¿Qué es un ataque de denegación de servicio distribuido (DDoS)?

Los ataques de denegación de servicio distribuidos son un tipo de ataque de denegación de servicio (ataque DoS), una categoría que incluye todos los ciberataques que ralentizan o detienen aplicaciones o servicios. Los ataques DDoS son únicos en el sentido de que envían tráfico de ataque desde múltiples fuentes a la vez, lo que puede dificultar su reconocimiento y defensa, lo que convierte lo "distribuido" en "denegación de servicio distribuido".

Según el IBM X-Force Threat Intelligence Index, los ataques DDoS representan el 2 % de los ataques a los que X-Force responde. Sin embargo, las interrupciones que causan pueden ser costosas. El tiempo de inactividad del sistema puede provocar interrupciones del servicio, pérdida de ingresos y daños a la reputación. El Informe "Cost of a Data Breach" de IBM señala que el coste de la pérdida de negocio debido a un ciberataque promedia 1,47 millones de dólares.  

A diferencia de otros ciberataques, los ataques DDoS no aprovechan las vulnerabilidades de los recursos de red para penetrar en los sistemas informáticos. En su lugar, utilizan protocolos de conexión de red estándar como el Protocolo de Transferencia de Hipertexto (HTTP) y el Protocolo de Control de Transmisión (TCP) para inundar endpoints, aplicaciones y otros activos con más tráfico del que pueden soportar.

Los servidores web, los enrutadores y otras infraestructuras de red sólo pueden procesar un número finito de solicitudes y mantener un número limitado de conexiones al mismo tiempo. Al utilizar el ancho de banda disponible de un recurso, los ataques DDoS impiden que estos recursos respondan a solicitudes y paquetes de conexión legítimos.

En términos generales, un ataque DDoS tiene dos etapas principales: crear una botnet y llevar a cabo el ataque. 

Un ataque DDoS suele requerir una botnet o red de bots, una red de dispositivos conectados a Internet que se han infectado con malware que habilita a los hackers a controlar los dispositivos de forma remota.

Los botnets pueden incluir ordenadores portátiles y de sobremesa, teléfonos móviles, dispositivos de Internet de las cosas (IoT) y otros endpoints comerciales o de consumo. Los propietarios de estos dispositivos comprometidos generalmente no son conscientes de que están infectados o de que están siendo utilizados para un ataque DDoS.

Algunos ciberdelincuentes construyen sus propias redes de bots, propagan malware de forma activa y se apoderan de los dispositivos. Otros compran o alquilan botnets preestablecidos de otros ciberdelincuentes en el dark web bajo un modelo conocido como “denegación de servicio como servicio”.

No todos los ataques DDoS utilizan botnets. Algunos explotan las operaciones normales de los dispositivos no infectados con fines maliciosos. (Para obtener más información, consulte "Ataques pitufos"). 

Los hackers ordenan a los dispositivos de la botnet que envíen solicitudes de conexión o paquetes a la dirección IP del servidor, dispositivo o servicio objetivo.

La mayoría de los ataques DDoS se basan en la fuerza bruta, enviando un gran número de solicitudes para consumir todo el ancho de banda del objetivo. Algunos ataques DDoS envían un número menor de solicitudes más complicadas que requieren que el objetivo gaste Recursos para responder. En cualquier caso, el resultado es el mismo: el tráfico de ataque abruma el sistema objetivo, provocando una denegación de servicio e impidiendo que el tráfico legítimo acceda a él.

Los hackers suelen ocultar el origen de sus ataques mediante la suplantación de IP, una técnica mediante la cual los ciberdelincuentes falsifican las direcciones IP de origen de los paquetes enviados desde la red de bots. En una forma de suplantación de IP, llamada "reflexión", los hackers hacen que parezca que el tráfico malicioso proviene de la propia dirección IP de la víctima.

Los ataques DDoS no son siempre el ataque principal. A veces los hackers los utilizan para distraer a la víctima de otro ciberdelito. Por ejemplo, los atacantes podrían exfiltrar datos o implementar ransomware en una red mientras el equipo de ciberseguridad se ocupa de defenderse del ataque DDoS.

Los hackers utilizan los ataques DDoS por todo tipo de motivos: extorsión, cerrar organizaciones e instituciones con las que no están de acuerdo, sofocar a las empresas competidoras e incluso la guerra cibernética.

Algunos de los objetivos de ataque DDoS más comunes son:

• Minoristas en línea
• Proveedores de servicios de Internet (ISP)
• Proveedores de servicio en la nube
• Instituciones financieras
• Proveedores de software como servicio (SaaS)
• Empresas de juegos
• Agencias gubernamentales

Los ataques DDoS se clasifican en función de las tácticas que utilizan y de la arquitectura de red a la que se dirigen. Los tipos comunes de ataques DDoS incluyen:

• Ataques de capa de aplicación
• Ataques de protocolo
• Ataques volumétricos
• Ataques multivectores

Como su nombre indica, los ataques a la capa de aplicación se dirigen a la capa de aplicación de una red. En el marco del modelo de interconexión de sistemas abiertos (modelo OSI), esta capa es donde los usuarios interactúan con las páginas web y las aplicaciones. Los ataques a la capa de aplicaciones interrumpen las aplicaciones web inundándolas con solicitudes maliciosas.

Uno de los ataques más comunes a la capa de aplicaciones es el ataque de inundación HTTP, en el que un atacante envía continuamente un gran número de solicitudes HTTP desde varios dispositivos al mismo sitio web. El sitio web no puede atender todas las solicitudes y se ralentiza o se bloquea. Los ataques de inundación HTTP son similares a cientos o miles de navegadores web que actualizan constantemente la misma página web.

Los ataques de protocolo tienen como destino la capa de red (capa 3) y la capa de transporte (capa 4) del modelo OSI. Su objetivo es sobrecargar los recursos críticos de la red, como firewalls, equilibradores de carga y servidores web, con solicitudes de conexión maliciosas.

Dos de los tipos más comunes de ataques de protocolo son los ataques de inundación SYN y los ataques pitufos. 

Un ataque de inundación SYN se beneficia del protocolo de enlace TCP, un proceso por el que dos dispositivos establecen una conexión entre sí. Un protocolo de enlace TCP típico consta de tres pasos:

1. Un dispositivo envía un paquete de sincronización (SYN) para iniciar la conexión.
2. El otro dispositivo responde con un paquete de sincronización/reconocimiento (SYN/ACK) para confirmar la solicitud.
3. El dispositivo original devuelve un paquete ACK para finalizar la conexión.

En un ataque de inundación SYN, el atacante envía al servidor de destino un gran número de paquetes SYN con direcciones IP de origen falsificadas. El servidor responde a las direcciones IP falsificadas y espera a que lleguen los últimos paquetes ACK. Como las direcciones IP de origen estaban suplantadas, estos paquetes nunca llegan. El servidor está atascado en un gran número de conexiones inacabadas, por lo que deja de estar disponible para los protocolos de enlace TCP legítimos.

Un ataque pitufos aprovecha el Protocolo de mensajes de control de Internet (ICMP), un protocolo de comunicación utilizado para evaluar el estado de una conexión entre dos dispositivos.

En un intercambio ICMP típico, un dispositivo envía una solicitud de eco ICMP a otro y el último dispositivo responde con una respuesta ecográfica ICMP.

En un ataque pitufo, el atacante envía una solicitud de eco ICMP desde una dirección IP falsificada que coincide con la dirección IP de la víctima. Esta solicitud de eco ICMP se envía a una red de transmisión IP que reenvía la solicitud a todos los dispositivos de la red.

Todos los dispositivos que reciben la solicitud de eco ICMP (potencialmente cientos o miles de dispositivos) responden enviando una respuesta de eco ICMP a la dirección IP de la víctima. El enorme volumen de respuestas es más de lo que puede gestionar el dispositivo de la víctima. Al contrario que otros tipos de ataques DDoS, los ataques pitufos no necesitan obligatoriamente un botnet.

Los ataques DDoS volumétricos consumen todo el ancho de banda disponible dentro de una red de destino o entre un servicio de destino y el resto de Internet, impidiendo que los usuarios legítimos se conecten a los recursos de la red.

Los ataques volumétricos suelen inundar redes y recursos con altas cantidades de tráfico, incluso en comparación con otros tipos de ataques DDoS. Los ataques volumétricos se han conocido por superar las medidas de protección DDoS, como los centros de depuración, que están diseñados para filtrar el tráfico malicioso del legítimo.

Los tipos comunes de ataques volumétricos incluyen inundaciones UDP, inundaciones ICMP y ataques de amplificación de DNS.

Las inundaciones UDP envían paquetes falsos del Protocolo de datagramas de usuario (UDP) a los puertos de un host de destino, lo que hace que el host busque una aplicación para recibir estos paquetes. Debido a que los paquetes UDP son falsos, no hay ninguna aplicación para recibirlos y el host debe enviar un mensaje ICMP "destino inalcanzable" al remitente.

Los recursos del host se agotan al responder al flujo constante de paquetes UDP falsos, lo que hace que el host no esté disponible para responder a los paquetes legítimos.

Las inundaciones ICMP, también llamadas "ataques de inundación de ping", bombardean objetivos con solicitudes de eco ICMP desde varias direcciones IP falsificadas. El servidor de destino debe responder a todas estas solicitudes, se sobrecarga y no puede procesar las solicitudes de eco ICMP válidas.

Las inundaciones ICMP se distinguen de los ataques smurf en que los atacantes envían un gran número de solicitudes ICMP desde sus botnets. En un ataque pitufo, los hackers engañan a los dispositivos de red para que envíen respuestas ICMP a la dirección IP de la víctima.

En un ataque de amplificación de DNS, el atacante envía varias solicitudes del Sistema de nombres de dominio (DNS) a uno o varios servidores DNS públicos. Estas solicitudes de búsqueda utilizan una dirección IP falsificada perteneciente a la víctima y solicitan a los servidores DNS que devuelvan una gran cantidad de información por solicitud. El servidor DNS responde a las solicitudes inundando la dirección IP de la víctima con grandes cantidades de datos.

Como su nombre indica, los ataques multivectoriales explotan múltiples vectores de ataque, en lugar de una única fuente, para maximizar los daños y frustrar los esfuerzos de mitigación de DDoS (denegación de servicio distribuido).

Los atacantes podrían usar varios vectores simultáneamente o cambiar entre vectores en medio del ataque, cuando uno de ellos sea frustrado. Por ejemplo, los hackers pueden empezar con un ataque pitufo, pero cuando se detiene el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.

Las amenazas DDoS también pueden utilizarse junto con otras ciberamenazas. Por ejemplo, los atacantes de ransomware pueden presionar a sus víctimas amenazando a montar un ataque DDoS si no se paga el rescate.

Los ataques DDoS siguen siendo una táctica común para muchos ciberdelincuentes por muchas razones.

Un ciberdelincuente ya ni siquiera necesita saber codificar para lanzar un ataque DDoS. Los mercados de ciberdelincuencia prosperan en la dark web, donde los actores de amenazas pueden comprar y vender botnets, malware y otras herramientas para llevar a cabo ataques DDoS.

Al contratar botnets ya preparados de otros hackers, los ciberdelincuentes pueden lanzar fácilmente ataques DDoS por sí solos con poca preparación o planificación.

Dado que las redes de bots se componen en gran parte de dispositivos comerciales y de consumo, puede resultar difícil para las organizaciones separar el tráfico malicioso de los usuarios reales.

Además, los síntomas de los ataques DDoS, servicio lento y aplicaciones temporalmente no disponibles, pueden estar causados por picos repentinos en el tráfico legítimo, lo que dificulta la detección temprana de los ataques DDoS.

Cuando se ha identificado un ataque DDoS, la naturaleza distribuida del ciberataque significa que las organizaciones no pueden simplemente bloquearlo cerrando una única fuente de tráfico. Los controles estándar de seguridad de red destinados a combatir los ataques DDoS, como la limitación de velocidad, también pueden ralentizar las operaciones de los usuarios legítimos.

El auge del Internet de las cosas ha dado a los hackers una fuente de dispositivos rica para convertir en bots.

Los dispositivos habilitados para Internet, incluida la tecnología operativa (OT), como los dispositivos sanitarios y los sistemas de fabricación, se venden y operan con valores predeterminados universales y controles de seguridad débiles o inexistentes, lo que los hace vulnerables a la infección por malware.

A los propietarios de estos dispositivos puede resultarles difícil darse cuenta de que han sido comprometidos, ya que los dispositivos IoT suelen utilizarse de forma pasiva o con poca frecuencia.

Los ataques DDoS son cada vez más sofisticados a medida que los hackers adoptan herramientas de inteligencia artificial (IA) y machine learning (ML) para ayudar a dirigir sus ataques. Los ataques DDoS adaptativos utilizan la IA y el ML para encontrar los aspectos más vulnerables de los sistemas y cambiar automáticamente los vectores y las estrategias de ataque en respuesta a los esfuerzos de mitigación de DDoS de un equipo de ciberseguridad.

Cuanto antes se pueda identificar un ataque DDoS, antes podrá comenzar la defensa y la corrección. Las señales de que se está produciendo un ataque incluyen:

• Un sitio o servicio comienza a ralentizarse inesperadamente o no está disponible por completo.
  
  
• Un volumen inusualmente grande de tráfico llega desde una sola dirección IP o rango de direcciones IP.
  
  
• El tráfico de muchos perfiles similares, como el de un tipo específico de dispositivo o geolocalización, aumenta repentinamente.
  
  
•  Un aumento repentino en las solicitudes de una sola acción, endpoint o página.
  
  
• Picos de tráfico a una hora inusual del día, un día de la semana o con un patrón regular, como cada cinco minutos.
  
  
• Errores o tiempos de espera inexplicables.
  
  
•  Los servicios que comparten la misma red simultáneamente comienzan a ralentizarse.

Muchos de estos comportamientos pueden deberse a otros factores. Sin embargo, comprobar primero si hay ataques DDoS puede ahorrar tiempo y mitigar los daños si se está produciendo un ataque DDoS.

Las soluciones de protección DDoS ayudan a detectar anomalías en el tráfico y a determinar si son inocentes o maliciosas. Después de todo, una avalancha repentina de solicitudes puede ser el resultado de una campaña de marketing exitosa, y bloquear esas solicitudes puede ser un desastre empresarial.

Los esfuerzos de mitigación de DDoS suelen intentar desviar el flujo de tráfico malicioso lo antes posible. 

Los esfuerzos comunes de prevención y mitigación de DDoS incluyen:

Mientras que los firewalls estándar protegen las redes a nivel de puerto, los WAF ayudan a garantizar que las peticiones son seguras antes de reenviarlas a los servidores web. Un WAF puede determinar qué tipos de peticiones son legítimas y cuáles no, lo que le permite descartar el tráfico malicioso y evitar los ataques a la capa de aplicación.

Un CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios online más rápido y de manera confiable. Con una CDN implementada, las solicitudes de los usuarios no vuelven al servidor de origen del servicio. En su lugar, las solicitudes se dirigen a un servidor CDN geográficamente más cercano que entrega el contenido.

Las CDN pueden ayudar a protegerse contra ataques DDoS aumentando la capacidad general de un servicio para el tráfico. Cuando un servidor CDN caiga a causa de un ataque DDoS, el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.

La detección y respuesta de endpoints (EDR), la detección y respuesta de red (NDR) y otras herramientas pueden monitorizar la infraestructura de red en busca de indicadores de compromiso. Cuando estos sistemas detectan posibles señales de DDoS, como patrones de tráfico anómalos, pueden desencadenar respuestas a incidentes en tiempo real, como la terminación de conexiones de red sospechosas.

Un "agujero negro" es una parte de una red en la que el tráfico entrante se elimina sin ser procesado ni almacenado. El enrutamiento de agujero negro consiste en desviar el tráfico entrante a un agujero negro cuando se sospecha de un ataque DDoS.

La desventaja es que el enrutamiento de agujeros negros puede descartar lo bueno con lo malo. El tráfico válido y quizás valioso también podría desecharse, lo que hace que el enrutamiento de agujeros negros sea un instrumento simple pero contundente frente a un ataque.

La limitación de velocidad supone establecer límites en el número de solicitudes entrantes que un servidor puede aceptar durante un período de tiempo establecido. El servicio también puede ralentizarse para los usuarios legítimos, pero el servidor no se satura. 

El equilibrio de carga es el proceso de distribuir el tráfico de red entre varios servidores para optimizar la disponibilidad de las aplicaciones. El equilibrio de carga puede ayudar a defenderse contra los ataques DDoS al desviar automáticamente el tráfico de los servidores saturados.

Las organizaciones pueden instalar equilibradores de carga basados en hardware o software para procesar el tráfico. También pueden utilizar redes anycast, que permiten asignar una única dirección IP a varios servidores o nodos en varias ubicaciones para que el tráfico pueda compartirse entre esos servidores. Normalmente, se envía una solicitud al servidor óptimo. A medida que aumenta el tráfico, la carga se distribuye, lo que significa que los servidores tienen menos probabilidades de verse abrumados.

Los centros de depuración son redes o servicios especializados que pueden filtrar el tráfico malicioso del tráfico legítimo mediante técnicas como la autenticación del tráfico y la detección de anomalías. Los centros de depuración bloquean el tráfico malicioso y permiten que el tráfico legítimo llegue a su destino.