¿Qué es un ataque de denegación distribuida del servicio (DDos)?

Un ataque DDoS inunda sitios web con tráfico malicioso, lo que hace que las aplicaciones y otros servicios no estén disponibles para los usuarios legítimos. Incapaz de manejar el volumen de tráfico ilegítimo, el objetivo se ralentiza o falla por completo, lo que lo hace no disponible para los usuarios legítimos.

Los ataques DDoS forman parte de la categoría más amplia, los ataques de denegación de servicio (ataques DoS), que incluye todos los ciberataques que ralentizan o detienen aplicaciones o servicios de red. Los ataques DDoS son únicos porque envían tráfico de ataque desde múltiples fuentes a la vez, lo que convierte a los ataques "distribuidos" en "denegación de servicio distribuido".

Los delincuentes cibernéticos han estado utilizando ataques de denegación distribuida del servicio (DDoS) para interrumpir las operaciones de la red durante más de 20 años, pero recientemente su frecuencia y poder se han disparado. Según un informe, los ataques de denegación distribuida del servicio (DDoS) aumentaron un 203 por ciento en el primer semestre de 2022, en comparación con el mismo periodo de 2021.

A diferencia de otros ataques cibernéticos, los ataques DDoS no explotan vulnerabilidades en los recursos de red para violar los sistemas informáticos. En su lugar, utilizan protocolos de conexión de red estándar como Hypertext Transfer Protocol (HTTP) y el protocolo de control de transmisión (TCP) para inundar endpoints, aplicaciones y otros activos con más tráfico de lo que pueden manejar. Los servidores web, enrutadores y otras infraestructuras de red solo pueden procesar un número finito de solicitudes y mantener un número limitado de conexiones en un momento dado. Al utilizar el ancho de banda disponible de un recurso, los ataques DDoS evitan que estos recursos respondan a solicitudes y paquetes de conexión legítimos.

En términos generales, un ataque DDoS tiene tres etapas.

La elección del objetivo de ataque de denegación distribuida del servicio (DDoS) proviene de la motivación del atacante, que puede variar ampliamente. Los hackers han utilizado ataques de denegación distribuida del servicio (DDoS) para extorsionar dinero a las organizaciones, exigiendo un rescate para poner fin al ataque. Algunos hackers utilizan la denegación distribuida del servicio (DDoS) para el activismo, dirigiéndose a organizaciones e instituciones con las que no están de acuerdo. Actores sin escrúpulos han utilizado ataques de denegación distribuida del servicio (DDoS) para cerrar negocios en competencia, y algunos estados nación han utilizado tácticas DDoS en la guerra cibernética.

Algunos de los objetivos de ataques DDoS más comunes incluyen:

• Minoristas en línea. Los ataques DDoS pueden causar importantes perjuicios económicos a los minoristas al hacer caer sus tiendas digitales, imposibilitando que los clientes compren durante un tiempo.
  
  

• Proveedores de servicios en la nube. Los proveedores de servicios en la nube como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform son objetivos populares para los ataques de denegación distribuida del servicio (DDoS). Debido a que estos servicios alojan datos y aplicaciones para otras empresas, los hackers pueden causar interrupciones generalizadas con un solo ataque. En 2020, AWS sufrió un ataque de denegación distribuida del servicio (DDoS) masivo. En su punto máximo, el tráfico malicioso llegó a 2.3 terabits por segundo.
  
  

• Instituciones financieras. Los ataques de denegación distribuida del servicio (DDoS) pueden desconectar los servicios bancarios, lo que impide que los clientes accedan a sus cuentas.
  En 2012, seis importantes bancos estadounidenses sufrieron ataques de denegación distribuida del servicio (DDoS) coordinados en lo que pudo haber sido un acto de motivación política .
  

• Proveedores de software como servicio (SaaS). Al igual que con los proveedores de servicios en la nube, los proveedores de SaaS como Salesforce, GitHub y Oracle son objetivos atractivos porque permiten a los hackers interrumpir varias organizaciones a la vez. En 2018, GitHub sufrió lo que fue, en ese momento, el mayor ataque de denegación distribuida del servicio (DDoS) registrado.
  
  

• Empresas de juego. Los ataques de denegación distribuida del servicio (DDoS) pueden interrumpir los juegos en línea al inundar sus servidores con tráfico. Estos ataques suelen ser lanzados por jugadores descontentos con venganzas personales, como fue el caso de la botnet Mirai que se creó originalmente para atacar los servidores de Minecraft.

Un ataque de denegación distribuida del servicio (DDoS) suele requerir una botnet, una red de dispositivos conectados a Internet que han sido infectados con malware que permite a los hackers controlar los dispositivos de forma remota. Las botnets pueden incluir computadoras portátiles y de escritorio, teléfonos móviles, dispositivos IoT y otros endpoints comerciales o de consumo. Los propietarios de estos dispositivos comprometidos suelen desconocer que han sido infectados o están siendo utilizados para un ataque de denegación distribuida del servicio (DDoS).

Algunos delincuentes cibernéticos construyen sus botnets desde cero, mientras que otros compran o alquilan botnets preestablecidos con un modelo denominado "denegación de servicio como servicio".

(NOTA: No todos los ataques DDoS utilizan botnets; algunos explotan las operaciones normales de dispositivos no infectados para fines maliciosos. Ver "Ataques smurf" a continuación).

Los hackers ordenan a los dispositivos de la botnet que envíen solicitudes de conexión u otros paquetes a la dirección IP del servidor, dispositivo o servicio de destino. La mayoría de los ataques DDoS se basan en la fuerza bruta, enviando un gran número de peticiones para consumir todo el ancho de banda del objetivo; algunos ataques DDoS envían un número menor de peticiones más complicadas que requieren que el objetivo gaste muchos recursos en responder. En cualquier caso, el resultado es el mismo: el tráfico de ataque sobrecarga el sistema de destino, causando una denegación de servicio y evitando que el tráfico legítimo acceda al sitio web, aplicación web, API o red.

Los hackers suelen ocultar el origen de sus ataques mediante la suplantación de IP, una técnica mediante la cual los delincuentes cibernéticos falsifican las direcciones IP de origen de los paquetes enviados desde la red de bots. En una forma de suplantación de IP, llamada "reflexión", los hackers hacen que parezca que el tráfico malicioso se originó desde la propia dirección IP de la víctima.

Los tipos de ataque de denegación distribuida del servicio (DDoS) suelen nombrarse o describirse en función de la terminología del modelo de referencia de interconexión de sistemas abiertos (OSI), un marco conceptual que define siete "capas" de red (y a veces se denomina modelo OSI de 7 capas).

Como su nombre indica, los ataques a la capa de aplicación se dirigen a la capa de aplicación (capa 7) del modelo OSI, la capa en la que se generan las páginas web en respuesta a las solicitudes de los usuarios. Los ataques a la capa de aplicación interrumpen las aplicaciones web al inundarlos con solicitudes maliciosas.

Uno de los ataques de capa de aplicación más comunes es el ataque de inundación HTTP, en el que un atacante envía continuamente una gran cantidad de solicitudes HTTP de múltiples dispositivos al mismo sitio web. El sitio web no puede mantenerse al día con todas las solicitudes HTTP, y se ralentiza significativamente o se bloquea por completo. Los ataques de inundación HTTP son similares a cientos o miles de navegadores web que actualizan constantemente la misma página web.

Los ataques a la capa de aplicación son relativamente fáciles de lanzar, pero pueden ser difíciles de prevenir y mitigar. A medida que más empresas hacen la transición al uso de microservicios y aplicaciones basadas en contenedores, aumenta el riesgo de que los ataques a la capa de aplicación deshabiliten los servicios críticos en la web y en la nube.

Los ataques de protocolo apuntan a la capa de red (capa 3) y a la capa de transporte (capa 4) del modelo OSI. Su objetivo es saturar los recursos críticos de la red, como firewalls, equilibradores de carga y servidores web, con solicitudes de conexión maliciosas.

Los ataques comunes de protocolo incluyen:

Ataques de inundación SYN. Un ataque de inundación SYN aprovecha el protocolo de enlace TCP, el proceso por el cual dos dispositivos establecen una conexión entre sí.

En un protocolo de enlace TCP típico, un dispositivo envía un paquete SYN para iniciar la conexión, el otro responde con un paquete SYN/ACK para confirmar la solicitud y el dispositivo original envía un paquete ACK para finalizar la conexión.

En un ataque de inundación SYN, el atacante envía al servidor de destino un gran número de paquetes SYN con direcciones IP de origen falsificadas. El servidor envía su respuesta a la dirección IP falsificada y espera el paquete ACK final. Debido a que la dirección IP de origen estaba falsificada, estos paquetes nunca llegan. El servidor está atascado en una gran cantidad de conexiones incompletas, lo que lo deja indisponible para protocolos de enlace TCP legítimos.

Ataques Smurf. Un ataque smurf aprovecha el protocolo de mensajes de control de Internet (ICMP), un protocolo de comunicación utilizado para evaluar el estado de una conexión entre dos dispositivos. En un intercambio de ICMP típico, un dispositivo envía una solicitud de eco ICMP a otro y el último dispositivo envía una respuesta de eco ICMP.

En un ataque smurf, el atacante envía una solicitud de eco ICMP desde una dirección IP falsificada que coincide con la dirección IP de la víctima. Esta solicitud de eco ICMP se envía a una red de transmisión IP que reenvía la solicitud a cada dispositivo en una red determinada. Cada dispositivo que recibe la solicitud de eco ICMP (potencialmente cientos o miles de dispositivos) responde enviando una respuesta de eco ICMP a la dirección IP de la víctima, inundando el dispositivo con más información de la que puede manejar. Al contrario que la mayoría de los ataques de denegación distribuida del servicio (DDoS), los ataques smurf no necesitan obligatoriamente una botnet.

Los ataques DDoS volumétricos consumen todo el ancho de banda disponible dentro de una red de destino o entre un servicio de destino y el resto de Internet, lo que impide que los usuarios legítimos se conecten a los recursos de la red. Los ataques volumétricos suelen inundar redes y recursos con cantidades muy altas de tráfico, incluso en comparación con otros tipos de ataques DDoS. Se sabe que los ataques volumétricos desbordan las medidas de protección DDoS, como los centros de depuración, diseñados para filtrar el tráfico malicioso del legítimo.

Los tipos comunes de ataques volumétricos incluyen:

Inundaciones UDP. Estos ataques envían paquetes falsos de protocolo de diagramas de datos de usuario (UDP) a los puertos de un host objetivo, pidiendo al host que busque una aplicación para recibir estos paquetes. Debido a que los paquetes UDP son falsos, no hay ninguna aplicación para recibirlos, y el host debe enviar un mensaje de "Destino no accesible" al remitente. Los recursos de los hosts se vinculan para responder al flujo constante de paquetes UDP falsos, dejando el host no disponible para responder a paquetes legítimos.

Inundaciones ICMP. También llamados "ataques de inundación de ping", estos ataques bombardean objetivos con solicitudes de eco ICMP desde múltiples direcciones IP falsificadas. El servidor de destino debe responder a todas estas solicitudes, por lo que se sobrecarga y no puede procesar solicitudes de eco ICMP válidas. Las inundaciones ICMP se diferencian de los ataques smurf en que los atacantes envían un gran número de solicitudes ICMP desde sus botnets en lugar de engañar a los dispositivos de red para que envíen respuestas ICMP a la dirección IP de la víctima.

Ataques de amplificación de DNS. En este caso, el atacante envía varias solicitudes de búsqueda del sistema de nombres de dominio (DNS) a uno o muchos servidores DNS públicos. Estas solicitudes de búsqueda utilizan una dirección IP falsificada que pertenece a la víctima y solicitan a los servidores DNS que devuelvan una gran cantidad de información por solicitud. Luego, el servidor DNS responde a las solicitudes inundando la dirección IP de la víctima con grandes cantidades de datos.

Como su nombre lo indica, los ataques multivector explotan múltiples vectores de ataque para maximizar el daño y frustrar los esfuerzos de mitigación de denegación distribuida del servicio (DDoS). Los atacantes pueden usar varios vectores simultáneamente o cambiar entre vectores a mitad del ataque, cuando se defiende un vector. Por ejemplo, los hackers pueden comenzar con un ataque smurf, pero una vez que se cierra el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.

Las amenazas de denegación distribuida del servicio (DDoS) también se pueden combinar con otros ataques cibernéticos. Por ejemplo, los atacantes de ransomware pueden presionar a sus víctimas amenazando con montar un ataque de denegación distribuida del servicio (DDoS) si no se paga el rescate.

Los ataques DDoS han persistido durante tanto tiempo, y se han hecho cada vez más populares entre los delincuentes cibernéticos con el paso del tiempo, porque:

• Requieren poca o ninguna habilidad para realizarlos. Al contratar botnets ya preparadas de otros hackers, los delincuentes cibernéticos pueden lanzar fácilmente ataques DDoS por sí solos con poca preparación o planificación.
  
  
• Son difíciles de detectar. Dado que las redes de bots se componen en gran parte de dispositivos comerciales y de consumo, puede resultar difícil para las organizaciones separar el tráfico malicioso de los usuarios reales. Además, los síntomas de los ataques DDoS (servicio lento, y sitios y aplicaciones no disponibles temporalmente) también pueden ser causados por picos repentinos en el tráfico legítimo, lo que dificulta la detección de los ataques DDoS en sus primeras etapas.
  
  
• Son difíciles de mitigar. Una vez que se ha identificado un ataque de denegación distribuida del servicio (DDoS), la naturaleza distribuida del ciberataque significa que las organizaciones no pueden simplemente bloquear el ataque cerrando una sola fuente de tráfico. Los controles estándar de seguridad de la red destinados a advertir ataques de denegación distribuida del servicio (DDoS), como la limitación de velocidad, también pueden ralentizar las operaciones para usuarios legítimos.
  
  
• Hay más dispositivos de botnet potenciales que nunca. El auge del Internet de las cosas (IoT) ha dado a los hackers una fuente rica de dispositivos para convertirse en bots. Los dispositivos, herramientas y dispositivos habilitados para Internet (incluida la tecnología operativa - OT -, como los dispositivos sanitarios y los sistemas de fabricación) a menudo se venden y funcionan con valores predeterminados universales y controles de seguridad débiles o inexistentes, lo que los hace particularmente vulnerables a la infección de malware. Puede resultar difícil para los propietarios de estos dispositivos darse cuenta de que han sido comprometidos, ya que los dispositivos IoT y OT a menudo se utilizan de forma pasiva o con poca frecuencia.

Los ataques de denegación distribuida del servicio (DDoS) son cada vez más sofisticados a medida que los hackers adoptan herramientas de inteligencia artificial (IA) y aprendizaje automático (ML) para ayudar a dirigir sus ataques. Esto ha provocado un aumento en los ataques de denegación distribuida del servicio (DDoS) adaptativos, que utilizan IA y aprendizaje automático (ML) para encontrar los aspectos más vulnerables de los sistemas y cambiar automáticamente los vectores de ataque y las estrategias en respuesta a los esfuerzos de mitigación de DDoS de un equipo de ciberseguridad.

El propósito de un ataque de denegación distribuida del servicio (DDoS) es interrumpir las operaciones del sistema, lo que puede conllevar un alto costo para las organizaciones. Según el informe Costo de una filtración de datos 2022 de IBM, las interrupciones del servicio, el tiempo de inactividad del sistema y otras interrupciones del negocio causadas por un ciberataque cuestan a las organizaciones USD 1.42 millones en promedio. En 2021, un ataque de denegación distribuida del servicio (DDoS) le costó a un proveedor de VoIP casi 12 millones de dólares.

El mayor ataque de denegación distribuida del servicio (DDoS) registrado, que generó 3,47 terabits de tráfico malicioso por segundo, tuvo como objetivo a un cliente de Microsoft Azure en noviembre de 2021. Los atacantes emplearon una botnet de 10 000 dispositivos de todo el mundo para bombardear a la víctima con 340 millones de paquetes por segundo.

Los ataques de denegación distribuida del servicio (DDoS) también se han empleado contra gobiernos, incluido un ataque a Bélgica en 2021. Los piratas informáticos atacaron a un proveedor de servicios de Internet (ISP) de gobierno para cortar las conexiones a Internet de más de 200 organismos públicos, universidades e institutos de investigación.

Cada vez más, los hackers utilizan la denegación distribuida del servicio (DDoS) no como ataque principal, sino para distraer a la víctima de un delito cibernético más grave, por ejemplo, filtrar datos o desplegar ransomware en una red mientras el equipo de ciberseguridad está ocupado defendiéndose del ataque DDoS.

Los esfuerzos de mitigación y protección de DDoS normalmente descansan en la desviación del flujo de tráfico malicioso lo más rápido posible, como por ejemplo, enrutar el tráfico de la red a centros de depuración o utilizar balanceadores de carga para redistribuir el tráfico de ataque. Con ese fin, las empresas que buscan reforzar sus defensas contra los ataques DDoS pueden adoptar tecnologías que puedan identificar e interceptar el tráfico malicioso, que incluyen:

• Cortafuegos de aplicaciones web. Firewalls de aplicaciones web. En la actualidad, la mayoría de las organizaciones utilizan cortafuegos perimetrales y de aplicaciones web (WAF) para proteger sus redes y aplicaciones de actividades maliciosas. Aunque los cortafuegos estándar se protegen a nivel de puerto, los WAF garantizan la seguridad de las solicitudes antes de reenviarlas a servidores web. El WAF sabe qué tipos de solicitudes son legítimas y cuáles no, lo que le permite eliminar el tráfico malicioso y evitar ataques a la capa de aplicación.
  

• Redes de distribución de contenidos (CDN). Una CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios en línea de forma más rápida y fiable. Con una CDN implementada, las solicitudes de los usuarios no vuelven al servidor de origen del servicio. En su lugar, se enrutan a un servidor CDN geográficamente más cercano que entrega el contenido. Las CDN pueden ayudar a protegerse contra ataques de denegación distribuida del servicio (DDoS) aumentando la capacidad general de un servicio para el tráfico. En caso de que un servidor CDN caiga a causa de un ataque DDoS, el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.

• SIEM (gestión de eventos e información de seguridad). Los sistemas SIEM ofrecen una gama de funciones para detectar ataques de denegación distribuida del servicio (DDoS) y otros ciberataques al principio de sus ciclos de vida, incluida la gestión de registros y los insights de la red. Las soluciones SIEM gestionan de manera centralizada los datos de seguridad generados por herramientas de seguridad on-premises y basadas en la nube. Los SIEM pueden supervisar dispositivos y aplicaciones conectados para detectar incidentes de seguridad y comportamientos anormales, como pings excesivos o solicitudes de conexión ilegítimas. Luego, el SIEM señala estas anomalías para que el equipo de ciberseguridad tome las medidas adecuadas.
  
• Tecnología de detección y respuesta. Las soluciones de detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendida (XDR) utilizan analíticas avanzadas e IA para monitorear la infraestructura de red en busca de indicadores de compromiso, tales como patrones de tráfico anormales que pueden indicar ataques de denegación distribuida del servicio (DDoS) y capacidades de automatización para responder a ataques en tiempo real (por ejemplo, terminar conexiones de red sospechosas).