ataque sin el conocimiento de los propietarios.

El último ataque DDoS que recordamos, en orden cronológico y de extrema relevancia, lanzado contra el proveedor de servicios en la nube más importante del mundo, se remonta a febrero de 2020 y se dirigió a Amazon Web Services. Sólo gracias a la rapidez y a las capacidades del servicio AWS Shield, el servicio creado por los programadores de Amazon precisamente para proteger contra este tipo de ataques, se pudo evitar un ataque DDoS de 2,3 Tbps, el mayor y más complejo registrado hasta ahora.

Cómo Defenderse de un Ataque DDoS

Un profesional sostiene una representación digital de un "Ataque DDoS", rodeado de iconos de seguridad y alertas. La imagen ilustra la defensa y prevención contra ataques DDoS.
Protege tu infraestructura contra ataques DDoS con estrategias de seguridad sólidas. Descubre las mejores prácticas para la defensa y prevención.

Si un sitio web que te interesa es objeto de un ataque DDoS, como usuario tienes pocas posibilidades de intervenir. Solo los administradores del sistema podrán mitigar los efectos de un intento de desestabilizar el entorno informático bajo su control. Hay varias contramedidas, más o menos eficaces, que se pueden implementar:

  • Sinkholing: En caso de ataque, esta técnica desvía todo el tráfico hacia un callejón sin salida, para preservar la estabilidad y la funcionalidad de los recursos informáticos. Su punto débil es que hace inaccesible el recurso, desviando tanto el tráfico legítimo como el ilícito, pero al menos salva la infraestructura informática (tanto a nivel de hardware como de software) de daños irreparables.
  • Routers y firewalls: Antes de que un ataque alcance el objetivo, es posible contener el tráfico entrante de protocolos no esenciales y de direcciones IP no válidas aplicando filtros a nivel de router y firewall. Sin embargo, en el caso de ataques más sofisticados (que utilizan diferentes niveles de protocolo de comunicación y numerosas direcciones de ataque simultáneamente), esta técnica resulta poco eficaz o incluso inútil.
  • Sistemas de detección de intrusiones: Algunos softwares instalados en servidores y sistemas de control de centros de datos pueden detectar cuándo se utilizan protocolos «legítimos» y esenciales para el funcionamiento del servicio para llevar a cabo un ataque. Si se integran con un firewall, pueden bloquear el tráfico relacionado con el protocolo malicioso detectado y evitar el ataque o, al menos, minimizar sus efectos.
  • Servidores: La configuración adecuada del servidor y de los servicios que aloja es uno de los mejores antídotos para mitigar los efectos de un ataque DDoS. Un administrador del sistema puede indicar qué recursos puede utilizar un servicio y cómo puede responder a las solicitudes externas: de esta manera, en caso de un ataque de aplicación, los efectos no se repercutirán en todo el sistema informático, sino que se limitarán a dejar fuera de servicio solo el software objeto del ataque.
  • Sobrestimar las necesidades: Esta es probablemente la técnica defensiva más eficaz para defenderse de un ataque DDoS. Al sobreestimar los recursos que necesitará un determinado sistema informático, se podrá afrontar, sin grandes problemas, ataques que intenten saturar el ancho de banda o la capacidad de cálculo de un servidor o de un centro de datos. Al recurrir a una amplia red de distribución que se extienda a diferentes países, por ejemplo, se podrá afrontar un ataque dirigido a uno de los servidores o una sección de la red, simplemente desviando el tráfico excesivo a otros servidores «gemelos» situados incluso a gran distancia y no sometidos al ataque.

¿Es Posible Repeler y Reducir los Ataques DDoS?

Para contrarrestar la sobrecarga de los sistemas informáticos causada por los ataques DoS y DDoS, se han desarrollado diversas medidas de seguridad.

Entre las soluciones a emplear se encuentran la identificación de direcciones IP críticas y la resolución de vulnerabilidades de seguridad conocidas. Además, por regla general, sería mejor disponer de recursos de hardware y software con los que sea posible compensar los ataques de menor envergadura.

Identificar y mitigar los ataques DDoS puede ser un verdadero desafío, sobre todo porque los atacantes utilizan una combinación de diferentes ataques para frustrar a los equipos de seguridad, eludir la detección y maximizar los resultados.

Si quisiéramos encontrar 10 acciones concretas a emprender para fortalecer la posición de seguridad de nuestros sistemas frente a los ataques DDoS, seguramente podríamos proceder de la siguiente manera:

  1. Conocer el propio tráfico: utilizando herramientas de monitorización de la red y de las aplicaciones, se pueden identificar las tendencias del tráfico. Comprendiendo los patrones y las características de tráfico típicas de la propia realidad, es posible establecer una línea de base para identificar más fácilmente actividades inusuales sintomáticas de un ataque DDoS.
  2. Construir una estrategia defensiva: es conveniente considerar las directrices de evaluación de riesgos y analizarlas dando prioridad a la mitigación DDoS y a los esfuerzos de restauración del servicio en términos de continuidad del negocio, especialmente para la información relevante e indispensable para la empresa.
  3. Tener un plan B defensivo listo para comenzar: ser capaz de restaurar rápidamente las principales áreas geográficas y los servicios críticos para el negocio ante un ataque DDoS.
  4. Eliminar los obstáculos de aprobación y las barreras organizativas que podrían comprometer la agilidad del Centro de Operaciones de Seguridad (SOC) de la empresa: el tiempo es esencial cuando se responde a un ataque DDoS. Permitir a su equipo de seguridad implementar rápidamente las defensas sin una cadena de aprobadores.
  5. Incluir la ciberseguridad en la continuidad empresarial, la recuperación ante desastres y la planificación de respuesta ante emergencias: los ataques DDoS pueden ser tan devastadores para la empresa como un desastre natural y deberían formar parte integrante de los planes de reacción ante incidentes.
  6. Poner en práctica la seguridad por diseño: una sólida estrategia de defensa DDoS comienza con prácticas básicas online válidas. Por lo tanto, es necesario promover una cultura empresarial orientada a la seguridad y asegurarse de que los desarrolladores y los administradores de sistemas siguen las mejores prácticas en materia de ciberseguridad.
  7. Utilizar una combinación de mitigación automatizada y humana: los agresores evolucionan continuamente sus tácticas para evitar la detección y eludir las soluciones de seguridad. Por lo tanto, se necesita la combinación adecuada de personas, automatización y procesos para adelantarse a los malhechores y defenderse de ataques cada vez más sofisticados y en continua evolución.
  8. Considerar la implementación de un modelo de seguridad Zero Trust: un marco Zero Trust puede ayudar a proteger contra los ataques DDoS imponiendo el acceso con privilegios mínimos y garantizando que sólo los usuarios autorizados obtengan acceso a aplicaciones y servicios críticos.
  9. Involucrar a todos los proveedores y responsables del tratamiento para que estén preparados para afrontar los riesgos: colaborar de forma proactiva con los proveedores de servicios upstream para evaluar los riesgos de DDoS y desarrollar planes de preparación, restauración y continuidad empresarial es fundamental para ser reactivos en clúster.
  10. Probar, documentar y medir: incorporar los ataques DDoS en las pruebas de penetración para simular ataques complejos, identificar las vulnerabilidades y reforzar las defensas, estando preparados para cualquier eventualidad.

Se entiende, por lo tanto, que una vez más la mejor defensa es la prevención y la planificación para eludir los ataques DoS y DDoS utilizando el famoso plan B que todos deberíamos imponer a nuestras realidades.

Imagen digital con el texto "IP Spoofing: Peligro para tu red" sobre un fondo de código binario rojo. La imagen ilustra el concepto de suplantación de IP.
Anterior
IP Spoofing: Un Peligro Más para Tu Red
Una persona utiliza un ordenador portátil y parece interactuar con una interfaz digital que muestra iconos relacionados con la gestión de archivos y redes, con el texto "TOP SOFTWARE GRATIS DIAGRAMA DE RED" superpuesto.
Siguiente
Top Software Diagrama de Red: Programas Gratuitos