Ataques DDoS: Qué son, cómo identificarlos y cómo prevenirlos
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
En la actualidad, muchas pymes y startups se valen del uso de sitios web para llevar a cabo operaciones comerciales, para crear foros de interacción o simplemente para publicar información sobre sí mismas. Por ello, las páginas y aplicaciones web son activos de gran importancia para las empresas, lo cual las hace blancos para hackers malintencionados.
Entre los ataques que usualmente afectan a los servicios online se encuentran los ataques DDoS. A continuación, te explicaremos qué son, cómo identificarlos y cómo mitigarlos.
¿Qué es un ataque DDoS? Ataque de Denegación de Servicio
Un ataque de denegación de servicio distribuido o distributed denial of service (DDoS) es un tipo de ciberataque en el cual se busca aumentar, de forma desproporcionada, el volumen de tráfico o cantidad de solicitudes a un sitio web o servidor.
Para comprender cómo funcionan los ataques de denegación de servicio distribuido, es necesario considerar que todos los servidores, sitios web y aplicaciones tienen una cantidad limitada de solicitudes que pueden manejar a la vez. Adicionalmente, la conexión a Internet tiene un límite en la cantidad de datos que puede transmitir en un momento dado, a lo que llamamos ancho de banda.
Por ello, para llevar a cabo este tipo de ataque, los cibercriminales primero crean una botnet infectando una red de dispositivos para que lancen solicitudes a un servidor de manera masiva y sincronizada. Así, una persona puede enviar suficientes solicitudes para hacer que colapse un servidor y que su servicio se haga considerablemente más lento o que simplemente sea incapaz de dar respuesta.
El objetivo del ataque DDoS es desestabilizar e interrumpir el funcionamiento normal de plataformas, páginas web o servidores. Esto compromete directamente la ciberseguridad del proveedor de servicios (es decir, la empresa que posee el servidor web), ya que en algunos casos permite a los hackers tomar el control de computadoras u otros dispositivos de forma remota.
Generalmente, los ataques DDoS son realizados por ciberdelincuentes con fines malintencionados. Los blancos más usuales son sitios de compras online y sitios que ofrecen servicios online (entre ellos, redes sociales como WhatsApp o servicios de entretenimiento como Netflix), pero cualquier empresa que tenga un servidor o página web puede sufrir este tipo de ataque.
Sin embargo, estos ataques no solo son utilizados para sabotear servidores. En una compañía, el administrador de los servidores de la empresa puede probar la capacidad de tráfico de sus equipos realizando un ataque DDoS y con ello determinar el punto en que empeoran su funcionamiento o colapsan.
¿Cómo identificar un ataque DDoS?
Un ataque de denegación de servicio distribuido puede ser percibido de manera distinta, dependiendo del tamaño y giro de la empresa.. Si su empresa o startup es víctima de un ataque de este tipo, notará un incremento en gran escala del tráfico de internet entrante de múltiples direcciones IP antes de que sus sistemas colapsen. Adicionalmente, este tráfico se caracteriza por usuarios con dispositivos, localización geográfica o versión de navegador web totalmente distintos.
Como usuario o cliente, al visitar páginas o aplicaciones web, es posible sospechar que está sufriendo un ataque DDoS si notamos que tarda mucho en cargar o simplemente muestra el error 503.
A continuación mostramos algunos signos que indican la presencia de un ataque DDoS:
Tipos de ataques DDoS
Una conexión de red a Internet está compuesta por varios elementos o capas, descritas en el Modelo OSI (Open Systems Interconnection Model por sus siglas en inglés), que actúa como un modelo universal de la comunicación entre redes y sistemas informáticos con siete capas distribuidas verticalmente. Según la capa que afectan, podemos clasificar a los ataques DDoS en tres tipos principales: los ataques volumétricos, los ataques de protocolo y los ataques a la capa de aplicación.
Ataques volumétricos
Este tipo de ataque busca saturar los recursos del servidor de la víctima enviando una gran cantidad de datos mediante alguna técnica de creación de tráfico masivo, como lo hace una red de bots. Esto puede implicar, por ejemplo, que los clientes de una tienda no puedan realizar una compra en línea, o que un paciente no logre acceder a su historia médica.
Según la metodología usada por el ciberdelincuente, los ataques volumétricos pueden ser de inundación UDP, de inundación ICMP o de reflexión o amplificación de DNS.
Inundación UDP
La inundación de protocolo de datagramas de usuario (UDP, por sus siglas en inglés) es un ataque de capa de transporte que busca sobrecargar un puerto con gran ancho de banda enviando solicitudes vacías, de manera que cuando la víctima intenta responderlas obtiene un mensaje de «Destino inalcanzable». Con suficientes solicitudes, el sistema deja de estar disponible para otros usuarios.
Inundación ICMP
El protocolo de control de mensajes de Internet (ICMP) utiliza dispositivos para diagnosticar errores en la comunicación con la red. Este método de ataque de capa de red sobrecarga la red de la víctima con mensajes ICMP a la víctima, cuyos sistemas se ven obligados a responder cada mensaje, haciendo que su servicio sea extremadamente lento.
Reflejo/amplificación de DNS
En este caso, los ciberdelincuentes utilizan una dirección IP falsificada (que es la dirección IP de la víctima) para enviar una cantidad excesiva de solicitudes a servidores DNS abiertos. Cuando los servidores DNS generan las respuestas, estas son enviadas a la víctima, sobrecargando sus redes.
Ataques de protocolo
Los ataques de protocolo utilizan solicitudes de conexión maliciosas para agotar los recursos de red y transporte (capas 3 y 4), incluyendo firewalls, servidores y equilibradores de carga. De esta manera, vulneran la seguridad informática de estas capas y evitan que la víctima pueda recibir solicitudes genuinas.
La inundación SYN y los ataques Smurf son los tipos más utilizados de ataques de protocolo.
Ataque de inundación SYN
Para conectarse a las aplicaciones de Internet, se activa el protocolo de control de transmisión (TCP) que requiere tres pasos para funcionar: cuando un usuario intenta conectarse al servidor web, primero se envía una paquete SYN, luego debe enviarse un paquete SYN-ACK que confirma la sincronización y, por último, se recibe un mensaje ACK para completar el protocolo y lograr la conexión.
Los ataques de inundación SYN se basan en enviar una gran cantidad de paquetes SYN a un servidor, sin enviar el paquete de confirmación. Al hacer esto, el servidor se queda esperando la respuesta de las conexiones TCP hasta que es incapaz de aceptar nuevas conexiones.
Ataque Smurf
En este tipo de ataque se envían múltiples paquetes ICMP con una IP de origen falsificada a una red de computadoras que, de forma automática, envían una respuesta a la misma dirección IP, que resulta ser de la víctima. Cada dispositivo de la red envía una respuesta, por lo que mientras más equipos posea, más lento será el tráfico de la víctima.
El nombre de este ataque fue tomado de The Smurfs, el nombre en inglés de Los Pitufos, pues se trata de seres pequeños que, en conjunto, pueden paralizar un objetivo más grande que ellos.
Ataques a la capa de aplicación
Estos ataques van dirigidos a la capa 7 de OSI o capa de aplicación, la región del servidor donde se generan las páginas y aplicaciones web por solicitudes HTTP. En el extremo del cliente es una solicitud sencilla, pero en el extremo del servidor la respuesta puede ser obstaculizada o retrasada si se están procesando múltiples solicitudes a la vez. Por ello, el objetivo de un ataque DDoS a la capa de aplicación es enviar gran cantidad de solicitudes al servidor para agotar sus recursos.
Debido a la forma en que se llevan a cabo, también se llaman ataques de inundación HTTP. Se trata de ataques fáciles de llevar a cabo, pero difíciles de prevenir y controlar, pues es complicado diferenciar una solicitud malintencionada de una genuina.
7 consejos para combatir un ataque DDoS
No es sencillo detener o evitar un ataque DDoS, pero tampoco es imposible hacerlo. Para mitigar estos ataques y tener un nivel aceptable de protección DDoS, lo ideal es abordar el problema desde múltiples perspectivas, tratando de corregir todas las vulnerabilidades que los facilitan. Por eso, a continuación te dejamos siete consejos para evitar estos ataques:
1. Disminuir el área vulnerable a ciberataques
La mayoría de los ataques DDoS tienen éxito en sistemas desactualizados y con pobres o nulas medidas de ciberseguridad en general. Cuando hablamos de disminuir el área vulnerable, nos referimos a tomar todas las medidas de ciberseguridad general necesarias. Esto incluye mantener todo el software actualizado y eliminar cualquier herramienta o servicio que no sea esencial para la continuidad del negocio.
Así mismo, utilizar productos para simplificar y automatizar la ciberseguridad de tu empresa, como Apolo, puede darle ventaja sobre sus competidores en materia de mantenimiento del servicio y capacidad de respuesta a incidentes.
2. Establecer cómo es el tráfico normal en el servidor
Si conoces tu plataforma y tu alcance, puedes establecer cómo es el tráfico usual de tu servidor. Esto te permitirá identificar cuándo el tráfico no sigue un comportamiento normal que probablemente pueda tratarse de un ataque DDoS.
Por supuesto, no hay una fórmula maestra. Si lanzas un producto nuevo o una nueva versión de un servicio que has estado promocionando, podrías tener más tráfico de lo normal sin que se trate de un ciberataque. Sin embargo, es recomendable que estés alerta, especialmente en momentos en que el tráfico aumenta de forma inexplicable.
3. Utilizar firewalls para contrarrestar ataques sofisticados
Existen firewalls especialmente diseñados para proteger la capa de aplicaciones de ataques DDoS. Los firewalls de aplicaciones web (WAF por sus siglas en inglés) funcionan como un proxy inverso entre el servidor de origen y el Internet, filtrando el tráfico según una serie de especificaciones.
Estas especificaciones o normas permiten identificar las herramientas que ciberdelincuentes suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden personalizarse y perfeccionarse cada vez que sea necesario.
4. Aplicar limitación de solicitudes
Poner un límite a la cantidad de solicitudes que puede procesar un servidor en un periodo de tiempo es una estrategia eficaz de mitigación de ataques DDoS, pero probablemente no sea suficiente para detener el ataque por sí sola. Debe utilizarse en conjunto con otras para complementarse y aumentar su efectividad.
5. Utilizar programas de mitigación de DDoS
Los programas de mitigación o protección DDoS bloquean el paso de tráfico malicioso, evitando que alcance los sistemas o recursos de la víctima, a la vez que permiten que el tráfico auténtico continúe con normalidad. Esto puede lograrse de distintas maneras, que incluyen el uso de servicios de DNS basados en la nube, servicios de barrido o servicios de CDN.
Este tipo de programas limita efectivamente el impacto del ataque, reduciendo el tiempo de inactividad y permitiendo que la víctima desarrolle sus operaciones online de manera habitual.
6. Implementar una CDN
El uso de una red de distribución de contenido (CDN, por sus siglas en inglés), que se sitúa delante de los sistemas del cliente, acelera el tráfico usando protocolos HTTP y HTTPS y detiene los ataques dirigidos a un sitio web justo antes de pasar a los sistemas protegidos. Esto evita los ataques que afectan a las capas 3 y 4 del modelo OSI.
Se trata de una herramienta que funciona de manera casi automática, por lo que no requiere intervención del personal de la empresa. Una de las mejores opciones es el CDN de Cloudflare. Sin embargo, como solo protege las capas de red y transporte, es ideal complementar su uso con un firewall de aplicaciones web que proteja la capa.
7. Implementar balanceadores de carga para distribuir el tráfico
Una de las estrategias más efectivas para contrarrestar un ataque de denegación de servicio distribuido es clonar la infraestructura en más de un servidor y utilizar un balanceador de carga para distribuir las solicitudes entre los servidores de manera proporcional a la carga de trabajo que haya en un momento determinado.
Al tener múltiples servidores activos y con capacidad de dar respuesta, disminuye la probabilidad de que se sobrecarguen y, por ende, se mantiene el servicio sin interrupciones para los usuarios.
La aplicación de múltiples herramientas bajo una estrategia de ciberseguridad bien estructurada permite prevenir, mitigar e incluso detener los ataques DDoS. En un contexto donde los ataques cambian y se hacen más complejos con el paso del tiempo, es de suma importancia invertir en optimizar las defensas cibernéticas de manera periódica.
Si estás interesado en conocer con detalle las herramientas que ofrecemos para evitar que tu organización sea víctima de un ataque DDoS, visita nuestra página web.