¿Qué es la protección contra ataques de denegación de servicio distribuido (DDoS)?

Aunque el IBM® X-Force Threat Intelligence Index informa de que los ataques DDoS representan el 2 % de los ataques a los que X-Force responde, las interrupciones que causan esos ataques pueden ser costosas. De hecho, el informe "Cost of a Data Breach" de IBM señala que el coste de la pérdida de negocio debido a un ciberataque es de 1,47 millones de dólares de media.

Habilitar medidas sólidas de protección contra DDoS ayuda a garantizar el tiempo de actividad, prevenir el tiempo de inactividad y las interrupciones comerciales y proteger la reputación organizacional.

La prevención de ataques DDoS comienza con la comprensión de lo que suelen ser los objetivos. El tráfico de ataques DDoS tiende a centrarse en una de las tres capas del modelo de red de interconexión de sistemas abiertos (OSI):

• La capa de aplicación (capa 7), que es la capa superior, donde las aplicaciones orientadas al usuario interactúan con una red.
• La capa de transporte (capa 4), que es la capa en la que se transmiten los datos hacia y desde aplicaciones individuales.
• La capa de red (capa 3), que gestiona los procesos de dirección, enrutamiento y reenvío de datos para los dispositivos que interactúan en diferentes redes. 

Los ataques a la capa de aplicación se dirigen a la capa de aplicación de una red. Un ejemplo es un ataque de inundación HTTP, en el que un atacante envía un número abrumador de solicitudes HTTP desde varios dispositivos al mismo sitio web para bloquearlo. Las inundaciones de consultas DNS atacan los servidores del Sistema de nombres de dominio (DNS), sobrecargándolos con solicitudes de sitios web falsos.

Los ataques de protocolo se dirigen a las capas de red y transporte. Algunos ejemplos son los ataques de inundación SYN, que se benefician del protocolo de enlace TCP (un proceso por el que dos dispositivos establecen una conexión entre sí) para saturar los servidores con paquetes fraudulentos. Los ataques pitufos se benefician del Protocolo de mensajes de control de Internet (ICMP), inundando el dispositivo de la víctima con cientos o miles de respuestas de eco ICMP.

Los ataques volumétricos consumen todo el ancho de banda disponible dentro de una red objetivo o entre un servicio objetivo y el resto de Internet, impidiendo que los usuarios legítimos se conecten a los recursos de la red. 

Algunos ejemplos son las inundaciones UDP, que envían paquetes falsos de protocolo de datagramas de usuario (UDP) a los puertos de un host de destino. Los recursos del host están ocupados en un vano esfuerzo por encontrar una aplicación que reciba estos paquetes falsos. Las inundaciones ICMP, también conocidas como "ataques de inundación de ping", bombardean objetivos con solicitudes de eco ICMP desde varias direcciones IP falsificadas.

Los ataques multivectoriales explotan varios vectores de ataque o nodos, en lugar de una sola fuente, para maximizar los daños y frustrar los esfuerzos de mitigación de DDoS.

Los atacantes podrían usar varios vectores simultáneamente o cambiar entre vectores en medio del ataque, cuando uno de ellos sea frustrado. Por ejemplo, los hackers pueden empezar con un ataque pitufo, pero cuando se detiene el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.

Sin duda. Según la Oficina Federal de Investigaciones (FBI) de EE. UU.: "Participar en ataques de denegación de servicio distribuido (DDoS) y servicios DDoS de alquiler es ilegal. El FBI y otras fuerzas del orden investigan los ataques DDoS como ciberdelitos". Las sanciones pueden incluir:

• Incautación de ordenadores y otros dispositivos electrónicos
• Arresto y procesamiento penal
• Importantes penas de prisión
• Multas pecuniarias

Las soluciones y servicios de seguridad contra los DDoS suelen basarse en capacidades de detección y respuesta automáticas para ayudar a las organizaciones a identificar patrones anormales o picos sospechosos en el tráfico de la red y actuar en consecuencia en tiempo real. Cuando se detecta una actividad inusual, muchas soluciones de protección contra DDoS bloquean instantáneamente el tráfico malicioso o cierran las vulnerabilidades que los atacantes podrían intentar explotar.

Las herramientas y técnicas comunes de prevención y mitigación de DDoS (denegación de servicio distribuido) incluyen:

Un "agujero negro", también conocido como "ruta nula", es una parte de una red donde el tráfico entrante se elimina sin procesarse ni almacenarse. El enrutamiento de agujero negro consiste en desviar el tráfico entrante a un agujero negro cuando se sospecha de un ataque DDoS.

La desventaja es que el enrutamiento de agujeros negros puede descartar lo bueno con lo malo. El tráfico válido y quizás valioso también podría desecharse, lo que hace que el enrutamiento de agujeros negros sea un instrumento simple pero contundente frente a un ataque.

Las herramientas de identificación y gestión de bots ayudan a combatir las amenazas de DDoS identificando el tráfico malicioso de bots.

Algunos bots, como los que Google utiliza para indexar páginas en los resultados de búsqueda, son benignos. Pero algunos se utilizan con fines maliciosos. Por ejemplo, muchos ataques DDoS se llevan a cabo mediante botnets. Las botnets son redes de bots que los ciberdelincuentes crean al apoderarse de ordenadores portátiles y de sobremesa, teléfonos móviles, dispositivos de Internet de las cosas (IoT) y otros endpoints comerciales o de consumo.

El software de gestión de bots se utiliza a menudo para bloquear el tráfico no deseado o malintencionado de bots de Internet y, al mismo tiempo, permitir que los bots útiles accedan a los recursos web. Muchas de estas herramientas utilizan la inteligencia artificial (IA) y el machine learning (ML) para distinguir a los bots de los visitantes humanos. El software de gestión de bots puede bloquear bots potencialmente malintencionados con pruebas de CAPTCHA u otros desafíos y limitar automáticamente la velocidad o denegar los bots que puedan abrumar el sistema. 

Una CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios online más rápido y de manera confiable. Con una CDN implementada, las solicitudes de los usuarios no viajan de regreso al servidor de origen del servicio. En su lugar, las solicitudes se dirigen a un servidor CDN geográficamente más cercano que entrega el contenido.

Las CDN pueden ayudar a respaldar los esfuerzos de mitigación de DDoS al aumentar la capacidad general de tráfico de un servicio. Cuando un servidor CDN sea retirado del servicio por un ataque DDoS, el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.

La detección y respuesta de endpoints (EDR), la detección y respuesta de red (NDR), el análisis del comportamiento de usuarios y entidades (UEBA) y herramientas similares pueden monitorizar la infraestructura de red y los patrones de tráfico en busca de indicadores de compromiso. Suelen funcionar construyendo modelos de referencia del comportamiento normal de la red e identificando desviaciones del modelo que podrían significar tráfico malicioso.

Cuando estos sistemas detectan posibles señales de DDoS, como patrones de tráfico anómalos, pueden desencadenar respuestas a incidentes en tiempo real, como la terminación de conexiones de red sospechosas.

Las huellas dactilares del dispositivo utilizan información recopilada sobre software y hardware para determinar la identidad de dispositivos informáticos específicos. Algunas herramientas de protección contra DDoS, como los sistemas de gestión de bot, utilizan bases de datos de huellas digitales para identificar bots conocidos o filtrar dispositivos asociados con intenciones maliciosas probadas o sospechosas.

El equilibrio de carga es el proceso de distribuir el tráfico de red entre varios servidores para optimizar la disponibilidad de las aplicaciones. El equilibrio de carga puede ayudar a defenderse contra los ataques DDoS al desviar automáticamente el tráfico de los servidores saturados.

Las organizaciones pueden instalar equilibradores de carga basados en hardware o software para procesar el tráfico. También pueden utilizar redes anycast, que permiten asignar una única dirección IP a varios servidores o nodos en varias ubicaciones para que el tráfico pueda compartirse entre esos servidores. Normalmente, se envía una solicitud al servidor óptimo. A medida que aumenta el tráfico, la carga se distribuye, lo que significa que los servidores tienen menos probabilidades de verse abrumados.

Estos dispositivos pueden ser dispositivos físicos o máquinas virtuales instaladas en la red de una empresa. Monitorizan el tráfico entrante, detectan patrones sospechosos y bloquean o limitan el tráfico potencialmente peligroso.

Dado que estos dispositivos se instalan localmente, no tienen que enviar tráfico a un servicio basado en la nube para su inspección o limpieza. Los dispositivos de protección contra DDoS locales pueden ser útiles para las organizaciones que requieren bajos niveles de latencia, como plataformas de conferencias y juegos. 

El filtrado de protocolos analiza el tráfico de red en comparación con el comportamiento normal de los protocolos de comunicación comunes, como TCP, DNS y HTTPS. Si el tráfico que utiliza un protocolo en particular se desvía de la norma de ese protocolo, las herramientas de filtrado de protocolos pueden marcarlo o bloquearlo.

Por ejemplo, los ataques de amplificación de DNS utilizan direcciones IP falsificadas y solicitudes DNS maliciosas para inundar los dispositivos de las víctimas con grandes cantidades de datos. El filtrado de protocolos puede ayudar a detectar y descartar estas solicitudes de DNS inusuales antes de que puedan causar daños. 

Limitar la velocidad significa poner límites al número de solicitudes entrantes que un servidor puede aceptar durante un tiempo determinado. El servicio también puede ralentizarse para los usuarios legítimos, pero el servidor no se satura. 

Los centros de depuración son redes o servicios de seguridad especializados que pueden filtrar el tráfico malicioso del tráfico legítimo mediante técnicas como la autenticación del tráfico y la detección de anomalías. Los centros de depuración bloquean el tráfico malicioso y permiten que el tráfico legítimo llegue a su destino.

Mientras que los firewalls estándar protegen las redes a nivel de puerto, los WAF ayudan a garantizar que las peticiones son seguras antes de reenviarlas a los servidores web. Un WAF puede determinar qué tipos de peticiones son legítimas y cuáles no, lo que le permite descartar el tráfico malicioso y evitar los ataques a la capa de aplicación.

Las herramientas de IA y ML pueden permitir mitigaciones adaptativas de DDoS, que ayudan a las organizaciones a combatir los ataques DDoS mientras que minimizan las interrupciones para los usuarios legítimos. Al analizar y aprender del tráfico, las herramientas de IA y ML pueden afinar sus sistemas de detección para reducir los falsos positivos que podrían bloquear por error el tráfico válido y perjudicar las oportunidades comerciales.

Mejor que no. Los ataques DDoS suelen lanzarse desde botnets construidas con cientos o miles de dispositivos secuestrados que pertenecen a usuarios inocentes. El hacker que controla la botnet suele falsificar las direcciones IP de los dispositivos, por lo que rastrearlos todos puede llevar mucho tiempo y lo más probable es que no señale al verdadero culpable.

Dicho esto, en determinadas circunstancias, y con recursos suficientes, se pueden rastrear algunos ataques DDoS. Mediante el uso de análisis forenses avanzados en cooperación con los proveedores de servicios de Internet (ISP) y los equipos encargados de hacer cumplir la ley, las organizaciones podrían ser capaces de identificar a sus atacantes. Este resultado es más probable en el caso de atacantes reincidentes, que podrían dejar pistas en los patrones de sus ataques. 

La mayoría de las veces, no. Si el ataque es pequeño o poco sofisticado, un firewall de red tradicional podría ofrecer cierta protección, pero un ataque sofisticado o a gran escala se colaría.

El problema es que la mayoría de los firewalls no pueden reconocer y detener el tráfico malicioso disfrazado de tráfico normal. Por ejemplo, los ataques HTTP GET envían múltiples solicitudes de archivos desde un servidor objetivo, que probablemente parezcan normales para las herramientas de seguridad de red estándar. 

Sin embargo, los firewalls de aplicación web (WAF) operan en una capa de red diferente a la de los firewalls tradicionales y tienen casos de uso para mitigar los ataques DDoS, como se mencionó anteriormente. 

Los ataques DDoS pueden desconectar las aplicaciones, sitios web, servidores y otros recursos de una organización, interrumpir el servicio para los usuarios y costar mucho dinero en términos de pérdida de negocios y daño a la reputación.

Los ataques DDoS también pueden impedir que las organizaciones cumplan sus acuerdos de nivel de servicio (SLA), lo que puede ahuyentar a los clientes. Si los sistemas de una organización no están disponibles bajo demanda, los usuarios pueden decidir llevar su negocio a otra parte.

Estas ciberamenazas se dirigen cada vez más a infraestructura crítica, como los servicios financieros y los servicios públicos. Un estudio reciente informó de que los ataques DDoS contra infraestructuras críticas han aumentado un 55 % en los últimos cuatro años.

Además, los ataques DDoS se utilizan a menudo como tapadera para ciberataques aún más dañinos. Por ejemplo, los hackers a veces lanzan un ataque DDoS para distraer a la víctima y poder implementar ransomware en una red mientras el equipo de ciberseguridad está ocupado con el ataque DDoS.

Las soluciones de mitigación DDoS y los servicios de protección DDoS pueden ayudar a las organizaciones a detener muchos de estos ataques por completo, evitando interrupciones en sectores y servicios clave. Si no pueden detener un ataque, pueden reducir significativamente el tiempo de inactividad para ayudar a garantizar la continuidad del negocio.

Las soluciones modernas de protección DDoS pueden ayudar a defender los activos en las instalaciones y basados en la nube, lo que permite a las organizaciones proteger los recursos independientemente de dónde se encuentren.