¿Qué es un ataque de denegación distribuida de servicio (DDoS)?

Los ataques de denegación distribuida del servicio son un tipo de ataque de denegación del servicio (ataque de denegación del servicio (DoS)), una categoría que incluye todos los ciberataques que ralentizan o detienen aplicaciones o servicios. Los ataques de denegación distribuida del servicio (DDoS) son únicos en el sentido de que envían tráfico de ataque desde múltiples fuentes a la vez, lo que puede dificultar su reconocimiento y defensa, lo que convierte lo "distribuido" en "denegación distribuida del servicio".

Según el IBM® X-Force Threat Intelligence Index, los ataques de denegación distribuida del servicio (DDoS) representan el 2 % de los ataques a los que X-Force responde. Sin embargo, las interrupciones que causan pueden ser costosas. El tiempo de inactividad del sistema puede provocar interrupciones del servicio, pérdida de ingresos y daños a la reputación. El Informe del costo de una filtración de datos de IBM señala que el costo de la pérdida de negocios debido a un ataque cibernético promedia 1.47 millones de dólares.  

A diferencia de otros ciberataques, los ataques de denegación distribuida del servicio (DDoS) no explotan las vulnerabilidades de los recursos de red para penetrar en los sistemas informáticos. En su lugar, utilizan protocolos de conexión de red estándar como el Protocolo de Transferencia de Hipertexto (HTTP) y el Protocolo de Control de Transmisión (TCP) para inundar endpoints, aplicaciones y otros activos con más tráfico del que pueden soportar.

Los servidores web, los enrutadores y otras infraestructuras de red sólo pueden procesar un número finito de solicitudes y mantener un número limitado de conexiones al mismo tiempo. Al utilizar el ancho de banda disponible de un recurso, los ataques de denegación distribuida del servicio (DDoS) impiden que estos recursos respondan a solicitudes y paquetes de conexión legítimos.

En términos generales, un ataque de denegación distribuida del servicio (DDoS) tiene dos etapas principales: crear una botnet y llevar a cabo el ataque. 

Un ataque de denegación distribuida del servicio (DDoS) suele requerir una botnet, una red de dispositivos conectados a Internet que han sido infectados con malware que habilita a los hackers para controlar los dispositivos de forma remota.

Las botnets pueden incluir computadoras portátiles y de escritorio, teléfonos móviles, dispositivos de Internet de las Cosas (IoT) y otros endpoints comerciales o de consumo. Los propietarios de estos dispositivos comprometidos suelen desconocer que han sido infectados o están siendo utilizados para un ataque de denegación distribuida del servicio (DDoS).

Algunos delincuentes cibernéticos crean sus propias botnets, propagando activamente malware y apoderándose de los dispositivos. Otros compran o alquilan botnets preestablecidas de otros delincuentes cibernéticos en la dark web bajo un modelo denominado "denegación del servicio como servicio".

No todos los ataques de denegación distribuida del servicio (DDoS) emplean botnets. Algunos explotan las operaciones normales de los dispositivos no infectados para fines maliciosos. (Para obtener más información, consulte “Ataques Smurf”). 

Los hackers ordenan a los dispositivos de la botnet que envíen solicitudes de conexión u otros paquetes a la dirección IP del servidor, dispositivo o servicio objetivo.

La mayoría de los ataques de denegación distribuida del servicio (DDoS) dependen de la fuerza bruta, enviando una gran cantidad de solicitudes para consumir todo el ancho de banda del objetivo. Algunos ataques de denegación distribuida del servicio (DDoS) envían un número menor de solicitudes más complicadas que requieren que el objetivo gaste Recursos en responder. En cualquier caso, el resultado es el mismo: el tráfico de ataque abruma al sistema objetivo, provocando una denegación del servicio e impidiendo que el tráfico legítimo acceda a él.

Los hackers suelen ocultar el origen de sus ataques mediante la suplantación de IP, una técnica mediante la cual los delincuentes cibernéticos falsifican las direcciones IP de origen de los paquetes enviados desde la red de bots. En una forma de suplantación de IP, llamada "reflexión", los hackers hacen que parezca que el tráfico malicioso se originó desde la propia dirección IP de la víctima.

Los ataques de denegación distribuida del servicio (DDoS) no siempre son el ataque principal. A veces, los hackers los emplean para distraer a la víctima de otro delito cibernético. Por ejemplo, los atacantes podrían exfiltrar datos o desplegar ransomware en una red mientras el equipo de ciberseguridad está ocupado defender del ataque denegación distribuida del servicio (DDoS).

Los hackers utilizan los ataques de denegación distribuida del servicio (DDoS) por todo tipo de razones: extorsión, cierre de organizaciones e instituciones con las que no están de acuerdo, represión de empresas competidoras e incluso guerra cibernética.

Algunos de los objetivos de ataques DDoS más comunes incluyen:

• Minoristas en línea
• Proveedores de servicios de Internet (ISPs)
• Proveedores de servicios en la nube
• Instituciones financieras
• Proveedores de software como servicio (SaaS)
• Empresas de juegos
• Agencias gubernamentales

Los ataques de denegación distribuida del servicio (DDoS) se clasifican en función de las Tácticas que emplean y de la arquitectura de red a la que se dirigen. Los tipos más comunes de ataques de denegación distribuida del servicio (DDoS) incluyen:

• Ataques a la capa de aplicación
• Ataques de protocolo
• Ataques volumétricos
• Ataques multivector

Como su nombre indica, los ataques a la capa de aplicación se dirigen a la capa de aplicación de una red. En el marco del modelo de interconexión de sistemas abiertos (modelo OSI), esta capa es donde los usuarios interactúan con las páginas web y las aplicaciones. Los ataques a la capa de aplicaciones interrumpen las aplicaciones web inundándolas con solicitudes maliciosas.

Uno de los ataques de capa de aplicación más comunes es el ataque de inundación HTTP, en el que un atacante envía continuamente una gran cantidad de solicitudes HTTP de múltiples dispositivos al mismo sitio web. El sitio web no puede seguir el ritmo de todas las solicitudes y se ralentiza o se bloquea. Los ataques de inundación HTTP son similares a cientos o miles de navegadores web que actualizan constantemente la misma página web.

Los ataques de protocolo apuntan a la capa de red (capa 3) y a la capa de transporte (capa 4) del modelo OSI. Su objetivo es saturar los recursos críticos de la red, como firewalls, equilibradores de carga y servidores web, con solicitudes de conexión maliciosas.

Dos de los tipos más comunes de ataques de protocolo incluyen ataques de inundación SYN y ataques smurf. 

Un ataque de inundación SYN aprovecha el protocolo de enlace TCP, un proceso por el cual dos dispositivos establecen una conexión entre sí. Un protocolo de enlace TCP típico tiene tres pasos:

1. Un dispositivo envía un paquete de sincronización (SYN) para iniciar la conexión.
2. El otro dispositivo responde con un paquete de sincronización/acuse de recibo (SYN/ACK) para reconocer la solicitud.
3. El dispositivo original envía de vuelta un paquete ACK para finalizar la conexión.

En un ataque de inundación SYN, el atacante envía al servidor de destino un gran número de paquetes SYN con direcciones IP de origen falsificadas. El servidor responde a las direcciones IP falsificadas y espera los paquetes ACK finales. Debido a que las direcciones IP de origen estaban falsificadas, estos paquetes nunca llegan. El servidor está atascado en una gran cantidad de conexiones incompletas, lo que lo deja indisponible para protocolos de enlace TCP legítimos.

Un ataque smurf aprovecha el protocolo de mensajes de control de Internet (ICMP), un protocolo de comunicación utilizado para evaluar el estado de una conexión entre dos dispositivos.

En un intercambio de ICMP típico, un dispositivo envía una solicitud de eco ICMP a otro y el último dispositivo envía una respuesta de eco ICMP.

En un ataque smurf, el atacante envía una solicitud de eco ICMP desde una dirección IP falsificada que coincide con la dirección IP de la víctima. Esta solicitud de eco ICMP se envía a una red de difusión IP que reenvía la solicitud a todos los dispositivos de una red.

Cada dispositivo que recibe la solicitud de eco ICMP (potencialmente cientos o miles de dispositivos) responde enviando una respuesta de eco ICMP a la dirección IP de la víctima. El gran volumen de respuestas es más de lo que el dispositivo de la víctima puede manejar. Al contrario que la mayoría de los ataques de denegación distribuida del servicio (DDoS), los ataques smurf no necesitan obligatoriamente una botnet.

Los ataques de denegación distribuida del servicio (DDoS) volumétricos consumen todo el ancho de banda disponible dentro de una red de destino o entre un servicio de destino y el resto de Internet, impidiendo que los usuarios legítimos se conecten a los recursos de la red.

Los ataques volumétricos suelen inundar redes y recursos con altas cantidades de tráfico, incluso en comparación con otros tipos de ataques de denegación distribuida del servicio (DDoS). Los ataques volumétricos se han conocido por superar las medidas de protección de denegación distribuida del servicio (DDoS), como los centros de depuración, que están diseñados para filtrar el tráfico malicioso del legítimo.

Los tipos comunes de ataques volumétricos incluyen inundaciones UDP, inundaciones ICMP y ataques de amplificación de DNS.

Las inundaciones UDP envían paquetes falsos del Protocolo de datagramas de usuario (UDP) a los puertos de un host de destino, lo que hace que el host busque una aplicación para recibir estos paquetes. Debido a que los paquetes UDP son falsos, no hay ninguna aplicación para recibirlos, y el host debe enviar un mensaje de "destino no alcanzable" al remitente.

Los recursos del host están vinculados para responder al flujo constante de paquetes UDP falsos, dejando el host no disponible para responder a paquetes legítimos.

Las inundaciones ICMP, también llamadas "ataques de inundación de ping", bombardean objetivos con solicitudes de eco ICMP desde múltiples direcciones IP falsificadas. El servidor de destino debe responder a todas estas solicitudes, por lo que se sobrecarga y no puede procesar solicitudes de eco ICMP válidas.

Las inundaciones ICMP se distinguen de los ataques smurf en que los atacantes envían un gran número de solicitudes ICMP desde sus botnets. En un ataque smurf, los hackers engañan a los dispositivos de red para que envíen respuestas ICMP a la dirección IP de la víctima.

En un ataque de amplificación de DNS , el atacante envía varias solicitudes del Sistema de nombres de dominio (DNS) a uno o varios servidores DNS públicos. Estas solicitudes de búsqueda utilizan una dirección IP falsificada que pertenece a la víctima y solicitan a los servidores DNS que devuelvan una gran cantidad de información por solicitud. Luego, el servidor DNS responde a las solicitudes inundando la dirección IP de la víctima con grandes cantidades de datos.

Como su nombre indica, los ataques multivectoriales explotan múltiples vectores de ataque, en lugar de una única fuente, para maximizar los daños y frustrar los esfuerzos de mitigación de denegación distribuida del servicio (DDoS).

Los atacantes podrían usar varios vectores simultáneamente o cambiar entre vectores a mitad del ataque, cuando se defiende un vector. Por ejemplo, los piratas informáticos pueden comenzar con un ataque smurf, pero cuando se interrumpe el tráfico de los dispositivos de red, pueden lanzar una inundación UDP desde su botnet.

Las amenazas de denegación distribuida del servicio (DDoS) también pueden utilizarse junto con otras amenazas cibernéticas . Por ejemplo, los atacantes de ransomware pueden presionar a sus víctimas amenazando con montar un ataque DDoS si no se paga el rescate.

Los ataques DDoS siguen siendo una táctica común para muchos ciberdelincuentes por muchas razones.

Un delincuente cibernético ya ni siquiera necesita saber cómo codificar para lanzar una denegación distribuida del servicio (DDoS). Los mercados de delitos cibernéticos prosperan en la dark web, donde los actores de amenazas pueden comprar y vender botnets, malware y otras herramientas para realizar ataques de denegación distribuida del servicio (DDoS).

Al contratar botnets ya preparadas de otros hackers, los delincuentes cibernéticos pueden lanzar fácilmente ataques DDoS por sí solos con poca preparación o planificación.

Dado que las redes de bots se componen en gran parte de dispositivos comerciales y de consumo, puede resultar difícil para las organizaciones separar el tráfico malicioso de los usuarios reales.

Además, los síntomas de los ataques DDoS (servicio lento y sitios y aplicaciones no disponibles temporalmente) también pueden ser causados por puntas repentinas en tráfico legítimo, lo que dificulta la detección temprana de ataques DDoS.

Cuando se identifica un ataque de denegación distribuida del servicio (DDoS), la naturaleza distribuida del ciberataque significa que las organizaciones no pueden simplemente bloquearlo cerrando una sola fuente de tráfico. Los controles estándar de seguridad de la red destinados a advertir ataques de denegación distribuida del servicio (DDoS), como la limitación de velocidad, también pueden ralentizar las operaciones para usuarios legítimos.

El auge del Internet de las cosas ha dado a los hackers una rica fuente de dispositivos para convertir en bots.

Los dispositivos habilitados para Internet, incluida la tecnología operativa (OT), como los dispositivos de atención médica y los sistemas de fabricación, se venden y operan con valores predeterminados universales y controles de seguridad débiles o inexistentes , lo que los hace vulnerables a la infección por malware.

Puede resultar difícil para los propietarios de estos dispositivos darse cuenta de que han sido comprometidos, ya que los dispositivos IoT a menudo se utilizan de forma pasiva o con poca frecuencia.

Los ataques DDoS son cada vez más sofisticados a medida que los hackers adoptan herramientas de inteligencia artificial (IA) y machine learning (ML) para ayudar a dirigir sus ataques. Los ataques de denegación distribuida del servicio (DDoS) adaptativos utilizan la IA y el ML para encontrar los aspectos más vulnerables de los sistemas y cambiar automáticamente los vectores y las estrategias de ataque en respuesta a los esfuerzos de mitigación de denegación distribuida del servicio (DDoS) de un equipo de ciberseguridad.

Cuanto antes se pueda identificar un ataque de denegación distribuida del servicio (DDoS), antes se puede comenzar la defensa y la corrección. Las señales de que se está produciendo un ataque incluyen:

• Un sitio o servicio inesperadamente comienza a funcionar lentamente o deja de estar disponible por completo.
  
  
• Un volumen inusualmente grande de tráfico llega de una sola dirección IP o rango de direcciones IP.
  
  
• El tráfico de muchos perfiles similares, como un tipo específico de dispositivo o geolocalización, aumenta repentinamente.
  
  
•  Un aumento repentino en las solicitudes de una sola acción, endpoint o página.
  
  
• Picos de tráfico en un momento inusual del día, día de la semana o según un patrón regular, por ejemplo cada cinco minutos.
  
  
• Errores o tiempos de espera inexplicables.
  
  
•  Los servicios que comparten la misma red simultáneamente comienzan a ralentizar.

Muchos de estos comportamientos pueden ser causados por otros factores. Sin embargo, comprobar primero si hay ataques de denegación distribuida del servicio (DDoS) puede ahorrar tiempo y mitigar los daños si hay un ataque de denegación distribuida del servicio (DDoS) en marcha.

Las soluciones de protección de denegación distribuida del servicio (DDoS) ayudan a detectar anomalías de tráfico y determinar si son inocentes o maliciosas. Después de todo, una avalancha repentina de solicitudes podría ser el resultado de una campaña de marketing exitosa, y bloquear esas solicitudes podría ser un desastre empresarial.

Los esfuerzos de mitigación de denegación distribuida del servicio (DDoS) suelen intentar desviar el flujo de tráfico malicioso lo más rápido posible. 

Los esfuerzos comunes de prevención y mitigación de denegación distribuida del servicio (DDoS) incluyen:

Mientras que los cortafuegos estándar protegen las redes a nivel de puerto, los WAFs ayudan a garantizar que las solicitudes sean seguras antes de enviarlas a los servidores web. Un WAF puede determinar qué tipos de solicitudes son legítimas y cuáles no, lo que le permite dejar caer el tráfico malicioso y evitar ataques en la capa de aplicaciones.

Un CDN es una red de servidores distribuidos que puede ayudar a los usuarios a acceder a los servicios en línea de manera más rápida y confiable. Con una CDN, las solicitudes de los usuarios no viajan hasta el servidor de origen del servicio. En cambio, las solicitudes se dirigen a un servidor CDN geográficamente más cercano que entrega el contenido.

Las CDN pueden ayudar a protegerse contra ataques de denegación distribuida del servicio (DDoS) aumentando la capacidad general de un servicio para el tráfico. Cuando un servidor CDN caiga a causa de un ataque de denegación distribuida del servicio (DDoS), el tráfico de los usuarios puede dirigirse a otros recursos de servidor disponibles en la red.

La detección y respuesta de endpoints (EDR), la detección y respuesta de red (NDR) y otras herramientas pueden monitorizar la infraestructura de red en busca de indicadores de compromiso. Cuando estos sistemas detectan posibles señales de DDoS, como patrones de tráfico anómalos, pueden desencadenar respuestas a incidentes en tiempo real, como la terminación de conexiones de red sospechosas.

Un "agujero negro" es una parte de una red donde el tráfico entrante se elimina sin ser procesado ni almacenado. El enrutamiento por agujero negro consiste en desviar el tráfico entrante a un agujero negro cuando se sospecha de un ataque de denegación distribuida del servicio (DDoS).

El inconveniente es que el enrutamiento por agujeros negros puede descartar lo bueno con lo malo. También podría desechar tráfico válido y quizá valioso, lo que convierte al enrutamiento por agujeros negros en un instrumento sencillo pero contundente frente a un ataque.

La limitación de velocidad significa poner límites en la cantidad de solicitudes entrantes que un servidor puede aceptar durante un período de tiempo establecido. El servicio también puede ser lento para los usuarios legítimos, pero el servidor no está saturado. 

Elequilibrio de carga es el proceso de distribución del tráfico de red entre varios servidores para optimizar la disponibilidad de las aplicaciones. El equilibrio de carga puede ayudar a defenderse de los ataques de denegación distribuida del servicio (DDoS) al enrutar automáticamente el tráfico lejos de los servidores saturados.

Las organizaciones pueden instalar balanceadores de carga basados en hardware o software para procesar el tráfico. También pueden emplear redes anycast, que permiten asignar una única dirección IP a varios servidores o nodos repartidos por varias ubicaciones, de modo que el tráfico pueda compartir entre esos servidores. Normalmente, se envía una solicitud al servidor óptimo. A medida que aumenta el tráfico, la carga se distribuye, lo que significa que los servidores tienen menos probabilidades de ver sobrecargados.

Los centros de depuración son redes o servicios especializados que pueden filtrar el tráfico malicioso del tráfico legítimo mediante técnicas como la autenticación del tráfico y la detección de anomalías. Los centros de depuración bloquean el tráfico malicioso y permiten que el tráfico legítimo llegue a su destino.