Un ataque DDoS tiene como objetivo desactivar o derribar un sitio web, aplicación web, servicio en la nube u otro recurso en línea sobrecargándolo con solicitudes de conexión sin sentido, paquetes falsos u otro tráfico malicioso.
Un ataque DDoS (denegación de servicio distribuido) desborda sitios web con tráfico malicioso, lo que hace que las aplicaciones y otros servicios no estén disponibles para usuarios legítimos. Al no poder manejar el volumen de tráfico ilegítimo, el objetivo se ralentiza o se bloquea por completo, por lo que no está disponible para los usuarios legítimos.
Los ataques DDoS forman parte de una categoría más amplia, los ataques de denegación de servicio (ataques DoS), que incluye todos los ciberataques que ralentizan o detienen las aplicaciones o los servicios de red. Los ataques DDoS son únicos en el sentido de que envían tráfico atacante desde múltiples fuentes a la vez, lo que convierte el término «distribuido» en «denegación de servicio distribuida».
Los ciberdelincuentes llevan más de 20 años utilizando ataques DDoS para interrumpir las operaciones de la red, pero hace poco su frecuencia y potencia se han disparado. Según un informe, los ataques DDoS subieron un 203 por ciento en la primera mitad de 2022, en comparación con el mismo período en 2021 (enlace externo a ibm.com).
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
A diferencia de otros ciberataques, los ataques DDoS no explotan las vulnerabilidades de los recursos de red para infringir los sistemas informáticos. En su lugar, utilizan protocolos de conexión de red estándar como el Protocolo de Transferencia de Hipertexto (HTTP) y el Protocolo de Control de Transmisión (TCP)para inundar endpoints, aplicaciones y otros activos con más tráfico del que pueden manejar. Los servidores web, enrutadores y otras infraestructuras de red solo pueden procesar un número finito de solicitudes y mantener un número limitado de conexiones en un momento dado. Al utilizar el ancho de banda disponible de un recurso, los ataques DDoS impiden que estos recursos respondan a solicitudes y paquetes de conexión legítimos.
A grandes rasgos, un ataque DDoS consta de tres fases.
La elección del objetivo de ataque DDoS deriva de la motivación del atacante, que puede variar ampliamente. Los piratas informáticos han utilizado ataques DDoS para extorsionar a organizaciones, exigiendo un rescate para poner fin al ataque. Algunos piratas informáticos utilizan el DDoS para el activismo, apuntando a organizaciones e instituciones con las que no están de acuerdo. Actores sin escrúpulos han utilizado ataques DDoS para cerrar empresas competidoras, y algunos Estados nación han empleado tácticas DDoS en ciberguerras.
Algunos de los objetivos de ataque DDoS más comunes son:
Minoristas en línea. Los ataques DDoS pueden causar importantes perjuicios económicos a los minoristas al hacer caer sus tiendas digitales, imposibilitando que los clientes compren durante un periodo de tiempo.
Proveedores de servicios en la nube. Los proveedores de servicios en la nube como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform son objetivos populares de ataques DDoS. Dado que estos servicios alojan datos y aplicaciones para otras empresas, los hackers pueden causar interrupciones generalizadas con un solo ataque. En 2020, AWS tuvo éxito con un ataque DDoS masivo (enlace externo a ibm.com). En su punto álgido, el tráfico malicioso alcanzó los 2,3 terabits por segundo.
Instituciones financieras. Los ataques DDoS pueden desconectarse de los servicios bancarios, lo que impide que los clientes accedan a sus cuentas. En 2012, seis grandes bancos estadounidenses sufrieron ataques DDoS coordinados en lo que puede haber sido un acto políticamente motivado (el enlace es externo a ibm.com).
Proveedores de software como servicio (SaaS). Al igual que con los proveedores de servicios en la nube, los proveedores de SaaS como Salesforce, GitHub y Oracle son objetivos atractivos, porque permiten a los hackers interrumpir varias organizaciones a la vez. En 2018, GitHub sufrió lo que, en ese momento, fue el mayor ataque DDoS registrado (el enlace es externo a ibm.com).
- Empresas de juego. Los ataques DDoS pueden interrumpir los juegos en línea al inundar sus servidores con tráfico. Estos ataques suelen lanzarse por jugadores descontentos por venganzas personales, como ocurrió con la botnet Mirai, que se creó originalmente para atacar los servidores de Minecraft (enlace externo a ibm.com).
Un ataque DDoS suele requerir un botnet o red de bots, una red de dispositivos conectados a Internet que se han infectado con malware que permite a los piratas informáticos controlar los dispositivos de forma remota. Las botnets pueden incluir ordenadores portátiles y de sobremesa, teléfonos móviles, dispositivos de IoT y otros puntos finales comerciales o de consumo. Los propietarios de estos dispositivos comprometidos generalmente no saben que están infectados o que están siendo utilizados para un ataque DDoS.
Algunos ciberdelincuentes crean sus redes de bots desde cero, mientras que otros compran o alquilan redes de bots preestablecidas según un modelo denominado "denegación de servicio como servicio".
(NOTA: No todos los ataques DDoS utilizan botnets; algunos explotan las operaciones normales de dispositivos no infectados para fines maliciosos. Véase «Ataques smurf (o ataques pitufos)», más adelante).
Los hackers ordenan a los dispositivos del botnet que envíen solicitudes de conexión u otros paquetes a la dirección IP del servidor, dispositivo o servicio de destino. La mayoría de los ataques DDoS se basan en la fuerza bruta, enviando un gran número de peticiones para consumir todo el ancho de banda del objetivo. Algunos ataques DDoS envían un número menor de peticiones, pero más complicadas, que requieren que el objetivo gaste muchos recursos en responder. En cualquier caso, el resultado es el mismo: el tráfico de ataque sobrecarga el sistema de destino, causando una denegación de servicio y evitando que el tráfico legítimo acceda al sitio web, la aplicación web, la API o la red.
Los hackers a menudo ocultan la fuente de sus ataques mediante la suplantación de IP, una técnica por la que los cibercriminales forjan direcciones IP de origen falsas para los paquetes enviados desde la botnet. En una forma de suplantación de IP, llamada «reflexión», los piratas informáticos hacen que parezca que el tráfico malicioso se envió desde la propia dirección IP de la víctima.
Los tipos de ataque DDoS (denegación de servicio distribuido) se suelen nombrar o describir en función de la terminología del modelo de referencia de interconexión de sistemas abiertos (OSI), un marco conceptual que define siete «capas» de red (y a veces se denomina Modelo de 7 Capas OSI).
Como su nombre indica, los ataques a la capa de aplicación se dirigen a la capa de aplicación (capa 7) del modelo OSI, la capa en la que se generan las páginas web en respuesta a las solicitudes de los usuarios. Los ataques a la capa de aplicaciones interrumpen las aplicaciones web inundándolas con solicitudes maliciosas.
Uno de los ataques más comunes a la capa de aplicaciones es el ataque de inundación HTTP, en el que un atacante envía continuamente un gran número de solicitudes HTTP desde varios dispositivos al mismo sitio web. El sitio web no puede atender todas las peticiones HTTP y se ralentiza considerablemente o se bloquea por completo. Los ataques de inundación HTTP se producen en cientos o miles de navegadores web que actualizan repetidamente la misma página web.
Los ataques a la capa de aplicación son relativamente fáciles de lanzar, pero pueden ser difíciles de prevenir y mitigar. A medida que más empresas pasan a utilizar microservicios y aplicaciones basadas en contenedores, aumenta el riesgo de ataques a capas de aplicaciones que deshabilitan servicios críticos web y en la nube.
Los ataques de protocolo tienen como destino la capa de red (capa 3) y la capa de transporte (capa 4) del modelo OSI. Su objetivo es sobrecargar los recursos críticos de la red, como firewalls, equilibradores de carga y servidores web, con solicitudes de conexión maliciosas.
Los ataques de protocolo comunes incluyen:
Ataques de inundación SYN. Un ataque de inundación SYN aprovecha el protocolo de enlace TCP, el proceso por el que dos dispositivos establecen una conexión entre sí.
En un protocolo de enlace TCP típico, un dispositivo envía un paquete SYN para iniciar la conexión, el otro responde con un paquete SYN/ACK para confirmar la solicitud y el dispositivo original devuelve un paquete ACK para finalizar la conexión.
En un ataque de inundación SYN, el atacante envía al servidor de destino un gran número de paquetes SYN con direcciones IP de origen falsificadas. El servidor envía su respuesta a la dirección IP falsificada y espera al paquete ACK final. Debido a que se falsificó la dirección IP de origen, estos paquetes nunca llegan. El servidor está atascado en un gran número de conexiones inacabadas, por lo que deja de estar disponible para los protocolos de enlace TCP legítimos.
Ataques pitufos. Un ataque smurf, o ataque pitufo, aprovecha el Protocolo de mensajes de control de Internet (ICMP), un protocolo de comunicación utilizado para evaluar el estado de una conexión entre dos dispositivos. En un intercambio ICMP típico, un dispositivo envía una solicitud de eco ICMP a otro y el último dispositivo responde con una respuesta ecográfica ICMP.
En un ataque pitufo, el atacante envía una solicitud de eco ICMP desde una dirección IP falsificada que coincide con la dirección IP de la víctima. Esta solicitud de eco ICMP se envía a una red de difusión IP que reenvía la solicitud a todos los dispositivos de una red determinada. Cada dispositivo que recibe la solicitud de eco ICMP (potencialmente cientos o miles de dispositivos) responde enviando una respuesta de eco ICMP a la dirección IP de la víctima, inundando el dispositivo con más información de la que puede manejar. A diferencia de muchos otros tipos de ataques DDoS, los ataques de smurf no necesariamente requieren un botnet.
Los ataques DDoS volumétricos consumen todo el ancho de banda disponible dentro de una red de destino o entre un servicio de destino y el resto de Internet, lo que impide que los usuarios legítimos se conecten a los recursos de la red. Los ataques volumétricos a menudo inundan redes y recursos con cantidades muy altas de tráfico, incluso en comparación con otros tipos de ataques DDoS. Se sabe que los ataques volumétricos desbordan las medidas de protección DDoS, como los centros de depuración, diseñados para filtrar el tráfico malicioso del legítimo.
Los tipos comunes de ataques volumétricos incluyen:
Inundaciones UDP. Estos ataques envían paquetes falsos del Protocolo de datagrama de usuarios (UDP) a los puertos de un host de destino, pidiendo al host que busque una aplicación para recibir estos paquetes. Debido a que los paquetes UDP son falsos, no hay ninguna aplicación para recibirlos y el host debe enviar un mensaje ICMP «Destino inaccesible» al remitente. Los recursos de los hosts se agotan al responder al flujo constante de paquetes UDP falsos, lo que hace que el host no esté disponible para responder a los paquetes legítimos.
Inundaciones ICMP. También llamados «ataques de inundación de ping», estos ataques bombardean objetivos con solicitudes de eco ICMP desde múltiples direcciones IP falsificadas. El servidor de destino debe responder a todas estas solicitudes y se sobrecarga y no puede procesar las solicitudes de eco ICMP válidas. Las inundaciones de ICMP se distinguen de los ataques de pitufos en que los atacantes envían un gran número de solicitudes de ICMP desde sus botnets en lugar de engañar a los dispositivos de red para que envíen respuestas de ICMP a la dirección IP de la víctima.
Ataques de amplificación de DNS. Aquí, el atacante envía varias solicitudes de búsqueda del Sistema de nombres de dominio (DNS) a uno o varios servidores DNS públicos. Estas solicitudes de búsqueda utilizan una dirección IP falsificada perteneciente a la víctima y solicitan a los servidores DNS que devuelvan una gran cantidad de información por solicitud. El servidor DNS responde a las solicitudes inundando la dirección IP de la víctima con grandes cantidades de datos.
Como su nombre lo indica, los ataques multivectoriales explotan múltiples vectores de ataque, para maximizar el daño y frustrar los esfuerzos de mitigación de DDoS. Los atacantes pueden usar varios vectores simultáneamente o cambiar de uno a otro en mitad del ataque, cuando un vector se ve frustrado. Por ejemplo, los hackers pueden comenzar con un ataque pitufo, pero una vez que se cierra el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.
Las amenazas DDoS también se pueden usar junto con otros ataques cibernéticos. Por ejemplo, los atacantes de ransomware pueden presionar a sus víctimas amenazando a montar un ataque DDoS si no se paga el rescate.
Los ataques DDoS han persistido durante tanto tiempo, y se han hecho cada vez más populares entre los ciberdelincuentes con el paso del tiempo, porque
- Requieren poca o ninguna habilidad para realizarlos. Al contratar botnets ya preparados de otros piratas informáticos, los ciberdelincuentes pueden lanzar fácilmente ataques DDoS por sí solos con poca preparación o planificación.
- Son difíciles de detectar. Dado que las redes de bots se componen en gran parte de dispositivos comerciales y de consumo, puede resultar difícil para las organizaciones separar el tráfico malicioso de los usuarios reales. Además, los síntomas de los ataques DDoS (servicio lento y sitios y aplicaciones no disponibles temporalmente) también pueden ser causados por picos repentinos en el tráfico legítimo, lo que dificulta la detección de ataques DDoS en sus primeras etapas.
- Son difíciles de mitigar. Una vez identificado un ataque DDoS, la naturaleza distribuida del ciberataque significa que las organizaciones no pueden simplemente bloquear el ataque cerrando una única fuente de tráfico. Los controles estándar de seguridad de red destinados a combatir los ataques DDoS, como la limitación de velocidad, también pueden ralentizar las operaciones de los usuarios legítimos.
- Hay más dispositivos de botnet potenciales que nunca. El auge del Internet de las cosas (IoT) ha dado a los hackers una rica fuente de dispositivos para convertir en bots. Los aparatos, herramientas y dispositivos con acceso a Internet —incluida la tecnología operativa (OT), como los dispositivos sanitarios y los sistemas de fabricación—suelen venderse y utilizarse con valores predeterminados universales y controles de seguridad débiles o inexistentes, lo que los hace especialmente vulnerables a la infección por malware. Puede ser difícil que los propietarios de estos dispositivos noten que se han visto comprometidos, ya que los dispositivos IoT y OT suelen utilizarse de forma pasiva o poco frecuente.
Los ataques DDoS son cada vez más sofisticados a medida que los hackers adoptan herramientas de inteligencia artificial (IA) y machine learning (ML) para ayudar a dirigir sus ataques. Esto ha llevado a un aumento en los ataques DDoS adaptativos, que utilizan IA y ML para encontrar los aspectos más vulnerables de los sistemas y cambiar automáticamente los vectores y estrategias de ataque en respuesta a los esfuerzos de mitigación de DDoS de un equipo de ciberseguridad.
El propósito de un ataque DDoS es interrumpir las operaciones del sistema, lo que puede conllevar un alto coste para las organizaciones. Según el informe Coste de una filtración de datos de 2022 de IBM, las interrupciones del servicio, el tiempo de inactividad del sistema y otras interrupciones comerciales causadas por un ciberataque cuestan a las organizaciones 1,42 millones de dólares en promedio. En 2021, un ataque DDoS cuesta a un proveedor de VoIP casi 12 millones de dólares (enlace externo a ibm.com).
El mayor ataque DDoS registrado, que generó 3,47 terabits de tráfico malicioso por segundo, estaba dirigido a un cliente de Microsoft Azure en noviembre de 2021 (enlace externo ibm.com). Los atacantes utilizaron un botnet de 10 000 dispositivos de todo el mundo para bombardear a la víctima con 340 millones de paquetes por segundo.
Los ataques DDoS también se han utilizado contra gobiernos, incluido un ataque de 2021 en Bélgica (el enlace es externo a ibm.com). Los hackers atacaron a un proveedor de servicios (ISP) gestionado por el gobierno para cortar las conexiones a Internet de más de 200 agencias gubernamentales, universidades e institutos de investigación.
Cada vez más, los hackers utilizan DDoS no como ataque principal, sino para distraer a la víctima de un cibercrimen más grave, por ejemplo exfiltrando datos o implementando ransomware en una red mientras el equipo de ciberseguridad está ocupado con el ataque DDoS.
Los esfuerzos de mitigación y protección de DDoS generalmente se basan en desviar el flujo de tráfico malicioso lo más rápido posible, por ejemplo, enrutando el tráfico de red a los centros de depuración o utilizando equilibradores de carga para redistribuir el tráfico de ataque. Con ese fin, las empresas que buscan reforzar sus defensas contra los ataques DDoS pueden adoptar tecnologías que puedan identificar e interceptar el tráfico malicioso, que incluyen:
- Firewalls de aplicaciones web. En la actualidad, la mayoría de las organizaciones utilizan firewalls perimetrales y de aplicaciones web (WAF) para proteger sus redes y aplicaciones de actividades maliciosas. Aunque los cortafuegos estándar se protegen a nivel de puerto, los WAFs garantizan la seguridad de las solicitudes antes de reenviarlas a servidores web. El WAF sabe qué tipos de solicitudes son legítimas y cuáles no, lo que le permite eliminar el tráfico malicioso y evitar ataques a la capa de aplicación.
Redes de distribución de contenidos (CDN). Una CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios online de forma más rápida y fiable. Con una CDN implementada, las solicitudes de los usuarios no vuelven al servidor de origen del servicio. En su lugar, se enrutan a un servidor CDN geográficamente más cercano que entrega el contenido. Las CDN pueden ayudar a protegerse contra ataques DDoS aumentando la capacidad general de un servicio para el tráfico. En caso de que un servidor CDN caiga a causa de un ataque DDoS, el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.
- SIEM (gestión de eventos e información de seguridad). Los sistemas SIEM ofrecen una serie de funciones para detectar ataques DDoS y otros ciberataques al principio de sus ciclos de vida, incluida la gestión de registros y la información de red. Las soluciones SIEM proporcionan una gestión centralizada de los datos de seguridad generados por herramientas de seguridad locales y basadas en la nube. Los SIEM pueden supervisar dispositivos y aplicaciones conectados para detectar incidentes de seguridad y comportamientos anormales, como pings excesivos o solicitudes de conexión ilegítimas. Luego, el SIEM señala estas anomalías para que el equipo de ciberseguridad tome las medidas adecuadas.
- Tecnologías de detección y respuesta. Todas las soluciones de detección y respuesta de terminales (EDR), detección y respuesta de redes (NDR) y detección y respuesta ampliadas (XDR) utilizan análisis avanzados e inteligencia artificial para monitorizar la infraestructura de la red en busca de indicadores de riesgo (como patrones de tráfico anormales que pueden significar ataques DDoS) y capacidades de automatización para responder a los ataques en curso en tiempo real (por ejemplo, interrumpir las conexiones de red sospechosas).
Descubra las amenazas ocultas que acechan en su red antes de que sea demasiado tarde. IBM Security QRadar Network Detection and Response (NDR) ayuda a sus equipos de seguridad al analizar la actividad de red en tiempo real. Combina profundidad y amplitud de visibilidad con análisis y datos de alta calidad para generar información y respuestas procesables.
Obtenga la protección de seguridad que su organización necesita para mejorar la preparación ante infracciones con una suscripción de retención de respuesta ante incidentes de IBM Security. Al contratar a nuestro equipo de élite de consultores de IR, dispondrá de socios de confianza preparados para ayudarle a reducir el tiempo de respuesta ante incidentes, minimizar el impacto de un incidente y ayudarle a recuperarse más rápidamente antes de que se sospeche un incidente de ciberseguridad.
Combine la experiencia con la inteligencia sobre amenazas para enriquecer su análisis de amenazas y automatizar su plataforma de ciberamenazas.
Un ataque cibernético intenta robar información confidencial o deshabilitar sistemas críticos a través del acceso no autorizado a redes o dispositivos informáticos.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate.
Un plan formal de respuesta a incidentes permite a los equipos de ciberseguridad limitar o prevenir los daños derivados de ciberataques o violaciones de la seguridad.