¿Qué es un Ataque de Denegación de Servicio (DoS)?

Los ataques DoS están a la orden del día para la ciberdelincuencia. El ataque suele durar varios minutos o incluso horas. Los daños causados por las “interrupciones provocadas por el hombre” sólo pueden minimizarse si el administrador del servidor comprende el problema al que se enfrenta.

Pero, ¿qué significa DoS en el ámbito de la ciberdelincuencia? Lo averiguarás leyendo las líneas que siguen.

¿Qué es un Ataque de Denegación de Servicio (DoS)?

Un ataque de denegación de servicio (DoS) (acrónimo de Denial-of-Service) es un ataque dirigido que inunda deliberadamente una red con peticiones falsas con el fin de interrumpir las operaciones comerciales.

En un ataque DoS, los usuarios no pueden realizar tareas rutinarias y necesarias, como acceder al correo electrónico, sitios web, cuentas en línea u otros recursos gestionados por un ordenador o red comprometidos.

Aunque la mayoría de los ataques DoS no provocan la pérdida de datos y suelen resolverse sin el pago de un rescate, sí cuestan a una organización tiempo, dinero y otros recursos para restablecer las operaciones críticas.

Cómo Funciona un Ataque DoS

Un ataque DoS suele consistir en inundar el host o la red objetivo con peticiones de servicio ilegítimas. Se caracteriza por el uso de una dirección IP falsa que impide al servidor autenticar al usuario. El procesamiento de esta oleada de peticiones falsas satura el servidor, provocando su ralentización y, en ocasiones, su bloqueo, e impide que los usuarios legítimos accedan a él. Para que un ataque de este tipo tenga éxito, el ciberatacante debe disponer de más ancho de banda que el objetivo.

Tipos de Ataques DoS

Existen dos tipos principales de ataques DoS: los que bloquean los servicios web y los que los inundan. Estas dos categorías se subdividen a su vez en varios subconjuntos, que varían en función de los métodos utilizados por el ciberadversario, los equipos objetivo y el método de evaluación del ataque.

Desbordamiento de búfer (buffer overflow)

El desbordamiento de búfer es la forma más común de ataque DoS. En este tipo de exploit, el ciberadversario dirige a una dirección IP más tráfico del que el sistema puede soportar. La máquina objetivo consume entonces todos los búferes disponibles o todas las regiones de memoria de almacenamiento que guardan temporalmente los datos mientras se transfieren a través de la red. Un desbordamiento de búfer se produce cuando el volumen de datos supera el ancho de banda disponible, incluido el espacio en disco, la memoria o la CPU, provocando una ralentización del rendimiento y la caída del sistema.

Ataques por inundación

Los ataques de inundación implican el envío de una cantidad inmanejable de tráfico al sistema, provocando la ralentización del servidor y, a veces, su cierre. Los ataques por inundación más comunes son los siguientes:

Los ataques de inundación ICMP, comúnmente conocidos como ataques smurf o ping, explotan puntos finales de red mal configurados. En estos ataques, los ciberadversarios despliegan paquetes fraudulentos, o direcciones IP falsas, que envían un comando ping a cada terminal conectado a la red objetivo sin esperar respuesta. La gestión de este aumento de tráfico por parte de la red hace que el sistema se ralentice o incluso se apague.

Un ataque de inundación SYN consiste en enviar una solicitud de conexión a un servidor, sin establecer nunca una conexión con el host. Estas peticiones continúan inundando el sistema hasta saturar todos los puertos abiertos, impidiendo que los usuarios legítimos accedan al servidor.

¿Cómo Identificar un Ataque DoS?

Cualquier usuario de la red puede detectar los signos habituales de un ataque DoS:

• Ralentización de tareas comunes, como descargar/cargar archivos, iniciar sesión en una cuenta, acceder a un sitio web o transmitir contenidos de audio o vídeo.
• Imposibilidad de acceder a recursos en línea, incluidos sitios web o cuentas, como cuentas bancarias, carteras de inversión, material educativo o historiales médicos.
• Interrupción o pérdida de conexión de varios terminales en la misma red

Por desgracia, la mayoría de los usuarios de sistemas equiparan los síntomas de un ataque DoS con problemas normales de conexión a la red, mantenimiento rutinario o un simple aumento del tráfico de red, por lo que no se preocupan.

¿Cuál es la Diferencia entre un Ataque DoS y un Ataque de Denegación de Servicio Distribuido (DDoS)?

La principal diferencia entre un ataque de denegación de servicio distribuido (DDoS) y un ataque DoS es el origen del ataque. Un ataque DDoS se orquesta desde múltiples ubicaciones y sistemas al mismo tiempo, mientras que un ataque DoS es de naturaleza aislada.

Lectura Recomendada

Seguridad

Diferencias entre DoS y DDoS (con Tabla)

Alexynior·

En general, un ataque DDoS se considera más sofisticado y supone una amenaza mucho mayor para las empresas porque utiliza múltiples puntos finales en múltiples ubicaciones, lo que dificulta su identificación, seguimiento y neutralización. Lo más habitual es que los ciberdelincuentes utilicen una botnet -un conjunto de ordenadores o endpoints comprometidos supervisados por un canal de mando y control (C&C)- para ejecutar este tipo de ataque sincronizado.

Aunque muchas herramientas de seguridad estándar son eficaces para proteger contra ataques DoS, la naturaleza distribuida de los ataques DDoS requiere una solución de seguridad más completa que incluya capacidades avanzadas de supervisión y detección, así como un equipo dedicado al análisis y neutralización de amenazas.

En los últimos años, los ataques DDoS han aumentado debido a la proliferación de dispositivos conectados a través de la tecnología IoT (Internet de las cosas). Por lo tanto, es esencial que las empresas y los particulares establezcan medidas de seguridad básicas, como contraseñas seguras, en todos los dispositivos conectados en la oficina y en casa. La seguridad de estos dispositivos es especialmente importante porque los signos de compromiso suelen pasar desapercibidos, lo que permite a los ciberadversarios integrarlos en una red de bots para llevar a cabo sus ataques sin que los propietarios lo sepan.

¿Cómo Prevenir un Ataque DoS? 3 Consejos de los Expertos

En el tráfico de paquetes de datos que van y vienen por los circuitos de red, es muy difícil distinguir entre una petición legítima y otra infectada porque, al utilizar a menudo los mismos protocolos y puertos, acaban pareciéndose en tipo y contenido.

¿Existen estrategias para prevenir este tipo de amenazas? La respuesta es SÍ. He aquí algunas medidas útiles para protegerse de los ataques DoS y reducir los riesgos de interrupción de los servicios corporativos:

1. Comprar mucho ancho de banda. Puede que sea la solución más sencilla, pero también la más cara. Si una empresa tiene mucho ancho de banda, es mucho más difícil para un hacker perpetrar un ataque DoS, ya que el ataque debe actuar sobre toda la capacidad de ancho de banda de la empresa.
2. Utilizar técnicas de identificación y detección de ataques DoS para diferenciar el tráfico legítimo del malicioso. El primer paso y el más eficaz para limitar los daños de un ataque es detectar de forma fiable cuándo se está produciendo un ataque DoS; esto se puede hacer utilizando perfiles que midan las tasas medias de tráfico y señalen cuándo se están produciendo aumentos significativos y anormales en el tráfico. Ser capaz de detectar un ataque DoS también puede ayudar a las organizaciones a determinar qué tipo de ataque está en curso, como un ataque DDoS o un ataque a un dominio como en el caso del DNS spoofing, es decir, cuando en una comunicación entre dos hosts un atacante se hace pasar por un emisor o receptor “real”.
3. Tener preparada una estrategia defensiva de Plan B: ser capaz de restaurar rápidamente las principales geografías y los servicios críticos para el negocio ante un ataque DDoS.

Prepárate para responder a un ataque DoS. ¿Cómo? Mediante el uso de tecnologías que reducen selectivamente la velocidad del ancho de banda para controlar los flujos de tráfico (throttling) o introduciendo tecnologías de limitación de velocidad que intervienen cada segundo bloqueando los intentos de acceso, segmentando el delta entre solicitudes para comprobar si hay anomalías. Son sistemas de protección que reducen los efectos de una amenaza DoS porque detienen todas las nuevas conexiones entrantes en caso de ataque, permitiendo que continúen las nuevas conexiones y las conexiones salientes predeterminadas.

Palabras Finales

En conclusión, un ataque de denegación de servicio (DoS) es un intento malicioso de interrumpir una red o un servicio abrumando un objetivo con tráfico o peticiones. Los ataques DoS pueden llevarse a cabo de diversas formas, lo que dificulta la protección contra ellos.

Una organización puede tomar medidas para reducir su vulnerabilidad a un ataque DoS, incluyendo la implementación de sistemas seguros, la monitorización de actividades sospechosas y un plan para responder a un ataque. Al comprender la naturaleza de los ataques DoS, las organizaciones pueden protegerse mejor contra ellos.