¿Qué es la protección contra ataques de denegación distribuida del servicio (DDoS)?

Aunque el IBM®  X-Force  Threat Intelligence Index informa que los ataques de denegación distribuida del servicio (DDoS) representan el 2 % de los ataques a los que X-Force responde, las interrupciones que causan esos ataques pueden ser costosas. De hecho, el Informe del costo de una filtración de datos de IBM señala que el costo de la pérdida de negocio debido a un ciberataque es de 1.47 millones de dólares en promedio.

Habilitar medidas sólidas de protección contra denegación distribuida del servicio (DDoS) ayuda a garantizar el tiempo de actividad, prevenir el tiempo de inactividad y las interrupciones comerciales y proteger la reputación organizacional.

La prevención de ataques de denegación distribuida del servicio (DDoS) comienza con comprender a qué se dirigen normalmente. El tráfico de denegación distribuida del servicio (DDoS) tiende a centrarse en una de las tres capas del modelo de red de interconexión de sistemas abiertos (OSI):

• La capa de aplicación (capa 7), que es la capa superior, donde las aplicaciones orientadas al usuario interactúan con una red.
• La capa de transporte (capa 4), que es la capa en la que se transmiten los datos hacia y desde las aplicaciones individuales.
• La capa de red (capa 3), que gestiona los procesos de dirección, encaminamiento y reenvío de datos para los dispositivos que interactúan a través de distintas redes. 

Los ataques a la capa de aplicación se dirigen a la capa de aplicación de una red. Un ejemplo es un ataque de inundación HTTP, en el que un atacante envía una cantidad abrumadora de solicitudes HTTP desde múltiples dispositivos al mismo sitio web para bloquearlo. Las inundaciones de consultas DNS atacan a los servidores del Sistema de nombres de dominio (DNS), sobrecargándolos con solicitudes de sitios web falsos.

Los ataques de protocolo se dirigen a las capas de red y transporte. Algunos ejemplos son los ataques de inundación SYN, que se benefician del protocolo de enlace TCP (un proceso por el que dos dispositivos establecen una conexión entre sí) para saturar los servidores con paquetes fraudulentos. Los ataques pitufos se benefician del Protocolo de mensajes de control de Internet (ICMP), inundando el dispositivo de la víctima con cientos o miles de respuestas de eco ICMP.

Los ataques volumétricos consumen toda la capacidad de ancho de banda dentro de una red objetivo o entre un servicio objetivo y el resto de Internet, impidiendo que los usuarios legítimos se conecten a los recursos de la red. 

Algunos ejemplos son las inundaciones UDP, que envían paquetes falsos de protocolo de datagramas de usuario (UDP) a los puertos de un host de destino. Los recursos del host están ocupados en un vano esfuerzo por encontrar una aplicación que reciba estos paquetes falsos. Las inundaciones ICMP, también conocidas como "ataques de inundación de ping", bombardean objetivos con solicitudes de eco ICMP desde varias direcciones IP falsificadas.

Los ataques multivectoriales explotan varios vectores de ataque o nodos, en lugar de una sola fuente, para maximizar los daños y frustrar los esfuerzos de mitigación de denegación distribuida del servicio (DDoS).

Los atacantes podrían usar varios vectores simultáneamente o cambiar entre vectores a mitad del ataque, cuando se defiende un vector. Por ejemplo, los piratas informáticos pueden comenzar con un ataque smurf, pero cuando se interrumpe el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.

Sin duda. Según la Oficina Federal de Investigaciones (FBI) de EE. UU.: "Participar en ataques de denegación distribuida del servicio (DDoS) y servicios DDoS de alquiler es ilegal. El FBI y otras fuerzas del orden investigan los ataques DDoS como ciberdelitos". Las sanciones pueden incluir:

• Incautación de computadoras y otros dispositivos electrónicos.
• Arresto y enjuiciamiento penal
• Importantes penas de prisión
• Multas monetarias

Las soluciones y servicios de seguridad contra los ataques de denegación distribuida del servicio (DDoS) suelen basarse en capacidades de detección y respuesta automáticas para ayudar a las organizaciones a identificar patrones anormales o picos sospechosos en el tráfico de la red y actuar en consecuencia en tiempo real. Cuando se detecta una actividad inusual, muchas soluciones de protección contra los ataques DDoS bloquean instantáneamente el tráfico malicioso o cierran las vulnerabilidades que los atacantes podrían intentar explotar.

Las herramientas y técnicas comunes de prevención y mitigación de denegación distribuida del servicio (DDoS) incluyen:

Un "agujero negro", también conocido como "ruta nula", es una parte de una red donde el tráfico entrante se elimina sin procesarse ni almacenarse. El enrutamiento de agujero negro consiste en desviar el tráfico entrante a un agujero negro cuando se sospecha de un ataque de denegación distribuida del servicio (DDoS).

El inconveniente es que el enrutamiento por agujeros negros puede descartar lo bueno con lo malo. También podría desechar tráfico válido y quizá valioso, lo que convierte al enrutamiento por agujeros negros en un instrumento sencillo pero contundente frente a un ataque.

Las herramientas de identificación y gestión de bots ayudan a combatir las amenazas de denegación distribuida del servicio (DDoS) identificando el tráfico malicioso de bots.

Algunos bots, como los que Google utiliza para indexar páginas en los resultados de búsqueda, son benignos. Pero algunos se utilizan con fines maliciosos. Por ejemplo, muchos ataques de denegación distribuida del servicio (DDoS) se llevan a cabo mediante botnets. Las botnets son redes de bots que los delincuentes cibernéticos crean al apoderarse de computadoras portátiles y de sobremesa, teléfonos móviles, dispositivos de Internet de las cosas (IoT) y otros endpoints comerciales o de consumo.

El software de gestión de bots se emplea a menudo para bloquear el tráfico de bots indeseados o maliciosos en el Internet, al tiempo que permite a los bots útiles acceder a los recursos sitio web. Muchas de estas herramientas emplean inteligencia artificial (IA) y machine learning (ML) para distinguir a los bots de los visitantes humanos. El software de gestión de bots puede bloquear bots potencialmente maliciosos con pruebas de CAPTCHA u otros desafíos y limitar o denegar automáticamente los bots que podrían saturar el sistema. 

Un CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios en línea de manera más rápida y confiable. Con una CDN, las solicitudes de los usuarios no regresan al servidor de origen del servicio. En cambio, las solicitudes se dirigen a un servidor CDN geográficamente más cercano que entrega el contenido.

Las CDN pueden ayudar a respaldar los esfuerzos de mitigación de DDoS al aumentar la capacidad general de tráfico de un servicio. Cuando un servidor CDN sea retirado del servicio por un ataque de denegación distribuida del servicio (DDoS), el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.

Detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR), análisis de comportamiento de usuarios y entidades (UEBA) y herramientas similares pueden monitorear la infraestructura de red y los patrones de tráfico en busca de indicadores de compromiso. A menudo funcionan construyendo modelos de referencia del comportamiento normal de la red e identificando desviaciones del modelo que podrían indicar tráfico malicioso.

Cuando estos sistemas ven posibles señales de denegación distribuida del servicio (DDoS), como patrones de tráfico anormales, pueden desencadenar respuestas a incidentes en tiempo real, como la terminación de conexiones de red sospechosas.

Las huellas dactilares del dispositivo emplean información recopilada sobre software y hardware para determinar la identidad de dispositivos informáticos específicos. Algunas herramientas de protección de denegación distribuida del servicio (DDoS), como los sistemas de administración de bots, utilizan bases de datos de huellas digitales para identificar bots conocidos o descartar dispositivos asociados con intenciones maliciosas comprobadas o sospechosas.

Elequilibrio de carga es el proceso de distribución del tráfico de red entre varios servidores para optimizar la disponibilidad de las aplicaciones. El equilibrio de carga puede ayudar a defenderse de los ataques de denegación distribuida del servicio (DDoS) al enrutar automáticamente el tráfico lejos de los servidores saturados.

Las organizaciones pueden instalar balanceadores de carga basados en hardware o software para procesar el tráfico. También pueden emplear redes anycast, que permiten asignar una única dirección IP a varios servidores o nodos repartidos por varias ubicaciones, de modo que el tráfico pueda compartir entre esos servidores. Normalmente, se envía una solicitud al servidor óptimo. A medida que aumenta el tráfico, la carga se distribuye, lo que significa que los servidores tienen menos probabilidades de ver sobrecargados.

Estos dispositivos pueden ser dispositivos físicos o máquinas virtuales instaladas en la red de una empresa. Monitorean el tráfico entrante, detectan patrones sospechosos y bloquean o limitan el tráfico potencialmente peligroso.

Dado que estos dispositivos se instalan localmente, no tienen que enviar tráfico a un servicio basado en la nube para su inspección o limpieza. Los dispositivos de protección contra denegación distribuida del servicio (DDoS) on premises pueden ser útiles para las organizaciones que requieren bajos niveles de latencia, como plataformas de conferencias y juegos. 

El filtrado de protocolos analiza el tráfico de red comparándolo con el comportamiento normal de los protocolos de comunicación comunes, como TCP, DNS y HTTPS. Si el tráfico que utiliza un protocolo en particular se desvía de la norma de ese protocolo, las herramientas de filtrado de protocolos pueden marcarlo o bloquearlo.

Por ejemplo, los ataques de amplificación de DNS utilizan direcciones IP falsificadas y solicitudes de DNS maliciosas para inundar los dispositivos de las víctimas con grandes cantidades de datos. El filtrado de protocolos puede ayudar a detectar y eliminar estas solicitudes DNS inusuales antes de que puedan causar daños. 

Limitar la velocidad significa poner límites al número de solicitudes entrantes que un servidor puede aceptar durante un tiempo determinado. El servicio también puede ralentizarse para los usuarios legítimos, pero el servidor no se satura. 

Los centros de depuración son redes o servicios de seguridad especializados que pueden filtrar el tráfico malicioso del tráfico legítimo mediante técnicas como la autenticación del tráfico y la detección de anomalías. Los centros de depuración bloquean el tráfico malicioso y permiten que el tráfico legítimo llegue a su destino.

Mientras que los cortafuegos estándar protegen las redes a nivel de puerto, los WAFs ayudan a garantizar que las solicitudes sean seguras antes de enviarlas a los servidores web. Un WAF puede determinar qué tipos de solicitudes son legítimas y cuáles no, lo que le permite dejar caer el tráfico malicioso y evitar ataques en la capa de aplicaciones.

Las herramientas de IA y ML pueden permitir mitigaciones adaptativas de denegación distribuida del servicio (DDoS), que ayudan a las organizaciones a combatir los ataques DDoS mientras que minimizan las interrupciones para los usuarios legítimos. Al analizar y aprender del tráfico, las herramientas de IA y aprendizaje automático (ML) pueden afinar sus sistemas de detección para reducir los falsos positivos que podrían bloquear por error el tráfico válido y perjudicar las oportunidades comerciales.

Mejor que no. Los ataques de denegación distribuida del servicio (DDoS) suelen lanzarse desde botnets construidas con cientos o miles de dispositivos secuestrados que pertenecen a usuarios inocentes. El hacker que controla la botnet suele falsificar las direcciones IP de los dispositivos, por lo que rastrearlos todos puede llevar mucho tiempo y lo más probable es que no señale al verdadero culpable.

Dicho esto, en determinadas circunstancias, y con recursos suficientes, se pueden rastrear algunos ataques de denegación distribuida del servicio (DDoS). Mediante el uso de análisis forenses avanzados en cooperación con los proveedores de servicios de Internet (ISP) y los equipos encargados de hacer cumplir la ley, las organizaciones podrían ser capaces de identificar a sus atacantes. Este resultado es más probable en el caso de atacantes reincidentes, que podrían dejar pistas en los patrones de sus ataques. 

La mayoría de las veces, no. Si el ataque es pequeño o poco sofisticado, un firewall de red tradicional podría ofrecer cierta protección, pero un ataque sofisticado o a gran escala se colaría.

El problema es que la mayoría de los cortafuegos no pueden reconocer y detener el tráfico malicioso disfrazado de tráfico normal. Por ejemplo, los ataques HTTP GET envían múltiples solicitudes de archivos desde un servidor objetivo, que probablemente parezcan normales para las herramientas de seguridad de red estándar. 

Sin embargo, los cortafuegos de aplicación (WAF) operan en una capa de red diferente a los cortafuegos tradicionales y tienen casos de uso para mitigar los ataques de denegación distribuida del servicio (DDoS), como se mencionó anteriormente. 

Los ataques de denegación distribuida del servicio (DDoS) pueden desconectar las aplicaciones, sitios web, servidores y otros recursos de una organización, interrumpir el servicio para los usuarios y costar mucho dinero en términos de pérdida de negocios y daño a la reputación.

Los ataques de denegación distribuida del servicio (DDoS) también pueden impedir que las organizaciones cumplan con sus acuerdos de nivel de servicio (SLA), lo que puede ahuyentar a los clientes. Si los sistemas de una organización no están disponibles bajo demanda, los usuarios pueden decidir llevar su negocio a otra parte.

Estas ciberamenazas se dirigen cada vez más a infraestructuras críticas, como los servicios financieros y las Empresas de servicios públicos. Un estudio reciente informó que los ataques de denegación distribuida del servicio (DDoS) contra infraestructuras críticas han aumentado en un 55 % en los últimos cuatro años.

Además, los ataques de denegación distribuida del servicio (DDoS) se utilizan a menudo como cobertura para ataques cibernéticos aún más dañinos. Por ejemplo, los hackers a veces lanzan un ataque de denegación distribuida del servicio (DDoS) para distraer a la víctima y así poder desplegar ransomware en una red mientras el equipo de ciberseguridad está ocupado con el ataque de denegación distribuida del servicio (DDoS).

Las soluciones de mitigación de denegación distribuida del servicio (DDoS) y los servicios de protección de denegación distribuida del servicio (DDoS) pueden ayudar a las organizaciones a detener muchos de estos ataques por completo, evitando interrupciones en sectores y servicios clave. Si no pueden detener un ataque, pueden reducir significativamente el tiempo de inactividad para ayudar a garantizar la continuidad del negocio.

Las soluciones modernas de protección de denegación distribuida del servicio (DDoS) pueden ayudar a defender los activos on premises y basados en la nube, lo que permite a las organizaciones proteger los recursos independientemente de dónde se encuentren.