Select Page

Ataque DDoS

Los delincuentes llevan más de 20 años infligiendo daños selectivos a empresas e instituciones mediante ataques DDoS. Su inmensa influencia los convierte en un grave e incalculable peligro. Con la protección DDoS de Myra, su infraestructura informática está a salvo.

Índice


01

¿Qué es un «DDoS»?

Un ataque DDoS es un tipo especial de ciberdelincuencia. El ataque de denegación de servicio distribuido (DDoS) es un ataque de denegación de servicio (DoS) “distribuido”, que a su vez es un bloqueo de servicios. Este es el caso cuando un servicio solicitado deja de estar disponible o solo lo está de forma muy limitada. En la mayoría de los casos, esto se desencadena por una sobrecarga deliberada de la infraestructura informática. Los atacantes emplean este tipo de ciberdelincuencia para extorsionar a organizaciones desprotegidas o para llevar a cabo, encubrir o preparar otros actos delictivos.

02

¿Cómo es un ataque DDoS?

En un ataque DDoS, los atacantes provocan deliberadamente la indisponibilidad de un servicio o servidor. Una de las formas es infectar varios ordenadores con malware, con el que toman el control de estos ordenadores de forma inadvertida. Los atacantes abusan de esta red informática infectada, también llamada red de bots, de forma remota para llevar a cabo los ataques DDoS. Con la red de bots, atacan su objetivo en paralelo, bombardeando la infraestructura con innumerables peticiones.

Cuantos más ordenadores estén conectados entre sí, más potente será el ataque. Los servidores atacados sin protección DDoS se desbordan por el gran número de solicitudes y su línea de internet se sobrecarga. Los sitios web se acumulan muy lentamente o dejan de estar disponibles.

03

Ataque de denegación de servicio de reflexión distribuida (DRDoS)

Un ataque de denegación de servicio de reflexión distribuida es una forma especial de DoS. Las solicitudes maliciosas no proceden de una red de bots, sino de servicios de internet normales. Mediante la suplantación de IP (envío de paquetes IP con una dirección de remitente IP falsificada), los atacantes manipulan estos servicios para dirigir el tráfico al objetivo correspondiente. Este procedimiento permite disimular el ataque. Los ataques DRDoS se producen, por ejemplo, a través de los servicios DNS, como el llamado ataque de amplificación de DNS, en el que se envían flujos de datos masivos a la víctima. En un ataque a la organización antispam spamhaus.org, un ataque de amplificación de DNS de este tipo provocó picos de carga de 300 GBit/s.

04

¿Quiénes son los atacantes?

Los motivos de un ataque DDoS también son diversos: chantaje, daño a los competidores, envidia o protesta política. Sin embargo, el objetivo siempre es el mismo: infligir el mayor daño posible a la organización subyacente.

Delincuentes individuales o grupos

Activistas políticos

Competidores

Usuarios insatisfechos

05

¿Qué métodos utilizan los atacantes?

Los ciberdelincuentes llevan a cabo diferentes tipos de ataques DDoS. Los métodos pueden ordenarse según las capas (según el modelo de interconexión de sistemas abiertos para protocolos de red, o modelo OSI) a las que se dirige el ataque.

Uno de los métodos más comunes es sobrecargar los recursos del sistema o el ancho de banda de la red (capas 3 y 4). En los últimos años, ha surgido una tendencia entre los ciberdelincuentes en la que trasladan los ataques al nivel de aplicación (capa 7). Sin embargo, los patrones y los anchos de banda de los ataques DDoS cambian a diario. Con la protección DDoS de Myra, estará protegido contra cualquier tipo de ataque.

Ataques DDoS a la capa 3 y 4

Los ataques más comunes a la capa de red y de transporte (capas 3 y 4) incluyen las inundaciones TCP SYN y los ataques DRDoS a los UDP. Otras variantes de ataque típicas son la inundación ICMP, la fragmentación UDP, la amplificación UDP vía DNS, NTP, rpcbind, SSDP, la inundación ACK y la inundación RST. Todos estos ataques sobrecargan al objetivo ya sea con anchos de banda muy altos o con paquetes inmensos. Los accesos legítimos ya no encuentran un canal de datos para establecer una comunicación.

Por ejemplo, en un ataque SYN/ACK (o inundaciones SYN y ACK), una red de bots controlada por el atacante bombardea un servidor con paquetes SYN. Suelen formar parte del llamado protocolo de enlace de tres vías (three-way handshake) que tiene lugar cuando se establece una conexión TCP entre cliente y servidor. Un ataque SYN/ACK provoca masivas conexiones semiabiertas enviando muchos paquetes SYN, pero sin enviar los paquetes ACK necesarios para completar la conexión. La consecuencia: Ya no se pueden hacer nuevas conexiones y el sitio web deja de ser accesible.

Myra DDoS BGP Protection protege las infraestructuras informáticas de estos ataques volumétricos en la capa de red y de transporte. El monitoreo automático del flujo permite realizar análisis detallados del tráfico. La conmutación de las redes afectadas será totalmente automática en caso de ataque.

Ataques DDoS a la capa 7

Los ataques DDoS a la capa de aplicación (capa 7) se basan en conexiones ya establecidas y se han convertido en una de las formas de ataque más comunes. En particular, los ataques HTTP GET, POST y otros ataques de inundación, así como los ataques bajos y lentos, son populares entre los ciberdelincuentes. Su objetivo es penetrar en el componente más débil de una infraestructura y provocar así una sobrecarga de la aplicación web.

Por ejemplo, en un ataque de inundación HTTP GET, los atacantes inundan un servidor web con peticiones HTTP que llaman específicamente a páginas con un gran volumen de carga. Esto sobrecarga el servidor que deja de procesar las solicitudes legítimas. La consecuencia: El sitio web deja de ser accesible para los usuarios.

Los sensores de protección de la capa de red y transporte no suelen detectar los ataques a la capa de aplicación. Al tratarse de solicitudes de URL estándar, los ataques de inundación son difíciles de distinguir del tráfico regular. Los sistemas de protección para las capas 3 y 4, por ejemplo, no reconocen ninguna diferencia entre un ataque de inundación HTTP GET y una descarga válida. En consecuencia, la seguridad de una aplicación web requiere una protección DDoS en todas las capas relevantes. En particular, los ataques destinados a intervenir datos sensibles solo pueden detectarse y defenderse protegiendo la capa 7.

Myra DDoS Website Protection protege las aplicaciones web en la capa 7 de forma totalmente automática. Gracias a la visibilidad del tráfico al cien por cien, Myra permite un equilibrio de carga inteligente, así como la conmutación por fallo del sitio con una alta fiabilidad y tiempos de respuesta mínimos.

06

¿Cuándo son sancionables los ataques DoS/DDoS?

En general, los ataques DoS/DDoS a un servicio en internet se consideran sabotaje informático en Alemania según el artículo 303b del StGB (código penal alemán) y, por tanto, ha de perseguirse penalmente. No importa si el ataque tiene un trasfondo delictivo (por ejemplo, para pedir un rescate) o si forma parte de una acción de protesta política. En algunos países, tan solo la descarga o posesión de software DoS o DDoS ya es penalizada. Legalmente, estos ataques solo pueden aplicarse al hardware propio de la red. Se aplican excepciones a los inspectores de seguridad contratados en el ámbito de las denominadas pruebas de penetración.

07

¿Cuáles son las consecuencias de un ataque?

Un ataque siempre perjudica a las empresas e instituciones afectadas, independientemente del método elegido. Las organizaciones afectadas sufren las consecuencias durante años. Por lo tanto, una protección DDoS eficaz es extremadamente importante.

Daños económicos

Estar sin conexión durante unos minutos cuesta fácilmente unos varios miles de euros. La pérdida de beneficios y el despilfarro de los presupuestos de marketing son solo una parte del daño económico.

Daño a la reputación

Después de un ataque DDoS exitoso, la pérdida de reputación es incalculable. La reconstrucción cuesta muchos recursos y puede llevar años.

Robo de datos

Durante un ataque DDoS, los sistemas dejan de funcionar de forma habitual. En caso de alta carga o sobrecarga, algunos sistemas se vuelven repentinamente vulnerables y abren nuevos vectores de ataque.

08

Por qué el IdC es un acelerador de ataques DDoS

El término colectivo «IdC» (internet de las cosas) engloba una variedad de dispositivos conectados en red que proceden de los hogares, por ejemplo, las cámaras IP, o de las instalaciones de producción conectadas en red en la industria, así como de los elementos de control inteligente en la infraestructura pública. Estos dispositivos conectados a internet son un objetivo claro para los ciberdelincuentes, ya que pueden utilizarse como herramientas para ataques DDoS y de otro tipo. Para obtener el control de los dispositivos del IdC, los ciberdelincuentes emplean un malware especial que se propaga de forma independiente en las redes. El objetivo suele ser corromper el mayor número posible de sistemas para usarlos en un ataque de red de bots. Un ejemplo popular es el malware Mirai, con el que los ciberdelincuentes crean redes de bots. Mirai, por ejemplo, está relacionado con el ataque al proveedor de servicios de internet Dyn en 2016. Una red de miles de cámaras IP, impresoras, televisores inteligentes y otros dispositivos había llevado a cabo el ataque como una red DDoS y paralizó los servidores de Dyn durante horas.

09

¿Qué sectores se ven afectados?

Cualquier industria y empresa, independientemente de su tamaño, puede ser víctima de un ataque DDoS. La cuestión no es si se produce un ataque a la propia empresa, sino cuándo y con qué rapidez se detecta. Los ciberdelincuentes y extorsionistas se centran en empresas de comercio electrónico, bancos, empresas de tecnología financiera y compañías de seguros, empresas manufactureras, medios de comunicación o el sector sanitario. Los centros de datos y las organizaciones del sector público también son objetivos populares para los atacantes de DDoS. Las razones de los ataques consisten en más que pedir un rescate: Buscan paralizar las plantas de fabricación y los procesos de producción, interrumpir el suministro de electricidad o energía e influir en los informes.

10

Cómo defenderse de los ataques DDoS

La mitigación o la protección de DDoS requiere el uso de tecnologías de protección especiales. Están disponibles tanto como un dispositivo que se utiliza en las instalaciones como en forma de seguridad como servicio (SECaas). Esta última variante no está restringida por el ancho de banda disponible del propio conector y por lo tanto es mucho más ágil Las soluciones de protección DDoS limpian el tráfico entrante y distinguen entre las solicitudes válidas y los accesos maliciosos. Las empresas que se ven afectadas con especial frecuencia por los ataques DDoS dejan la protección DDoS permanentemente activa; otras solo emplean estas soluciones cuando necesitan reducir el coste.
11

Evolución de los ataques DDoS

La frecuencia y la fuerza de los ataques DDoS han aumentado exponencialmente en los últimos 10 años. Especialmente en 2013, la intensidad de los ataques había aumentado considerablemente, ya que por primera vez se utilizaron más servidores DNS para ataques DRDoS. Por ejemplo, un ataque a la organización antispam «spamhaus.org» dio lugar a picos de carga de 300 GBit/s. Al año siguiente, los primeros ataques ya alcanzaron los 500 GBit/s. En 2016, el malware «Mirai» llevó a cabo un ataque récord. El malware creó una red de bots de más de 100 000 dispositivos de IdC, que se unieron para lanzar un ataque de 1,2 TBit/s al proveedor de servicios Dyn. Los ataques DDoS más fuertes hasta la fecha se produjeron en 2018. En ese momento, la plataforma de codificación «GitHub» estaba sobrecargada por picos de tráfico de 1,35 TBit/s. Ese mismo año, los investigadores de seguridad también registraron un ataque de más de 1,7 TBit/s a una empresa estadounidense. Mientras tanto, la frecuencia de los ataques DDoS también ha aumentado constantemente a lo largo de los años. Por ejemplo, la frecuencia de los ataques DDoS entre 2014 y 2017 aumentó más de 2,5 veces.