Los ataques DDoS son un tipo de ataque informático que tienen como objetivo que un sitio web o servicio en línea sea inaccesible para los usuarios, al inundarlo con un gran número de solicitudes de tráfico de red.
Pueden tener un impacto significativo en la disponibilidad del sitio web y, por lo tanto, en la experiencia del usuario. A tal punto que si no se toman medidas preventivas contra estos ataques las consecuencias pueden ser realmente graves: pérdida de ingresos, daño a la reputación y, en algunos casos extremos, hasta la pérdida de datos personales y confidenciales.
¿Qué es un ataque DDos y cómo funciona
El ataque DDoS consiste en el envío de múltiples solicitudes al sitio web que se pretende atacar, con el objetivo de sobrecargarlo y evitar su correcto funcionamiento. Los DDoS suelen ser orquestados por un grupo de personas o automatismos que salen desde muchos equipos a la vez. Este flujo masivo de datos hace que los recursos del servidor acaben no siendo suficientes, provocando un colapso.
Algunos de los blancos que suelen ser objeto de un ataque DDoS son las páginas de comercio electrónico, plataformas de casinos en línea y los sitios web de cualquier empresa u organización que ofrezca servicios en línea y dependa de ellos.
Se trata de un tipo de ataque que puede ocurrir dada la esencia pura de los sitios web, debido a que todos ellos tienen una capacidad limitada de solicitudes que pueden manejar al mismo tiempo. Además, el ancho de banda del canal que conecta el servidor a Internet también tiene una capacidad finita. Cuando el número de solicitudes excede la capacidad de cualquiera de los componentes de la infraestructura, el servicio puede verse afectado de las siguientes formas: la respuesta a las solicitudes puede ser más lenta de lo normal o las solicitudes de los usuarios pueden ser ignoradas.
Así es como funciona un ataque DDoS, impidiendo por completo el desempeño normal del recurso web, lo que se conoce como una interrupción del servicio. El atacante también puede exigir un pago para detener el ataque.
En tiempo real
Los ataques DDoS en tiempo real son uno de los tipos de ataque DDoS en el que múltiples dispositivos envían un gran volumen de tráfico a un servidor o sitio web, con el objetivo de sobrecargarlo y hacer que deje de funcionar. Estos ataques suelen ser llevados a cabo por cibercriminales.
Para llevar a cabo un ataque DDoS, los ciberdelincuentes utilizan una red de dispositivos comprometidos, conocidos como “bots”. Estos bots pueden ser computadoras, teléfonos inteligentes, routers u otros dispositivos conectados a Internet, infectados con un software malicioso que les permite ser controlados de forma remota. Cuando los bots reciben la orden, llevan adelante un gran número de ataques volumétricos al servidor o sitio web objetivo, sobrecargándolo y haciendo que se vuelva inaccesible para los usuarios legítimos.
Características comunes
Los ataques DDoS comparten algunas características comunes que los hacen distinguibles de otros tipos de ataques informáticos. En primer lugar, éstos son llevados a cabo por los mencionados “bots” que, por lo general, como ya hemos dicho, son infectados con malware previamente y controlados por el atacante de forma remota.
Otra característica común de los ataques DDoS es su capacidad de evolución y adaptación. Los atacantes pueden utilizar técnicas cada vez más sofisticadas y variadas, como la amplificación de paquetes, el envenenamiento de DNS y el uso de botnets de IoT, para llevar a cabo sus ataques.
Además, los ataques pueden tener una duración variable, desde unos pocos minutos hasta varias semanas, y pueden ser dirigidos a objetivos específicos o ser indiscriminados.
Tipos y técnicas de ataque DDos
Existen varios tipos y técnicas de ataques DDoS que pueden ser utilizados por los ciberdelincuentes.
Ataque DDoS de inundación
El ataque DDoS de inundación es el que envía una gran cantidad de solicitudes falsas al servidor o sitio web objetivo, sobrecargándolo y haciendo que deje de funcionar. Este tipo de ataque puede ser realizado con diferentes protocolos, como el TCP, UDP y ICMP, entre otros.
Ataque DDoS de amplificación
Otra técnica utilizada en los ataques DDoS es la amplificación de paquetes, en la que el atacante envía una pequeña solicitud a un servidor de terceros que responde con una gran cantidad de datos, amplificando así el volumen de tráfico enviado al objetivo.
La técnica de envenenamiento de DNS es otra técnica utilizada en los ataques DDoS, en la que el atacante modifica el registro DNS del sitio web objetivo para redirigir el tráfico a servidores maliciosos. En este tipo de ataque, el atacante aprovecha la funcionalidad de los solucionadores de DNS abiertos para lograr una reflexión, lo que significa que el tráfico es redirigido desde múltiples fuentes a la víctima.
Ataque DDoS en la capa de aplicación
Al hablar de los ataques DDoS en la capa de aplicación o capa 7 (L7), nos referimos a un tipo de ataque malintencionado que apunta específicamente a la capa superior del modelo OSI, donde se realizan las solicitudes comunes de internet como HTTP GET y HTTP POST. A diferencia de los ataques en la capa de red, como la Amplificación del DNS, los ataques a la capa 7 son particularmente dañinos porque no solo consumen los recursos de red, sino también los recursos del servidor.
Ataque DDoS bajo y lento
A diferencia de los ataques DDoS a gran escala que suelen ser detectados de forma rápida, los ataques de tipo “bajo y lento” pueden pasar desapercibidos durante largos periodos de tiempo, lo que les permite causar daño sin ser detectados.
Estos ataques son especialmente peligrosos ya que su objetivo es negar o ralentizar el servicio a los usuarios reales, lo que puede tener un gran impacto en la reputación y en la confianza de los usuarios en la empresa u organización afectada.
Ataques más potentes sufridos en México
Según cifras aportadas por el BNA (Banco Nacional de las Américas), México es el país de América Latina que más ciberataques sufre. Los datos aportan que entre enero y junio de 2022, México padeció más de 85.000 millones de ciberataques.
Uno de los ataques DDos más conocidos sufridos en México fue el del Banco de México, en el año 2020. En dicha oportunidad, Banxico reportó que había sufrido un ataque cibernético por el cual no se podía tener acceso a su página de internet.
Según el informe del estado de la ciberseguridad 2020 publicado por Akamai, desde marzo de 2018 hasta junio de 2019, los ataques DDos fueron el vector más utilizado para atacar a la industria financiera. Durante ese periodo, el 40% de todos los ataques DDoS a nivel mundial fueron dirigidos a esta industria.
Consecuencias de los ataques, primeros síntomas
Una de las principales consecuencias es la interrupción del servicio o la negación del acceso a los recursos críticos. Esto puede afectar la productividad de los empleados y la capacidad de las empresas para brindar servicios a sus clientes, lo que puede resultar en la pérdida de ingresos y la disminución de la satisfacción del cliente.
Además, los ataques DDoS también pueden tener un impacto negativo en la reputación de la empresa. Si los clientes no pueden acceder a los servicios o los tiempos de respuesta son muy lentos, pueden perder la confianza en la empresa y buscar alternativas en la competencia.
La “red zombi” de botnet
Una red zombi o botnet es una red de dispositivos conectados a Internet que han sido infectados por malware, el cual les permite ser controlados por el atacante de manera remota. Los dispositivos infectados se convierten en “bots” o “zombis” que pueden ser utilizados por el atacante para llevar a cabo diferentes acciones maliciosas, incluyendo ataques DDoS, donde se utiliza una IP de origen falsificada para ocultar la verdadera fuente del ataque y dificultar su identificación.
La creación de botnets suele llevarse a cabo mediante técnicas de ingeniería social o la explotación de vulnerabilidades en los sistemas. Los dispositivos más comúnmente infectados son los ordenadores personales, los servidores y los dispositivos IoT como los enrutadores, sistemas de videovigilancia y otros dispositivos inteligentes. Además, es necesario prestar especial atención a la detección de dirección IP falsificada, lo que permitirá identificar de manera más eficiente los ataques que se están llevando a cabo en la red.
¿Cómo se realiza un ataque DDoS
Los atacantes pueden utilizar una variedad de técnicas para lanzar ataques DDoS, como el spoofing de IP, en el que se falsifican las direcciones de origen de los paquetes, para evitar la detección y la mitigación de los ataques.
A su vez, se pueden aplicar distintos mecanismos. Por ejemplo, una de las herramientas más utilizadas en la actualidad es “Low Orbit Ion Cannon (LOIC)”, una aplicación de código abierto que permite a los usuarios realizar ataques a través de la capa de protocolo TCP y UDP, utilizando una interfaz sencilla.
Otro de los métodos más comunes es “High Orbit Ion Cannon (HOIC)”. Se trata de una herramienta de ataque que ha sido desarrollada para reemplazar a LOIC. HOIC utiliza el protocolo HTTP para llevar a cabo ataques más sofisticados y difíciles de mitigar, y está diseñada para que al menos 50 personas trabajen juntas en un intento de ataque coordinado.
La última de las opciones es a través de Slowloris, una herramienta que se enfoca en provocar un ataque lento y de bajo consumo de ancho de banda en el servidor objetivo. Esta aplicación utiliza una cantidad relativamente limitada de recursos para lograr su efecto perjudicial. Similar a ella, existe R.U.D.Y (R-U-Dead-Yet), la cual permite al usuario lanzar ataques lentos a través de una interfaz interactiva sencilla. Al abrir múltiples solicitudes HTTP POST y mantener esas conexiones abiertas el máximo de tiempo posible, el objetivo del ataque es saturar lentamente al servidor de destino.
Así se protege
Es importante destacar que los ataques DDoS pueden ser especialmente peligrosos para sitios web y aplicaciones que no cuentan con medidas de seguridad adecuadas. Un firewall de aplicaciones web ayudaría en la protección contra ataques DDoS al filtrar el tráfico malicioso y permitir solo el tráfico legítimo.
Sin embargo, para enfrentar los ataques distribuidos DDoS (DDoS) se requiere de una solución más robusta que pueda mitigar la magnitud de los ataques. Es por eso que es recomendable contar con una estrategia de mitigación de DDoS que incluya la combinación de soluciones tecnológicas y medidas preventivas, como la monitorización del tráfico de red y la capacitación de los usuarios para detectar y prevenir ataques maliciosos.
El objetivo principal
En conclusión, el objetivo principal de un ataque DDoS es abrumar y sobrecargar un sitio web o servidor con una cantidad masiva de tráfico falso, para que deje de funcionar y se convierta en un objeto de denegación de servicio distribuido DDoS.
Esto puede tener graves consecuencias, desde la interrupción del servicio y la pérdida de ingresos, hasta la pérdida de la reputación y la confianza de los usuarios en el sitio web o la empresa afectada.
