Una ciberamenaza tan sencilla de poner en práctica como eficaz: capaz de perturbar una empresa, o infraestructuras críticas como hospitales y aeropuertos, en cuestión de segundos. Se trata de ataques DDoS.
Este artículo trata de los ataques de denegación de servicio distribuido (DDoS) y comparte un plan de respuesta en caso de ataque sorpresa.
Todo sobre el Ataque DDoS
¿Qué es un DDoS en Términos Sencillos?
Los ataques de denegación de servicio distribuido (DDoS) (por sus siglas en inglés, Distributed Denial of Service) son un conjunto de acciones de hackers diseñadas para interrumpir o perturbar diversos tipos de infraestructura en una red, ya sea un simple sitio web o un gran servicio al cliente. El principio del ataque es sencillo y consiste en crear una avalancha de peticiones a un recurso en línea con el fin de aumentar artificialmente la carga que soporta y dejarlo fuera de servicio.
La complejidad de la defensa contra un ataque DDoS reside en la naturaleza distribuida de los hosts atacantes. Bloquear el tráfico con un cortafuegos no es fácil.
Existen muchos tipos diferentes de ataques DDoS. Los dividiremos en tres categorías principales: ataques masivos, de protocolo y de aplicación. Veamos cada uno de ellos en detalle.
Ataques DDoS a Gran Escala
Los ataques DDoS a gran escala están diseñados para saturar el ancho de banda de la víctima. Uno de sus tipos más populares es el ataque por reflexión. Su principio es el siguiente:
- Los atacantes, cambiando su dirección IP por la del objetivo, envían peticiones supuestamente desde él a servidores que ejecutan servicios UDP o TCP.
- Los servidores receptores reflejan la señal enviando respuestas a la dirección IP del remitente, utilizando el mismo protocolo.
¿Por qué, se preguntarán, un algoritmo tan elaborado? ¿No sería más sencillo atacar directamente al objetivo? La cuestión es que los paquetes de respuesta suelen ser mucho mayores que los de salida. Por ejemplo, un paquete de respuesta a una consulta DNS puede ser entre 28 y 54 veces mayor que la consulta inicial. Si hay muchos paquetes de este tipo, la magnitud de los daños puede ser crítica.
Ataques DDoS basados en protocolos y aplicaciones
Los ataques DDoS basados en protocolos (por ejemplo, las inundaciones SYN) detectan los puntos débiles de los protocolos utilizando el principio del apretón de manos en tres pasos (Three-Way Handshake).
Cuando un atacante envía un gran número de paquetes SYN (solicitud de sincronización) a una máquina, el servidor asigna recursos para esta solicitud y envía de vuelta un SYN ACK (acuse de recibo, disposición a aceptar el paquete), asumiendo que es el inicio de una solicitud de conexión.
Normalmente, el otro servidor responde con un ACK, iniciando la conexión. En caso de ataque, el atacante sigue enviando peticiones SYN sin terminar la conexión hasta que el servidor se queda sin recursos y ya no puede aceptar más tráfico.
Los ataques DDoS aplicados se centran en los puntos débiles de las aplicaciones. Por ejemplo, el ataque Slowloris es muy similar a la inundación SYN y funciona así: un atacante envía metódicamente peticiones HTTP sin completarlas, dejando la conexión abierta. Y como las conexiones nunca terminan, consumen todos los recursos disponibles del servidor hasta que falla.
Qué es un Botnet
En general, la herramienta con la que los ciberdelincuentes logran su propósito es la denominada botnet. Este término designa un conjunto de ordenadores comprometidos por un malware, es decir, un virus informático, que permite a los atacantes tomar el control de los PC y hacer que realicen determinadas operaciones.
Un ejemplo práctico bien conocido es Mirai, una red de bots creada infectando miles de dispositivos, que ocupó los titulares internacionales al mostrar lo que estos sistemas son capaces de hacer. El 21 de octubre de 2016, la botnet provocó la interrupción temporal de algunos servicios, como Twitter, Amazon y el New York Times, en la costa este de Estados Unidos.
Dos semanas más tarde, una variante del mismo se utilizó para bloquear el tráfico del mayor proveedor de Liberia (África). Y, de nuevo, en Alemania dejó sin conexión a internet y teléfono a cerca de un millón de personas en noviembre de 2016.
Ejemplos 5 Ataques DDoS Más Famosos (por ahora)
1. El ataque a Google, 2020
El 16 de octubre de 2020, el Threat Analysis Group (TAG) de Google publicó una actualización en su blog sobre cómo las amenazas y los actores de amenazas están cambiando sus tácticas debido a las elecciones estadounidenses de 2020. Al final del post, la empresa coló una nota:
en 2020, nuestro equipo de Security Reliability Engineering midió un ataque de amplificación UDP sin precedentes procedente de varios ISP chinos (ASNs 4134, 4837, 58453 y 9394), que sigue siendo el mayor ataque de ancho de banda del que tenemos constancia.
Realizado desde tres ISP chinos, el ataque a miles de direcciones IP de Google duró seis meses y alcanzó la impresionante cifra de 2,5 Tbps. escribió Damian Menscher, ingeniero de seguridad de Google:
El atacante utilizó varias redes para falsificar 167 Mpps (millones de paquetes por segundo) a 180.000 servidores CLDAP, DNS y SMTP expuestos, que luego nos enviaban grandes respuestas. Esto demuestra los volúmenes que puede alcanzar un atacante con buenos recursos: Esto fue cuatro veces mayor que el ataque récord de 623 Gbps de la red de bots Mirai un año antes.
2. El ataque DDoS de AWS en 2020
Amazon Web Services, el gorila de 300 kilos de todo lo relacionado con la computación en la nube, sufrió un gigantesco ataque DDoS en febrero de 2020. Este fue el ataque DDoS reciente más extremo de la historia y tuvo como objetivo a un cliente no identificado de AWS utilizando una técnica llamada reflejo del Protocolo Ligero de Acceso a Directorios sin Conexión (CLDAP). Esta técnica se basa en servidores CLDAP vulnerables de terceros y amplifica la cantidad de datos enviados a la dirección IP de la víctima entre 56 y 70 veces. El ataque duró tres días y alcanzó la asombrosa cifra de 2,3 terabytes por segundo.
3. Los ataques DDoS Mirai Contra Krebs y OVH en 2016
El 20 de septiembre de 2016, el blog del experto en ciberseguridad Brian Krebs fue asaltado por un ataque DDoS de más de 620 Gbps. El sitio de Krebs ya había sido atacado con anterioridad. Krebs había registrado 269 ataques DDoS desde julio de 2012, pero este ataque fue casi tres veces mayor que cualquier cosa que su sitio o Internet hubieran visto antes.
El origen del ataque fue la red de bots Mirai, que, en su punto álgido ese mismo año, estaba formada por más de 600.000 dispositivos IoT comprometidos, como cámaras IP, routers domésticos y reproductores de vídeo. La red de bots Mirai había sido descubierta en agosto de ese mismo año, pero el ataque al blog de Krebs fue su primera gran salida.
El siguiente ataque de la red de bots Mirai, el 19 de septiembre, tuvo como objetivo uno de los mayores proveedores de alojamiento europeos, OVH, que aloja aproximadamente 18 millones de aplicaciones para más de un millón de clientes. Este ataque se dirigió a un único cliente de OVH no revelado y fue dirigido por unos 145.000 bots, generando una carga de tráfico de hasta 1,1 terabits por segundo. Duró unos siete días. Pero OVH no iba a ser la última víctima de la red de bots Mirai en 2016.
4. El ataque DDoS de Mirai contra Dyn en 2016
Antes de hablar del tercer ataque DDoS notable de la red de bots Mirai de 2016, hay que mencionar un suceso relacionado. El 30 de septiembre, alguien que afirmaba ser el autor del software Mirai publicó el código fuente en varios foros de hackers y, desde entonces, el ataque DDoS Mirai se ha replicado y mutado decenas de veces.
El 21 de octubre de 2016, Dyn, un importante proveedor de servicios de nombres de dominio (DNS), fue asaltado por una avalancha de tráfico de un terabit por segundo que se convirtió entonces en el nuevo récord de un ataque DDoS. Hay indicios de que el ataque DDoS pudo haber alcanzado en realidad una tasa de 1,5 terabits por segundo. El tsunami de tráfico dejó fuera de servicio los servicios de Dyn, lo que provocó la inaccesibilidad de varios sitios web de alto perfil, como GitHub, HBO, Twitter, Reddit, PayPal, Netflix y Airbnb. Kyle York, director de estrategia de Dyn, informó: “Observamos decenas de millones de direcciones IP discretas asociadas a la red de bots Mirai que formaban parte del ataque“.
5. El ataque a GitHub en 2018
El 28 de febrero de 2018, GitHub, una plataforma para desarrolladores de software, sufrió un ataque DDoS que registró 1,35 terabits por segundo y duró aproximadamente 20 minutos. Según GitHub, el tráfico se rastreó hasta “más de mil sistemas autónomos diferentes (ASN) a través de decenas de miles de puntos finales únicos”.
Protección contra Ataques DDoS
La parte más importante de la protección contra este tipo de ataques es la prevención. Es mejor estar preparado de antemano que tener que atenerse a las consecuencias. ¿Qué se puede hacer en una situación así?
Aumentar el ancho de banda
Una forma de hacer frente a los ataques de gran volumen es aumentar el ancho de banda de respuesta. Por desgracia, esto es algo difícil de hacer a menos que la organización atacada sea un proveedor de servicios. En tal situación, todo dependerá del tamaño del ataque y de la capacidad del atacante para escalar en respuesta.
Respuestas externalizadas
Las organizaciones más pequeñas pueden subcontratar sus respuestas a otras empresas especializadas o a su propio ISP. Sin embargo, antes de que se produzca un ataque, debe existir un contrato con dichas empresas. El ISP redirige entonces el tráfico a su propio entorno, descargando así sus servidores.
Disponer de un plan de respuesta claro
Incluso si una organización ha externalizado su protección DDoS, es fundamental contar con un plan de respuesta en caso de ataque DDoS.
Debe incluir lo siguiente.
Antes del ataque:
- Elaborar diagramas esquemáticos lo más precisos posible con un plan de contingencia para la contención, con medidas claras que deberán adoptar todos los miembros de la empresa.
- Determinar cuándo y cómo contratar a un ISP o a una organización de prevención de ataques DDoS.
- Elaborar una lista de quién debe ser notificado y cuándo (información de contacto del equipo de seguridad, contactos relevantes del equipo de red, etc.).
- Asegurarse de que el equipo de comunicación dispone de un plan sobre cómo y qué notificar a los clientes en caso de incidente que provoque una pérdida de activos.
- Todos estos documentos y listas de contactos deben revisarse periódicamente (al menos trimestralmente).
Es muy importante que este plan se imprima y se distribuya a los empleados y, en caso de fallo del sistema, esté disponible para todos.
Durante el ataque:
- Clasificar el suceso como ataque DDoS para confirmar que no se trata de una breve ráfaga de tráfico intenso o de un error cometido por alguien en la red. Lo ideal es determinar su tipo y volumen.
- Si es posible, bloquear el tráfico y contactar con un profesional de la seguridad o con tu proveedor de servicios.
Después del ataque:
Reunir todos los detalles posibles sobre el incidente ocurrido.
A partir del análisis de lo ocurrido, actualizar el plan de respuesta.
Crear una Arquitectura Resistente
Las arquitecturas de conmutación por error requieren un enfoque global de la continuidad de la actividad. A la hora de diseñarlos, hay que evitar los cuellos de botella potencialmente inseguros, contar con redes geográficamente dispersas y diversos proveedores.
Las redes de distribución de contenidos (CDN) son una forma de mejorar la respuesta DDoS, ya que proporcionan una red distribuida geográficamente de servidores proxy que mejoran enormemente la resistencia del sistema.
La arquitectura en nube también permite a organizaciones de todos los tamaños crear sistemas totalmente redundantes que pueden encenderse y apagarse con solo pulsar un botón. Cuenta con una infraestructura geográficamente heterogénea y la capacidad de aumentar o reducir su escala según sea necesario.
Además, no olvides actualizar tu hardware, ya que algunos tipos de ataques DDoS son muy antiguos y pueden mitigarse con hardware nuevo. Por ejemplo, muchos ataques, ya sean SYN flooding o Slowloris, pueden defenderse con cortafuegos de red y equilibradores de carga adecuados que vigilen las perturbaciones relevantes del sistema y cierren las conexiones inestables.
No Hay que Subestimar el Ataque DDoS
El tipo de ataque del que se habla aquí no debe ignorarse porque a veces las consecuencias de tales acciones por parte de los atacantes pueden ser impredecibles. Suele implicar el uso de enormes redes de varios cientos o incluso miles de dispositivos infectados, conocidas como botnets.
El poder de estos últimos aumenta constantemente y su lanzamiento puede causar enormes daños. Basta recordar el famoso caso de la red de bots Mirai que atacó al importante proveedor de DNS Dyn en 2016, cuando varios sitios web populares como GitHub, HBO, Twitter, Reddit, PayPal, Netflix y Airbnb se cayeron debido al aumento de la carga. Mirai estaba ejecutando alrededor de 60.000 dispositivos iOT en su punto álgido, en su mayoría cámaras y routers, y los expertos registraron su actividad a lo largo de 2017.
Así que si quieres asegurar tu empresa, piensa en ello con antelación. Buena suerte.