Un ataque DDoS tiene como objetivo deshabilitar o derribar un sitio web, aplicación web, servicio en la nube u otro recurso en línea saturándolo con solicitudes de conexión sin sentido, paquetes falsos u otro tráfico malicioso.
Un ataque DDoS inunda sitios web con tráfico malicioso, lo que hace que las aplicaciones y otros servicios no estén disponibles para los usuarios legítimos. Incapaz de manejar el volumen de tráfico ilegítimo, el objetivo se ralentiza o falla por completo, lo que lo hace no disponible para los usuarios legítimos.
Los ataques DDoS forman parte de la categoría más amplia, los ataques de denegación de servicio (ataques DoS), que incluye todos los ciberataques que ralentizan o detienen aplicaciones o servicios de red. Los ataques DDoS son únicos porque envían tráfico de ataque desde múltiples fuentes a la vez, lo que convierte a los ataques "distribuidos" en "denegación de servicio distribuido".
Los delincuentes cibernéticos han estado utilizando ataques DDoS para interrumpir las operaciones de la red durante más de 20 años, pero recientemente su frecuencia y poder se han disparado. Según un informe, los ataques DDoS aumentaron un 203 por ciento en la primera mitad de 2022, en comparación con el mismo periodo en 2021 (enlace externo a ibm.com).
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence Index.
Regístrese para recibir el informe sobre el costo de una filtración de datos
A diferencia de otros ataques cibernéticos, los ataques DDoS no explotan vulnerabilidades en los recursos de red para violar los sistemas informáticos. En su lugar, utilizan protocolos de conexión de red estándar como Hypertext Transfer Protocol (HTTP) y el protocolo de control de transmisión (TCP) para inundar endpoints, aplicaciones y otros activos con más tráfico de lo que pueden manejar. Los servidores web, enrutadores y otras infraestructuras de red solo pueden procesar un número finito de solicitudes y mantener un número limitado de conexiones en un momento dado. Al utilizar el ancho de banda disponible de un recurso, los ataques DDoS evitan que estos recursos respondan a solicitudes y paquetes de conexión legítimos.
En términos generales, un ataque DDoS tiene tres etapas.
La elección del objetivo de ataque DDoS proviene de la motivación del atacante, que puede variar ampliamente. Los hackers han utilizado ataques DDoS para extorsionar dinero a las organizaciones, exigiendo un rescate para poner fin al ataque. Algunos hackers utilizan DDoS para el activismo, dirigiéndose a organizaciones e instituciones con las que no están de acuerdo. Actores sin escrúpulos han utilizado ataques DDoS para cerrar negocios en competencia, y algunos estados nación han utilizado tácticas DDoS en la guerra cibernética.
Algunos de los objetivos de ataques DDoS más comunes incluyen:
Minoristas en línea. Los ataques DDoS pueden causar importantes perjuicios económicos a los minoristas al hacer caer sus tiendas digitales, imposibilitando que los clientes compren durante un tiempo.
Proveedores de servicios en la nube. Los proveedores de servicios en la nube, como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform, son objetivos populares para los ataques DDoS. Debido a que estos servicios alojan datos y aplicaciones para otras empresas, los hackers pueden causar interrupciones generalizadas con un solo ataque. En 2020, AWS tuvo un ataque DDoS masivo (enlace externo a ibm.com). En su punto máximo, el tráfico malicioso llegó a 2.3 terabits por segundo.
Instituciones financieras. Los ataques DDoS pueden desconectar los servicios bancarios, lo que impide que los clientes accedan a sus cuentas. En 2012, seis grandes bancos estadounidenses recibieron ataques DDoS coordinados en lo que pudo haber sido un acto de motivación política (enlace externo a ibm.com).
Proveedores de software como servicio (SaaS). Al igual que con los proveedores de servicios en la nube, los proveedores de SaaS, como Salesforce, GitHub y Oracle, son objetivos atractivos porque permiten a los hackers interrumpir varias organizaciones a la vez. En 2018, GitHub sufrió lo que, en ese momento, fue el ataque DDoS más grande registrado (enlace externo a ibm.com).
- Empresas de juego. Los ataques de denegación distribuida del servicio (DDoS) pueden interrumpir los juegos en línea al inundar sus servidores con tráfico. Estos ataques suelen ser lanzados por jugadores descontentos con venganzas personales, como fue el caso de la botnet Mirai que se creó originalmente para atacar servidores de Minecraft (el enlace se encuentra fuera de ibm.com).
Un ataque DDoS suele requerir una botnet, una red de dispositivos conectados a Internet que han sido infectados con malware que permite a los hackers controlar los dispositivos de forma remota. Las botnets pueden incluir computadoras portátiles y de escritorio, teléfonos móviles, dispositivos IoT y otros endpoints comerciales o de consumo. Los propietarios de estos dispositivos comprometidos suelen desconocer que han sido infectados o están siendo utilizados para un ataque DDoS.
Algunos delincuentes cibernéticos construyen sus botnets desde cero, mientras que otros compran o alquilan botnets preestablecidos con un modelo denominado "denegación de servicio como servicio".
(NOTA: No todos los ataques DDoS utilizan botnets; algunos explotan las operaciones normales de dispositivos no infectados para fines maliciosos. Ver "Ataques smurf" a continuación).
Los hackers ordenan a los dispositivos de la botnet que envíen solicitudes de conexión u otros paquetes a la dirección IP del servidor, dispositivo o servicio de destino. La mayoría de los ataques DDoS se basan en la fuerza bruta, enviando un gran número de peticiones para consumir todo el ancho de banda del objetivo; algunos ataques DDoS envían un número menor de peticiones más complicadas que requieren que el objetivo gaste muchos recursos en responder. En cualquier caso, el resultado es el mismo: el tráfico de ataque sobrecarga el sistema de destino, causando una denegación de servicio y evitando que el tráfico legítimo acceda al sitio web, aplicación web, API o red.
Los hackers suelen ocultar el origen de sus ataques mediante la suplantación de IP, una técnica mediante la cual los delincuentes cibernéticos falsifican las direcciones IP de origen de los paquetes enviados desde la red de bots. En una forma de falsificación de IP, llamada "reflexión", los hackers hacen que parezca que el tráfico malicioso se envió desde la propia dirección IP de la víctima.
Los tipos de ataque DDoS suelen nombrarse o describirse en función de la terminología del modelo de referencia de interconexión de sistemas abiertos (OSI), un marco conceptual que define siete "capas" de red (y a veces se denomina modelo OSI de 7 capas).
Como su nombre indica, los ataques a la capa de aplicación se dirigen a la capa de aplicación (capa 7) del modelo OSI, la capa en la que se generan las páginas web en respuesta a las solicitudes de los usuarios. Los ataques a la capa de aplicación interrumpen las aplicaciones web al inundarlos con solicitudes maliciosas.
Uno de los ataques de capa de aplicación más comunes es el ataque de inundación HTTP, en el que un atacante envía continuamente una gran cantidad de solicitudes HTTP de múltiples dispositivos al mismo sitio web. El sitio web no puede mantenerse al día con todas las solicitudes HTTP, y se ralentiza significativamente o se bloquea por completo. Los ataques de inundación HTTP son similares a cientos o miles de navegadores web que refrescan repetidamente la misma página web.
Los ataques a la capa de aplicación son relativamente fáciles de lanzar, pero pueden ser difíciles de prevenir y mitigar. A medida que más empresas hacen la transición al uso de microservicios y aplicaciones basadas en contenedores, aumenta el riesgo de que los ataques a la capa de aplicación deshabiliten los servicios críticos en la web y en la nube.
Los ataques de protocolo apuntan a la capa de red (capa 3) y a la capa de transporte (capa 4) del modelo OSI. Su objetivo es saturar los recursos críticos de la red, como firewalls, equilibradores de carga y servidores web, con solicitudes de conexión maliciosas.
Los ataques comunes de protocolo incluyen:
Ataques de inundación SYN. Un ataque de inundación SYN aprovecha el protocolo de enlace TCP, el proceso por el cual dos dispositivos establecen una conexión entre sí.
En un protocolo de enlace TCP típico, un dispositivo envía un paquete SYN para iniciar la conexión, el otro responde con un paquete SYN/ACK para confirmar la solicitud y el dispositivo original envía un paquete ACK para finalizar la conexión.
En un ataque de inundación SYN, el atacante envía al servidor de destino un gran número de paquetes SYN con direcciones IP de origen falsificadas. El servidor envía su respuesta a la dirección IP falsificada y espera el paquete ACK final. Debido a que la dirección IP de origen estaba falsificada, estos paquetes nunca llegan. El servidor está atascado en una gran cantidad de conexiones incompletas, lo que lo deja indisponible para protocolos de enlace TCP legítimos.
Ataques Smurf. Un ataque smurf aprovecha el protocolo de mensajes de control de Internet (ICMP), un protocolo de comunicación utilizado para evaluar el estado de una conexión entre dos dispositivos. En un intercambio de ICMP típico, un dispositivo envía una solicitud de eco ICMP a otro y el último dispositivo envía una respuesta de eco ICMP.
En un ataque smurf, el atacante envía una solicitud de eco ICMP desde una dirección IP falsificada que coincide con la dirección IP de la víctima. Esta solicitud de eco ICMP se envía a una red de transmisión IP que reenvía la solicitud a cada dispositivo en una red determinada. Cada dispositivo que recibe la solicitud de eco ICMP (potencialmente cientos o miles de dispositivos) responde enviando una respuesta de eco ICMP a la dirección IP de la víctima, inundando el dispositivo con más información de la que puede manejar. A diferencia de muchos otros tipos de ataques DDoS, los ataques smurf no necesariamente requieren una botnet.
Los ataques DDoS volumétricos consumen todo el ancho de banda disponible dentro de una red de destino o entre un servicio de destino y el resto de Internet, lo que impide que los usuarios legítimos se conecten a los recursos de la red. Los ataques volumétricos suelen inundar redes y recursos con cantidades muy altas de tráfico, incluso en comparación con otros tipos de ataques DDoS. Se sabe que los ataques volumétricos desbordan las medidas de protección DDoS, como los centros de depuración, diseñados para filtrar el tráfico malicioso del legítimo.
Los tipos comunes de ataques volumétricos incluyen:
Inundaciones UDP. Estos ataques envían paquetes falsos de protocolo de diagramas de datos de usuario (UDP) a los puertos de un host objetivo, pidiendo al host que busque una aplicación para recibir estos paquetes. Debido a que los paquetes UDP son falsos, no hay ninguna aplicación para recibirlos, y el host debe enviar un mensaje de "Destino no accesible" al remitente. Los recursos de los hosts se vinculan para responder al flujo constante de paquetes UDP falsos, dejando el host no disponible para responder a paquetes legítimos.
Inundaciones ICMP. También llamados "ataques de inundación de ping", estos ataques bombardean objetivos con solicitudes de eco ICMP desde múltiples direcciones IP falsificadas. El servidor de destino debe responder a todas estas solicitudes, por lo que se sobrecarga y no puede procesar solicitudes de eco ICMP válidas. Las inundaciones ICMP se distinguen de los ataques smurf en que los atacantes envían una gran cantidad de solicitudes ICMP desde sus botnets en lugar de engañar a los dispositivos de red para que envíen respuestas ICMP a la dirección IP de la víctima.
Ataques de amplificación de DNS. En este caso, el atacante envía varias solicitudes de búsqueda del sistema de nombres de dominio (DNS) a uno o muchos servidores DNS públicos. Estas solicitudes de búsqueda utilizan una dirección IP falsificada que pertenece a la víctima y solicitan a los servidores DNS que devuelvan una gran cantidad de información por solicitud. Luego, el servidor DNS responde a las solicitudes inundando la dirección IP de la víctima con grandes cantidades de datos.
Como su nombre lo indica, los ataques multivector explotan múltiples vectores de ataque para maximizar el daño y frustrar los esfuerzos de mitigación de DDoS. Los atacantes pueden usar varios vectores simultáneamente o cambiar entre vectores a mitad del ataque, cuando se defiende un vector. Por ejemplo, los hackers pueden comenzar con un ataque smurf, pero una vez que se cierra el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.
Las amenazas DDoS también se pueden combinar con otros ataques cibernéticos. Por ejemplo, los atacantes de ransomware pueden presionar a sus víctimas amenazando con montar un ataque DDoS si no se paga el rescate.
Los ataques DDoS han persistido durante tanto tiempo, y se han hecho cada vez más populares entre los delincuentes cibernéticos con el paso del tiempo, porque:
- Requieren poca o ninguna habilidad para realizarlos. Al contratar botnets ya preparadas de otros hackers, los delincuentes cibernéticos pueden lanzar fácilmente ataques DDoS por sí solos con poca preparación o planificación.
- Son difíciles de detectar. Dado que las redes de bots se componen en gran parte de dispositivos comerciales y de consumo, puede resultar difícil para las organizaciones separar el tráfico malicioso de los usuarios reales. Además, los síntomas de los ataques DDoS (servicio lento, y sitios y aplicaciones no disponibles temporalmente) también pueden ser causados por picos repentinos en el tráfico legítimo, lo que dificulta la detección de los ataques DDoS en sus primeras etapas.
- Son difíciles de mitigarUna vez que se ha identificado un ataque de denegación distribuida del servicio (DDoS), la naturaleza distribuida del ciberataque significa que las organizaciones no pueden simplemente bloquear el ataque cerrando una sola fuente de tráfico. Los controles estándar de seguridad de la red destinados a advertir ataques de DDoS, como la limitación de velocidad, también pueden ralentizar las operaciones para usuarios legítimos.
- Hay más dispositivos de botnet potenciales que nunca. El auge del Internet de las cosas (IoT) ha dado a los hackers una fuente rica de dispositivos para convertirse en bots. Los dispositivos, herramientas y dispositivos habilitados para Internet (incluida la tecnología operativa - OT -, como los dispositivos sanitarios y los sistemas de fabricación) a menudo se venden y funcionan con valores predeterminados universales y controles de seguridad débiles o inexistentes, lo que los hace particularmente vulnerables a la infección de malware. Puede resultar difícil para los propietarios de estos dispositivos darse cuenta de que han sido comprometidos, ya que los dispositivos IoT y OT a menudo se utilizan de forma pasiva o con poca frecuencia.
Los ataques DDoS son cada vez más sofisticados a medida que los hackers adoptan herramientas de inteligencia artificial (IA) y aprendizaje automático (ML) para ayudar a dirigir sus ataques. Esto ha llevado a un aumento en los ataques DDoS, que utilizan IA y ML para encontrar los aspectos más vulnerables de los sistemas, y cambiar automáticamente los vectores de ataque y las estrategias en respuesta a los esfuerzos de mitigación de DDoS de un equipo de ciberseguridad.
El propósito de un ataque DDoS es interrumpir las operaciones del sistema, lo que puede conllevar un alto costo para las organizaciones. Según el informe Costo de una filtración de datos 2022 de IBM, las interrupciones del servicio, el tiempo de inactividad del sistema y otras interrupciones del negocio causadas por un ciberataque costaron a las organizaciones 1.42 millones de dólares en promedio. En 2021, un ataque DDoS costó a un proveedor de VoIP casi 12 millones de dólares (enlace externo a ibm.com).
El mayor ataque DDoS registrado, que generó 3.47 terabits de tráfico malicioso por segundo, se dirigió a un cliente de Microsoft Azure en noviembre de 2021 (enlace externo a ibm.com). Los atacantes usaron una botnet de 10 000 dispositivos de todo el mundo para bombardear a las víctimas 340 millones de paquetes por segundo.
Los ataques de denegación distribuida del servicio (DDoS) también se han utilizado contra gobiernos, incluido un ataque 2021 en Bélgica (el enlace se encuentra fuera de ibm.com). Los hackers apuntaron a un proveedor de servicios de Internet administrado por el gobierno para ver las conexiones de Internet más de 200 agencias, universidades e Internet.
Cada vez más, los hackers utilizan DDoS no como ataque principal, sino para distraer a la víctima de un delito cibernético más grave, por ejemplo, filtrar datos o implementar ransomware en una red mientras el equipo de ciberseguridad está ocupado defendiéndose del ataque DDoS.
Los esfuerzos de mitigación y protección de DDoS normalmente descansan en la desviación del flujo de tráfico malicioso lo más rápido posible, como por ejemplo, enrutar el tráfico de la red a centros de depuración o utilizar balanceadores de carga para redistribuir el tráfico de ataque. Con ese fin, las empresas que buscan reforzar sus defensas contra los ataques DDoS pueden adoptar tecnologías que puedan identificar e interceptar el tráfico malicioso, que incluyen:
- Firewalls de aplicaciones web. La mayoría de las organizaciones hoy en día utilizan firewalls perimetrales y de aplicaciones web (WAFs) para proteger sus redes y aplicaciones de actividades maliciosas. Si bien los firewalls estándar protegen a nivel de puerto, los WAFs garantizan la seguridad de las solicitudes antes de enviarlas a los servidores web. El WAF sabe qué tipos de solicitudes son legítimas y cuáles no, lo que le permite dejar caer el tráfico malicioso y evitar ataques de capas de aplicaciones.
Content delivery networks (CDN). Una CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios en línea de manera más rápida y confiable. Con una CDN, las solicitudes de los usuarios no viajan hasta el servidor de origen del servicio. En cambio, se dirigen a un servidor CDN geográficamente más cercano que entrega el contenido. Las CDN pueden ayudar a proteger contra ataques DDoS al aumentar la capacidad general del servicio para el tráfico. En caso de que un servidor CDN caiga a causa de un ataque DDoS, el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.
- SIEM (gestión de eventos e información de seguridad). Los sistemas SIEM ofrecen una gama de funciones para detectar ataques DDoS y otros ciberataques al principio de sus ciclos de vida, incluida la administración de registros y la información de la red. Las soluciones SIEM gestionan de manera centralizada los datos de seguridad generados por herramientas de seguridad locales y basadas en la nube. Los SIEMs pueden supervisar los dispositivos y las aplicaciones conectados para detectar incidentes de seguridad y comportamientos anormales, como pings excesivos o solicitudes de conexión ilegítimas. Después, el SIEM señala estas anomalías para que el equipo de ciberseguridad tome las medidas adecuadas.
- Tecnología de detección y respuesta. Las soluciones de detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendida (XDR) utilizan analytics avanzados e IA para monitorear la infraestructura de red en busca de indicadores de compromiso, tales como patrones de tráfico anormales que pueden indicar ataques de denegación distribuida del servicio (DDoS), y capacidades de automatización para responder a ataques en tiempo real (por ejemplo, terminar conexiones de red sospechosas).
Detecte amenazas ocultas que acechan en su red, antes de que sea demasiado tarde. IBM Security QRadar Network Detection and Response (NDR) ayuda a sus equipos de seguridad analizando la actividad de la red en tiempo real. Combina la profundidad y la amplitud de la visibilidad con datos y analítica de calidad para impulsar un insight y una respuesta procesables.
Obtenga la protección de seguridad que su organización necesita para mejorar la preparación de las infracciones con una suscripción de retenedores de respuesta ante incidentes de IBM Security. Cuando se involucra con nuestro equipo de élite de consultores de IR, tiene socios de confianza en espera para ayudar a reducir el tiempo que lleva responder a un incidente, minimizar su impacto y ayudarlo a recuperarse más rápido antes de que se sospeche un incidente de ciberseguridad.
Combine la experiencia con inteligencia sobre amenazas para enriquecer su análisis de amenazas y automatizar su plataforma de amenazas cibernéticas.
Un ataque cibernético intenta robar información confidencial o deshabilitar sistemas críticos a través del acceso no autorizado a redes o dispositivos informáticos.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate.
Un plan formal de respuesta a incidentes permite a los equipos de ciberseguridad limitar o prevenir el daño de los ataques cibernéticos o las violaciones de seguridad.