Los ataques DDoS son un tipo de ataque informático que tienen como objetivo que un sitio web o servicio en línea sea inaccesible para los usuarios, al inundarlo con un gran número de solicitudes de tráfico de red.
Recordemos que la ciberseguridad en México es primordial, ya que es uno de los países que más ciberataques recibe en América Latina.
Entre los principales vectores para ciberataques están: correo electrónico/ phishing (59%); ransomware (54%) y terceros/cadena de suministro (46%) los principales vectores de ataque.
Los ataques DDoS pueden tener un impacto significativo en la disponibilidad del sitio web y, por lo tanto, en la experiencia del usuario.
A tal punto que, si no se toman medidas preventivas contra estos ataques, las consecuencias pueden ser realmente graves:
- Pérdida de ingresos
- Daño a la reputación
- Y, en casos extremos, hasta la pérdida de datos personales y confidenciales.
¿Qué es un ataque DDoS y cómo funciona?
El ataque de denegación de servicio (DDoS por sus siglas en inglés) consiste en el envío de múltiples solicitudes al sitio web que se pretende atacar, con el objetivo de sobrecargarlo y evitar su correcto funcionamiento.
Los DDoS suelen ser orquestados por un grupo de personas o automatismos que salen desde muchos equipos a la vez.
Este flujo masivo de datos hace que los recursos del servidor acaban no siendo suficientes, provocando un colapso.
Los principales blancos de los ataques DDoS
Algunos de los blancos que suelen ser objeto de un ataque DDoS son las páginas de comercio electrónico, plataformas de casinos en línea y los sitios web de cualquier empresa u organización que ofrezca servicios en línea y dependa de ellos.
Se trata de un tipo de ataque que puede ocurrir dada la esencia pura de los sitios web, debido a que todos ellos tienen una capacidad limitada de solicitudes que pueden manejar al mismo tiempo.
Además, el ancho de banda del canal que conecta el servidor a Internet también tiene una capacidad finita.
Cuando el número de solicitudes excede la capacidad de cualquiera de los componentes de la infraestructura, el servicio puede verse afectado de las siguientes formas: la respuesta a las solicitudes puede ser más lenta de lo normal o las solicitudes de los usuarios pueden ser ignoradas.
Un ataque DDoS impide por completo el desempeño normal del recurso web, lo que se conoce como una interrupción del servicio.
Cuando esto ocurre, el atacante extorsiona a los propietarios del sitio para detener el ataque a cambio de un pago económico.
Así funciona un ataque DDoS en tiempo real
Los ataques DDoS en tiempo real son uno de los tipos de ataque en donde múltiples dispositivos envían un gran volumen de tráfico a un servidor o sitio web, con el objetivo de sobrecargarlo y hacer que deje de funcionar.
Estos ataques son perpetrados por cibercriminales con diversas motivaciones, que van desde fines financieros y competencia desleal hasta activismo político y vandalismo digital.
Son devastadores para los sitios web: causan pérdidas financieras, daños en la reputación de la empresa e incluso afectan a su posicionamiento en los motores de búsqueda.
Bots y los ataques DDoS
Para llevar a cabo el ataque DDoS, los ciberdelincuentes utilizan una red de dispositivos comprometidos, conocidos como bots.
Estos, generalmente computadoras, teléfonos inteligentes, routers u otros dispositivos conectados a Internet, están infectadas con un software malicioso que permite a los atacantes controlarlas de forma remota.
Cuando los bots reciben la orden envían tráfico malicioso al sitio web de la víctima, con el objetivo de sobrecargarlo de demanda y hacer que se vuelva inaccesible para los usuarios legítimos.
La magnitud del ataque dependerá del número de dispositivos comprometidos y de la capacidad de estos para generar tráfico.
Características comunes de un ataque DDoS
Los ataques DDoS comparten algunas características comunes que los hacen distinguibles de otros tipos de ataques informáticos.
Usan bots infectados con malware
En primer lugar, éstos son llevados a cabo por los mencionados “bots” que, por lo general, son infectados previamente con malwares y controlados por el atacante de forma remota.
Tienen capacidad de evolucionar y adaptarse
Otra característica común de los ataques DDoS es su capacidad de evolución y adaptación. Los atacantes pueden utilizar técnicas cada vez más sofisticadas y variadas, como la amplificación de paquetes, el envenenamiento de DNS y el uso de botnets de IoT, para llevar a cabo sus ataques.
¿Cuánto tiempo dura un ataque DDoS?
Respecto a cuánto puede durar un ataque DDoS, la empresa de telecomunicaciones Cisco indica que, en promedio, un 33% de los ataques DDoS se prolongan una hora; el 60% menos de un día completo y un 15% hasta un mes.
Cuánto persista el ataque dependerá de dos motivos: Los recursos disponibles del atacante para destinar un tiempo considerable al ataque y la eficacia de la víctima para implementar medidas que mitiguen el ataque.
Consecuencias de los ataques, primeros síntomas
Una de las principales consecuencias es la interrupción del servicio o la negación del acceso a los recursos críticos.
Esto puede afectar la productividad de los empleados y la capacidad de las empresas para brindar servicios a sus clientes, lo que puede resultar en la pérdida de ingresos y la disminución de la satisfacción del cliente.
Primeros síntomas de un ataque DDoS
Cuando esto ocurre, el owner de un sitio puede reconocer que es víctima de un ataque DDoS por distintos síntomas que aparecen, entre los que se destacan:
- El sitio web se ralentiza inesperadamente;
- Interrupciones intermitentes y total inaccesibilidad del servicio;
- Los usuarios idóneos del sitio experimentan tiempos largos de carga y errores de conexión;
- Ante un monitoreo de tráfico aparecen caídas bruscas de visitas o patrones de audiencia poco comunes.
Ataques DDoS impactan reputación de las organizaciones
Además, los ataques DDoS también pueden tener un impacto negativo en la reputación de la empresa.
Si los clientes no pueden acceder a los servicios o los tiempos de respuesta son muy lentos, pueden perder la confianza en la empresa y buscar alternativas en la competencia.
Tipos y técnicas de ataque DDoS
Existen varios tipos y técnicas de ataques DDoS que pueden ser utilizados por los ciberdelincuentes.
Ataque DDoS de inundación
El ataque DDoS de inundación es el que envía una gran cantidad de solicitudes falsas al servidor o sitio web objetivo, sobrecargándolo y haciendo que deje de funcionar.
Este tipo de ataque puede ser realizado con diferentes protocolos, como el TCP, UDP y ICMP, entre otros.
En el segundo semestre de 2023, el Informe de Inteligencia sobre Amenazas DDoS de Netscout registró 2.273 ataques de este tipo utilizando ICMP y 778 utilizando TCP SYN.
Ataque DDoS de amplificación
Otra técnica utilizada en los ataques DDoS es la amplificación de paquetes, en la que el atacante envía una pequeña solicitud a un servidor de terceros que responde con una gran cantidad de datos, amplificando así el volumen de tráfico enviado al objetivo.
Los vectores de ataque de amplificación fueron los más usados por hacktivistas en México.
Durante 2023, se reportaron 7.874 ataques utilizando DNS amp y 764 NTP amp.
Envenenamiento de DNS
La técnica de envenenamiento de DNS es otra técnica utilizada en los ataques DDoS, en la que el atacante modifica el registro DNS del sitio web objetivo para redirigir el tráfico a servidores maliciosos.
En este tipo de ataque, el atacante aprovecha la funcionalidad de los solucionadores de DNS abiertos para lograr una reflexión, lo que significa que el tráfico es redirigido desde múltiples fuentes a la víctima.
Ataque DDoS en la capa de aplicación
Al hablar de los ataques DDoS en la capa de aplicación o capa 7 (L7), nos referimos a un tipo de ataque malintencionado que apunta específicamente a la capa superior del modelo OSI, donde se realizan las solicitudes comunes de internet como HTTP GET y HTTP POST.
A diferencia de los ataques en la capa de red, como la Amplificación del DNS, los ataques a la capa 7 son particularmente dañinos porque no solo consumen los recursos de red, sino también los recursos del servidor.
Ataque DDoS bajo y lento
A diferencia de los ataques DDoS a gran escala que suelen ser detectados de forma rápida, los ataques de tipo “bajo y lento” pueden pasar desapercibidos durante largos periodos de tiempo, lo que les permite causar daño sin ser detectados.
Estos ataques son especialmente peligrosos ya que su objetivo es negar o ralentizar el servicio a los usuarios reales, lo que puede tener un gran impacto en la reputación y en la confianza de los usuarios en la empresa u organización afectada.
En el segundo semestre de 2023, se reportaron 3.454 ataques utilizando L2TP Amp en México, un método que puede ser utilizado en ataques de este tipo.
Ataque DoS y DDoS ¿cuál es más grave?
En relación a los ataques de denegación de servicio (DoS por sus siglas en inglés), la web de Amazon Web Services explica que su principal diferencia contra los DDoS es la cantidad de fuentes que utilizan para abrumar un sitio:
- El ataque DoS utiliza una sola fuente, por ejemplo, un ordenador;
- El ataque DDoS se hace de múltiples fuentes, como una botnet con miles de dispositivos infectados.
Los DDoS son, generalmente, más peligrosos debido a la distribución de las fuentes de ataque, lo que complica su defensa o bloqueo y son difíciles de mitigar.
Detectar un ataque DoS es menos grave y fácil de exterminar debido a la escasa cantidad de fuentes que utiliza para debilitar el tráfico de un sitio.
Ataques más potentes que han afectado a la ciberseguridad en México
Netscout aportó cifras que indican que los ataques DDoS son una de las 15 amenazas cibernéticas más comunes en el mundo.
En su mayoría, muchas de ellas provienen de hacktivismo político relacionado con el conflicto entre Rusia y Ucrania hasta incluso ataques contra la industria del juego.
Dentro de ese panorama, México está séptimo en el ranking de países con más ciberataques de América Latina.
El total de ataques en la región aumentó un 8% en relación con los números publicados por Netscout durante el segundo semestre de 2022.
Para 2023, los ciberataques que se registraron en México fueron 16.711, cifra que representa un 2% de los 786.853 ataques totales en Latinoamérica.
En la lista, Brasil ocupó el primer puesto, seguido de Argentina, Ecuador, Perú, Colombia y Chile.
Guacamaya Leaks
Uno de los más recientes ocurrió en 2022, cuando la Secretaría de la Defensa Nacional de México (SEDENA) reportó un hackeo masivo realizado por el grupo de activistas Guacamaya Leaks.
Se calcula que obtuvieron seis terabytes de datos confidenciales y, debido a la gravedad de la información, es uno de los más potentes en la historia del país.
Los guacamayas leaks revelaron información confidencial sobre el estado de salud del presidente López Obrador, además de filtrar operaciones militares como el Culiacanazo y divulgar diferencias internas en el gobierno.
La noticia la publicó el Servicio de Medios Públicos Capital 21 y recorrió el mundo entero, ya que simultáneamente los hacktivistas vulneraron redes militares y empresas mineras en Colombia, Guatemala e incluso Chile en Sudamérica.
El informe del estado de la ciberseguridad 2020 de Akamai, describe que desde marzo de 2018 hasta junio de 2019 los ataques DDoS fueron el vector más utilizado para atacar a la industria financiera.
Durante ese periodo, el 40% de todos los ataques DDoS a nivel mundial se dirigieron a esta industria.
La “red zombi” de botnet
Una red zombi o botnet es una red de dispositivos conectados a Internet que han sido infectados por malware, el cual les permite ser controlados por el atacante de manera remota.
Los dispositivos infectados se convierten en “bots” o “zombis” que pueden ser utilizados por el atacante para llevar a cabo diferentes acciones maliciosas.
Pishing, una de las más comunes
El phishing es una de las más comunes, el envío de spam a otros equipos, ciberataques a gran escala e incluso ataques DDoS.
En este último, se utiliza una IP de origen falsificada para ocultar la verdadera fuente del ataque y dificultar su identificación.
Es necesario prestar especial atención a la detección de dirección IP falsificada, lo que permitirá identificar de manera más eficiente los ataques que se están llevando a cabo en la red.
La creación de botnets suele llevarse a cabo mediante técnicas de ingeniería social o la explotación de vulnerabilidades en los sistemas.
Los dispositivos más comúnmente infectados son los ordenadores personales, los servidores y los dispositivos IoT como los enrutadores, sistemas de videovigilancia y otros dispositivos inteligentes.
Cómo crear una botnet
Para crear y usar botnets, la empresa de antivirus Avast dice que los hackers dividen su ataque en tres etapas: Infectar el dispositivo, ampliar la botnet y activarla para cumplir su cometido.
1. Infección:
El hacker, quien es propietario de los bots, debe introducir el malware de la botnet en los equipos de sus víctimas. La descarga e instalación de la botnet se suele hacer mediante malwares a los que las personas acceden vía ingeniería social. El más común es un troyano;
2. Expansión:
Luego, los equipos zombis son utilizados para infectar otros dispositivos, armando una cadena que propaga automáticamente el malware en dispositivos más vulnerables;
3. Ataque:
Una vez que la red zombi de botnets adquiere un tamaño significativo, el hacker puede usar la potencia combinada de todos los dispositivos infectados para cualquier fin, desde devastadores ataques DDoS hasta actividades de criptominería.
¿Cómo se realiza un ataque DDoS?
Los atacantes pueden utilizar una variedad de técnicas para lanzar ataques DDoS, como el spoofing de IP, en el que se falsifican las direcciones de origen de los paquetes, para evitar la detección y la mitigación de los ataques.
A su vez, se pueden aplicar distintos mecanismos. Por ejemplo, una de las herramientas más utilizadas en la actualidad es “Low Orbit Ion Cannon (LOIC)”, una aplicación de código abierto que permite a los usuarios realizar ataques a través de la capa de protocolo TCP y UDP, utilizando una interfaz sencilla.
Otro de los métodos más comunes es “High Orbit Ion Cannon (HOIC)”. Se trata de una herramienta de ataque que ha sido desarrollada para reemplazar a LOIC.
HOIC utiliza el protocolo HTTP para llevar a cabo ataques más sofisticados y difíciles de mitigar, y está diseñada para que al menos 50 personas trabajen juntas en un intento de ataque coordinado.
La última de las opciones es a través de Slowloris, una herramienta que se enfoca en provocar un ataque lento y de bajo consumo de ancho de banda en el servidor objetivo.
Esta aplicación utiliza una cantidad relativamente limitada de recursos para lograr su efecto perjudicial.
Similar a ella, existe R.U.D.Y (R-U-Dead-Yet), la cual permite al usuario lanzar ataques lentos a través de una interfaz interactiva sencilla.
Al abrir múltiples solicitudes HTTP POST y mantener esas conexiones abiertas el máximo de tiempo posible, el objetivo del ataque es saturar lentamente al servidor de destino.
Las 6 industrias con más ataques DDoS en México
La siguiente lista resume las industrias más afectadas por ataques DDoS en México durante el segundo cuatrimestre de 2023. La sexta te sorprenderá.
Operadores de telecomunicaciones inalámbricas
Enfrentaron con mayor frecuencia ataques DDoS, con 1.522 incidentes reportados.
El ataque más grande registrado alcanzó los 62.36 Gbps, causando un impacto máximo de 6.1 millones de paquetes por segundo (Mpps) y con una duración promedio de 122 minutos;
Operadores de telecomunicaciones por cable
En total, se reportaron 727 ataques, con un máximo de 50.92 Gbps y un impacto máximo de 5.37 Mpps.
La duración promedio de los ataques DDoS en telecomunicaciones por cable fue de 67 minutos;
Procesamiento de datos, alojamiento y servicios
En el sector de procesamiento de datos y alojamiento, se registraron 198 ataques DDoS, con un ataque máximo de 6.77 Gbps y un impacto de 1.53 Mpps.
La duración promedio de estos ataques es de 28 minutos;
Todas las demás telecomunicaciones
Este grupo, que incluye diversas telecomunicaciones, sufrió 150 ataques DDoS. El ataque más grande alcanzó 1.97 Gbps, con un impacto máximo de 0.29 Mpps.
En promedio, los ataques perduraron 33 minutos.
Portales de publicación y radio en internet y búsqueda web
Experimentaron 116 ataques DDoS, con un ataque máximo de 0.65 Gbps y un impacto de 0.17 Mpps.
La duración de estos ataques fue la más prolongada de todas: 322 minutos en promedio;
Tiendas de juguetes y juegos para pasatiempo
Las jugueterías fueron blanco de 4 ataques DDoS, con un ataque máximo de 0.57 Gbps y un impacto de 0.05 Mpps.
Estos ataques duraron en promedio de 5 minutos.
¿Cómo protegerse de un ataque DDoS?
Es importante destacar que los ataques DDoS pueden ser especialmente peligrosos para sitios web y aplicaciones que no cuentan con medidas de seguridad adecuadas.
Un firewall de aplicaciones web ayudaría en la protección contra ataques DDoS al filtrar el tráfico malicioso y permitir solo el tráfico legítimo.
Medidas preventivas contra ataques DDoS
Sin embargo, para enfrentar los ataques distribuidos DDoS se requiere de una solución más robusta que pueda mitigar la magnitud de los ataques.
Es por eso que es recomendable contar con una estrategia de mitigación de DDoS que incluya la combinación de soluciones tecnológicas y medidas preventivas, tales como:
- Limitar los puntos de ataque potenciales mediante el uso de balanceadores de carga para proteger los recursos críticos;
- Asegurar una capacidad de ancho de banda adecuada y la capacidad de escalar recursos de servidores rápidamente;
- Implementar técnicas de limitación de velocidad y análisis del tráfico para diferenciar entre tráfico legítimo y malicioso;
- Implementar un Firewall de Aplicaciones Web (WAF) para mitigar ataques sofisticados y personalizar las reglas de mitigación;
- Establecer un monitoreo constante y tener un plan de respuesta rápida para identificar y mitigar los ataques rápidamente.
Conclusiones
En conclusión, el objetivo principal de un ataque DDoS es abrumar y sobrecargar un sitio web o servidor con una cantidad masiva de tráfico falso, para que deje de funcionar y se convierta en un objeto de denegación de servicio distribuido DDoS.
Esto puede tener graves consecuencias, desde la interrupción del servicio y la pérdida de ingresos, hasta la pérdida de la reputación y la confianza de los usuarios en el sitio web o la empresa afectada.
