El bajo rendimiento y la inactividad son los principales enemigos de cualquier negocio online, pues resultan en la pérdida de ventas y conversiones y en una reputación dañada. Usualmente, los problemas relacionados con el sitio web se deben a una infraestructura de servidor deficiente o picos de tráfico inusuales. No obstante, a veces hay algo más siniestro en el fondo.
Existen nuevos métodos de ataque cibernético que burlan las mejoras de ciberseguridad. Entre los más infames se encuentra el ataque distribuido de denegación de servicio o ataque DDoS (por sus siglas en inglés).
![<< Descubre cómo proteger la seguridad web de tu empresa .[Guía gratis] >>](https://no-cache.hubspot.com/cta/default/53/d5e771e2-b59c-41b7-924a-2608c1ddd4eb.png){kind=small}
Los ataques DDoS han aumentado con el paso de los años, e incluso en repetidas ocasiones contra empresas como Amazon y la BBC, aunque no solo las grandes corporaciones son víctimas de estos percances. Si tu empresa tiene un sitio web, podrías correr ese riesgo. Por ello, lo mejor es comprender de qué trata este delito cibernético.
Entonces, ¿qué exactamente es un ataque DDoS? En esta guía analizaremos qué significan los conceptos DDoS y DoS, cómo se llevan a cabo los ataques y por qué tu negocio puede ser el objetivo.
¿Qué es un ataque DDoS?
Un ataque distribuido de denegación de servicio (DDoS) es un ataque cibernético que intenta ralentizar o bloquear un sitio o servicio web sobrecargando los servidores o recursos de red con tráfico web.
Los ataques DDoS generalmente se logran con redes de bots. Estas son unas redes masivas de computadoras o bots enfocados y controlados por hackers. La también llamada botnet apunta a un único servicio web, que es saturado por solicitudes. En última instancia, esto hace que el servicio de destino no esté disponible para los usuarios normales; en otras palabras, les niega el servicio.
Este tipo de ataques son posibles porque todos los servicios web tienen una capacidad limitada para manejar las solicitudes del navegador. Ante una afluencia repentina de tráfico web, un servidor web que no está preparado experimentará problemas para recibir y responder a las solicitudes. El efecto es similar al de un pico de tráfico durante un gran evento, como el Cyber Monday o el Super Bowl. La diferencia es que los ataques DDoS son intencionales.
DDoS es un ataque particularmente difícil de prevenir. Debido a que las solicitudes del servidor provienen de miles de ubicaciones, a menudo los sitios no pueden distinguir el tráfico normal del que es malicioso. Velo de esta manera: imagínate que organizas a 1.000 de tus amigos para que llamen al mismo restaurante de comida para solicitar un servicio de entrega a la misma hora. Sin duda, sería imposible para el establecimiento satisfacer con éxito cada entrega, y no podría diferenciar a los clientes regulares de los que están involucrados en tu plan.
¿Qué sucede después de un intento exitoso de DDoS? Como todos los ataques cibernéticos, este interrumpe el negocio y provoca la pérdida de conversiones y ventas. Un ataque típico puede hacer que un sitio web caiga de 2 a 12 horas, lo que da como resultado miles de pérdidas de ingresos.
Sufrir esto también puede dañar la reputación de una empresa y te decimos por qué. Por ejemplo, en el caso del restaurante, los clientes que no obtengan un pedido culparán al establecimiento; ellos no sabrán que fue saboteado por un plan maligno, pero sí se quedarán con mucha hambre. Lo mismo pasa con los usuarios de un sitio web afectado; ellos verán que tu sitio no funciona y esa es la única percepción que tendrán.
Diferencias entre un ataque Dos y un ataque DDoS
Un ataque DDoS es un tipo de ataque de denegación de servicio (DoS). Un ataque DoS se refiere a cualquier ciberataque que tiene como objetivo hacer que un servicio en línea sea inaccesible para los usuarios. A menudo, este término alude a ataques de un solo dispositivo perpetrador. Debido a que se origina en una dirección, generalmente es más fácil de detener. Incluso un puñado de bots no es suficiente para derribar un servidor web.
Por otro lado, los ataques DDoS aprovechan miles de dispositivos para enviar solicitudes a la vez, lo que los convierte en ataques DoS distribuidos. Estas grandes redes de ataque pueden ser increíblemente poderosas; esta es la razón por la que casi todos los DoS a gran escala terminan convirtiéndose en un ataque DDoS.
¿Qué sucede durante un ataques DDoS?
Todos los ataques DDoS comienzan con el montaje de una botnet. Por medio de una variedad de medios como phishing, descargas maliciosas, inicios de sesión no autorizados, entre otros, un ciberdelincuente obtiene acceso y planta malware en miles o incluso millones de dispositivos en red, convirtiéndolos en bots (también llamados «zombies») dentro de la botnet. Este malware permite al atacante dominar todos los dispositivos desde un controlador:
Imagen de The New Network
Los hackers o piratas informáticos pueden convertir cualquier dispositivo en un bot, desde computadoras personales hasta servidores, asistentes virtuales y microondas. El auge del Internet de las Cosas ha hecho que estos ataques sean más efectivos al proporcionar más alimento para las botnets, que pueden ser secuestradas sin que el propietario del dispositivo se dé cuenta.
Tipos de ataques DDoS
Con la botnet en su lugar, un hacker puede emplear uno o más métodos DDoS para dañar su objetivo. Hay varios tipos de ataques DDoS, cada uno dirigido a una parte diferente de la red. Estos pueden agruparse en tres categorías: ataques a la capa de aplicación, ataques a la capa de protocolo y ataques volumétricos.
Ataque DDoS de capa de aplicación
Un ataque DDoS en la capa de aplicación consiste en explotar la capa de aplicación del modelo OSI, donde los clientes interactúan directamente con el servicio web. La capa de aplicación contiene y responde las solicitudes HTTP, que son los navegadores que envían información a los servidores web cuando alguien quiere ver una página web. Estos ataques también se denominan ataques DDoS de capa 7, ya que tienen como objetivo atacar la séptima capa del modelo OSI.
El propósito de este tipo de ataque es sobrecargar el servidor web de destino con solicitudes HTTP. Una sola solicitud HTTP es fácil de enviar por un bot, pero puede ser relativamente intensiva en recursos para el servidor que procesó la solicitud. Los ataques DDoS en la capa de aplicación emplean grandes volúmenes de solicitudes HTTP complejas y simultáneas para ralentizar o desactivar servidor.
Lo que es peor: esta forma de ataque es especialmente esquiva, ya que el tráfico de bots parece normal al principio; después de todo, son solo dispositivos que realizan solicitudes HTTP. Los atacantes pueden aumentar estratégicamente las solicitudes sin que el objetivo se dé cuenta, y luego inducir repentinamente un pico de tráfico que choca con el objetivo.
Algunos casos comunes de esta clase de ataques son las inundaciones HTTP, en las que una botnet envía miles o millones de solicitudes de página a la vez. También hay ataques de inundación de DNS, que buscan abrumar a uno o más servidores DNS y evitar que conviertan nombres de dominio en direcciones IP.
Ataque DDoS de capa de protocolo
En un ataque DDoS de capa de protocolo, la botnet apunta de forma más profunda a los procesos del servidor: en las capas 3 y 4 del modelo OSI, las cuales manejan las conexiones entre dispositivos en red.
Este tipo de ataque explota los protocolos que gobiernan la manera en que las computadoras se comunican entre sí y envía un flujo de solicitudes falsas que el servidor no puede procesar. Los servidores pueden manejar estas solicitudes defectuosas hasta cierto punto, pero no miles o millones a la vez.
Una iteración común es un ataque de inundación SYN. Un SYN usa el Protocolo de control de transmisión (TCP), que controla la forma en que dos computadoras se conectan en una red, contra sí mismo. De acuerdo con el TCP, el cliente primero envía una solicitud (un SYN) al servidor. Luego, el servidor envía una respuesta. Finalmente, el cliente confirma que recibió la respuesta del servidor, completando la interacción.
Las botnets en una inundación SYN inician el TCP con solicitudes que contienen direcciones IP falsas. El servidor de destino responde cada uno, pero nunca recibe una confirmación final de ninguno de los bots. Esto obstruye la cola de solicitudes y agota los recursos del servidor.
Ataque DDoS volumétrico
Los ataques DDoS volumétricos aprovechan el ancho de banda limitado del objetivo. En pocas palabras, los atacantes solicitan grandes cantidades de datos de un servidor para que este los envíe a la vez. Esto significa que los usuarios habituales no pueden acceder a las páginas, ya que los bots gastan el ancho de banda. Al igual que los ataques a la capa de aplicación, el tráfico DDoS volumétrico parece legítimo al principio, pero pronto empieza a provocar problemas y aumenta los resultados dañinos.
¿Por qué ocurren los ataques DDoS?
Los ataques DDoS son únicos en el sentido de que no violan la capa de seguridad del servidor de destino. Más bien, aprovechan las vulnerabilidades existentes en la infraestructura de la red. No hay necesariamente un «robo» de datos (aunque sí puede ser la intención de un ataque DDoS), lo que brinda más motivadores potenciales de por qué podría ocurrir.
Algunos motivadores comunes para realizar un ataque DDoS son:
- Extorsión. Los hackers pueden solicitar un pago a cambio de detener los ataques DDoS.
- Activismo. Los hackers activistas o «hacktivistas» a menudo emplean ataques DDoS para derribar un sitio web por una causa o como una forma de protesta contra una empresa, organización u órgano de gobierno.
- Desviación. Los ataques DDoS pueden servir para distraer al personal de TI de un ataque diferente en la red, como un robo o una inyección de base de datos.
- Competencia. Una empresa puede lanzar ataques DDoS discretos para derribar temporalmente a un competidor en un momento inoportuno.
- Diversión. Algunas personas simplemente quieren ver el mundo arder.
¿Cómo protegerte de un ataque DDoS?
- Conoce el tráfico normal y tráfico anormal.
- Haz el enrutamiento black hole.
- Usa las capacidades escaladas.
- Instala un firewall de aplicaciones web.
- Minimiza los puntos de ataque.
1. Conocer el tráfico normal y tráfico anormal
Muchas veces las empresas que están siendo atacadas no pueden percatarse de ello, pues no saben cómo percibir un tráfico normal de uno que está siendo malicioso. Para evitar que debas distinguir entre uno y otro, lo más prudente es aceptar solo el tráfico que tu host puede manejar sin afectar su disponibilidad.
A esto se le conoce como limitación de velocidad y es una de las técnicas de protección más avanzadas, pues solo aceptan el tráfico legítimo. Para ello, es vital que conozcas tus niveles de tráfico y seas capaz de detectar rápidamente si algo está fuera de lo común.
2. Haz el enrutamiento black hole
Esta técnica crea una ruta black hole y concentra el tráfico en ella. Si esta no tiene criterios de filtrados puedes dirigir todo el tráfico a la ruta mientras sucede el ataque. Solo ten en cuenta que no solo redireccionará el tráfico malicioso, sino también el real y lo eliminará de la red. Sin embargo, esta es una de las mejores formas de defensa contra un DDoS.
3. Usa las capacidades escaladas
Este tipo de técnica de escalado se destina principalmente a ataques DDoS volumétricos de gran escala y se consideran los dos siguientes aspectos:
- Capacidad del servidor. Es importante que puedes escalar de forma rápida tus recursos de computación. Puedes hacerlo a través de interfaces de red más extensas o mejoradas que admitan volúmenes grandes. De igual forma, puedes utilizar balanceadores de carga para monitorear y cambiar cargas continuamente.
- Capacidad de tránsito. Asegúrate de que tu proveedor de alojamiento te brinde conectividad de internet amplia para administrar grandes volúmenes de tráfico. Recuerda que el objetivo de un ataque DDoS es afectar tu disponibilidad, así que ubica tus recursos o aplicaciones cerca de tus usuarios finales y de los grandes intercambios de internet para brindar un acceso fácil. Complementa esta acción con redes de distribución de contenido (CDN) y servicios inteligentes de resolución de DNS. Esto agregará una capa extra a tu infraestructura de red para proporcionar contenido y resolver consultas desde ubicaciones más cercanas a tus usuarios finales.
4. Instala un firewall de aplicaciones web
Este firewall supervisa, filtra o bloquea el tráfico HTTP hacia y desde una aplicación web. Se destina principalmente a la capa 7 y su funcionamiento requiere que se añada entre la red de internet y el proveedor de origen, lo que lo hará actuar como un proxy inverso. Esto filtrará las solicitudes según las reglas utilizadas para identificar las herramientas DDoS.
5. Minimiza los puntos de ataque
Es importante no exponer tus aplicaciones o recursos a puertos, protocolos o aplicaciones de las cuales no esperas ninguna comunicación. Esto puedes lograrlo poniendo tus recursos informáticos detrás de las redes de distribución de contenido (CDN) o balanceadores de carga, para restringir el tráfico directo de internet de ciertas parte de tu infraestructura. También puedes usar listas de control de acceso (ACL) para controlar el tráfico que llega tus aplicaciones.
Para finalizar, debemos darte una noticia no tan buena: los ataques DDoS son cada vez más elaborados con cada año que pasa. Los ataques actuales suelen combinar varios de los métodos descritos anteriormente, asistidos por el machine learning y la inteligencia artificial para detectar dispositivos vulnerables y atacarlos donde más duelen.
Al vigilar de cerca tus niveles de tráfico y mantenerte alerta ante las amenazas online, tu empresa puede frustrar los intentos de DDoS pequeños y recuperarse de los exitosos. Es tu responsabilidad mantener tu sitio web activo y contentos a tus visitantes.
