¿Qué es un ataque DDoS?

Existen muchos tipos de ataques DDoS distintos y los atacantes suelen utilizar más de un tipo para causar estragos en sus objetivos. Los tres tipos clave son los ataques volumétricos, de protocolo y a la capa de aplicación. La finalidad de todos los ataques es disminuir considerablemente la velocidad o impedir que el tráfico legítimo llegue a su destino previsto. Esto significa, por ejemplo, impedir que un usuario acceda a un sitio web, compre un producto o servicio, vea un vídeo o interactúe en redes sociales. Además, al hacer que los recursos no estén disponibles o disminuir el rendimiento, un ataque DDoS puede paralizar a las empresas. Esto puede impedir que los empleados accedan al correo electrónico o a las aplicaciones web, o bien que hagan su trabajo como de costumbre.

Para comprender mejor cómo funcionan los ataques DDoS, explicaremos las distintas vías que encuentran los atacantes. El modelo de interconexión de sistemas abiertos (OSI) es una estructura en capas para varios estándares de red y se compone de siete capas distintas. Cada capa del modelo OSI tiene un objetivo único, como ocurre en las distintas plantas de un edificio de oficinas, donde se desarrollan actividades diferentes. Los atacantes se dirigen a distintas capas según el tipo de recurso web o de Internet que quieren interrumpir.

La finalidad de un ataque DDoS volumétrico es sobrecargar una red con grandes cantidades de tráfico saturando el ancho de banda del recurso objetivo. Las grandes cantidades de tráfico del ataque bloquean el acceso de los usuarios legítimos a la aplicación o el servicio, cortando el tráfico de entrada y salida. Según el objetivo, la interrupción del tráfico legítimo puede significar que un cliente de un banco no pueda pagar una factura a tiempo, que los compradores de un comercio electrónico no puedan realizar transacciones online, que un paciente de un hospital no pueda acceder a su historial médico o que un ciudadano no pueda consultar sus registros fiscales en un organismo oficial. Independientemente de la organización, bloquear el acceso de las personas a un servicio online tiene un impacto negativo.

Los ataques volumétricos utilizan botnets creadas con ejércitos de sistemas y dispositivos individuales infectados con malware. Los bots, que están controlados por un atacante, se utilizan para provocar el colapso entre un objetivo e Internet en general con tráfico malintencionado que satura todo el ancho de banda disponible.

Un ataque imprevisto con tráfico de bots puede disminuir considerablemente la velocidad o impedir el acceso a un recurso web o servicio online. Como los bots asumen el control de dispositivos legítimos para amplificar los ataques DDoS que consumen un gran ancho de banda, normalmente sin que los usuarios se percaten de ello, es difícil para la organización objetivo detectar el tráfico malintencionado.

Existen una serie de vectores de ataque volumétricos que los ciberdelincuentes utilizan para sus ataques DDoS. Muchos aprovechan las técnicas de ataque de reflexión y amplificación para sobrecargar una red o servicio objetivo.

Las inundaciones UDP se suelen elegir para ataques DDoS que consumen un mayor ancho de banda. Los atacantes intentan sobrecargar los puertos en el host objetivo con paquetes IP que contienen el protocolo UDP sin estado. A continuación, el host objetivo busca aplicaciones que estén asociadas con los paquetes UDP y, cuando no las encuentra, envía el mensaje "Destino inalcanzable" al remitente. Las direcciones IP a menudo se falsifican para que el atacante permanezca anónimo y, una vez que el host objetivo se inunda con el tráfico del ataque, el sistema deja de responder y de estar disponible para usuarios legítimos.

¿Qué es un ataque DDoS de reflexión/amplificación del sistema de nombres de dominio (DNS)?

Los ataques de reflexión de sistema de nombres de dominio o DNS son un tipo de vector común de ataque en el que los ciberdelincuentes o hackers falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes a los servidores de DNS abiertos. En respuesta, los servidores de DNS responden a las solicitudes malintencionadas a través de la dirección IP falsificada, creando así un ataque al objetivo previsto a través de una inundación de respuestas de DNS. El gran volumen de tráfico creado a partir de las respuestas de DNS sobrecarga rápidamente los servicios de la organización objetivo, lo que hace que no estén disponibles e impide que el tráfico legítimo llegue a su destino previsto.

El protocolo de control de mensajes de Internet (ICMP) se utiliza principalmente para los mensajes de error y, por lo general, no intercambia datos entre sistemas. Los paquetes ICMP a veces se incluyen en los paquetes de protocolo de control de mensajes (TCP), que permiten que las aplicaciones y los dispositivos informáticos intercambien mensajes a través de una red cuando se conectan a un servidor. Una inundación ICMP es un método de ataque DDoS con una infraestructura de capa 3 que utiliza mensajes ICMP para sobrecargar el ancho de banda de la red objetivo.

Los ataques de protocolo intentan consumir y agotar la capacidad informática de diversos recursos de infraestructura de red, como servidores o firewalls, a través de solicitudes de conexión malintencionadas que vulneran las comunicaciones del protocolo. La inundación Synchronization (SYN) y el ataque Smurf son dos tipos comunes de ataques DDoS basados en protocolos. Los ataques de protocolo se pueden calcular en paquetes por segundo (pps), así como en bits por segundo (bps).

Una de las principales maneras en las que las personas se conectan a las aplicaciones de Internet es a través del protocolo de control de transmisión (TCP). Esta conexión requiere un protocolo de negociación en tres pasos a partir de un servicio TCP, como un servidor web. Los pasos incluyen enviar un paquete SYN (sincronización) desde el lugar en que el usuario se conecta al servidor, después devolver un paquete SYN-ACK (confirmación de sincronización), y finalmente recibir un mensaje ACK (confirmación) final como respuesta para completar el protocolo de negociación de TCP.

Durante un ataque de inundación SYN, un cliente malintencionado envía un gran volumen de paquetes SYN (primer paso de una negociación normal), pero nunca llega a enviar la confirmación para completar la negociación. Por tanto, el servidor espera una respuesta a estas conexiones TCP semiabiertas y finalmente se agota su capacidad para aceptar nuevas conexiones para servicios que rastrean los estados de conexión. 

Un ataque de inundación SYN sería como una broma realizada por toda una clase de un instituto, en la que cada estudiante llama a la misma pizzería y pide una pizza para una misma hora. Luego, cuando la repartidora prepara las entregas, se da cuenta de que son demasiadas y que no le caben en el vehículo y que, además, no incluyen las direcciones, así que se detienen todas las entregas.

El nombre de este ataque DDoS se basa en el concepto de que numerosos atacantes pequeños pueden paralizar a un oponente mucho más grande por el gran volumen de tráfico, al igual que la colonia ficticia de pequeños humanoides azules a los que le debe su nombre (The Smurfs es el nombre que en inglés reciben Los Pitufos).

En un ataque Smurf, una gran cantidad de paquetes de protocolo de control de mensajes de Internet (ICMP) con la IP de origen falsificada de un destino se transmiten a una red de ordenadores mediante una dirección IP de difusión. De forma predeterminada, la mayoría de los dispositivos de una red responderán enviando una respuesta a la dirección IP de origen. Según el número de equipos de la red, puede que el ordenador de la víctima se ralentice en extremo debido a la inundación de tráfico.

Los ataques a la capa de aplicación se miden en solicitudes por segundo (RPS) y se realizan mediante la inundación de aplicaciones con solicitudes malintencionadas. Estos ataques, también llamados ataques DDoS de capa 7, se dirigen a aplicaciones web específicas, no redes completas. Aunque son difíciles de prevenir y mitigar, se encuentran entre los ataques DDoS más fáciles de lanzar.

Por hacer una comparación, es fácil hacer que una manada de caballos salga en estampida, pero es casi imposible volver a controlarlos. Los ataques a la capa de aplicación son fáciles de implementar, difíciles de frenar o detener, y específicos para un objetivo.

Con una sólida estrategia contra ataques DDoS y un runbook vigentes, las organizaciones pueden protegerse y limitar los daños de los ataques DDoS. La protección DDoS de alta capacidad, alto rendimiento y siempre activa de las soluciones basadas en la nube puede evitar que el tráfico malintencionado llegue a un sitio web o interfiera en las coomunicaciones por medio de una API web. Un servicio de barrido basado en la nube puede mitigar rápidamente los ataques dirigidos a recursos no web, como infraestructuras de red, a escala.

En un panorama en el que los ataques evolucionan constantemente, la protección contra DDoS a través de un proveedor de mitigación que adopta un enfoque de defensa exhaustivo puede mantener a las organizaciones y a los usuarios finales seguros. Un servicio de mitigación de DDoS detectará y bloqueará los ataques DDoS lo más rápido posible, idealmente de inmediato o unos pocos segundos después de que el tráfico del ataque llegue a los centros de barrido del proveedor de mitigación. Dado que los vectores de ataque cambian constantemente y la magnitud de los ataques es cada vez mayor, es necesario que un proveedor invierta continuamente en su defensa para una mejor protección contra DDoS. Para hacer frente a los complejos ataques, se necesitan tecnologías capaces de detectar el tráfico malintencionado y poner en marcha sólidas medidas defensivas para mitigar los ataques rápidamente.

Los proveedores de mitigación de DDoS filtran el tráfico malintencionado para evitar que llegue al recurso objetivo previsto. El tráfico del ataque se bloquea mediante un servicio de barrido de DDoS, un servicio DNS basado en la nube o un servicio de protección web basado en CDN. La mitigación basada en la nube elimina el tráfico de ataque antes de que alcance el objetivo.

Con el barrido de DDoS, la actividad online de su empresa o servicio no se verá interrumpida aunque se produzca un ataque. A diferencia de la mitigación basada en CDN, un servicio de barrido de DDoS puede proteger todos los puertos, protocolos y aplicaciones en el centro de datos, incluidos los servicios basados en IP y web. 

Las organizaciones dirigen su tráfico de red de uno de estos dos modos: a través de un cambio de anuncio de ruta del protocolo de puerta de enlace de frontera (BGP) o una redirección de DNS (registro A o CNAME) a la infraestructura de barrido del proveedor de mitigación. El tráfico se supervisa e inspecciona en busca de actividad malintencionada y se mitiga si se identifican ataques DDoS. Por lo general, este servicio está disponible tanto en configuraciones bajo demanda como siempre activas, según la estrategia de seguridad elegida por la organización, aunque cada vez más organizaciones están adoptando un modelo de implementación siempre activa para obtener una respuesta defensiva de forma más rápida.

Una red de distribución de contenido (CDN) avanzada y correctamente configurada puede ayudar a las empresas a defenderse de los ataques DDoS. Cuando un proveedor de servicios de protección de sitios web utiliza su CDN para acelerar específicamente el tráfico mediante protocolos HTTP y HTTPS, todos los ataques DDoS dirigidos a esa URL se pueden detener en el borde de la red. 

Esto significa que los ataques DDoS de capa 3 y capa 4 se mitigan al instante, ya que este tipo de tráfico no está destinado a los puertos web 80 y 443. Como un proxy en la nube, la red se sitúa delante la infraestructura de TI del cliente y distribuye el tráfico de los usuarios finales a los sitios web y aplicaciones. Debido a que estas soluciones operan online, los recursos web están protegidos en todo momento contra los ataques DDoS a la capa de red sin necesidad de que intervenga nadie. 

En el caso de la defensa específica de la capa de aplicaciones, las organizaciones deben implementar un firewall de aplicaciones web para combatir ataques avanzados, incluidos algunos tipos de ataques DDoS, como solicitudes HTTP, inundaciones HTTP GET y HTTP POST, que tienen por objeto interrumpir los procesos de aplicaciones de capa 7 del modelo OSI.

Las organizaciones pueden reducir su superficie de ataque y, al mismo tiempo, reducir el riesgo de interrupciones y tiempos de inactividad mediante la implementación de controles de ciberseguridad específicos para DDoS. Este tipo de defensa puede impedir un ataque y, a su vez, permitir que los visitantes legítimos accedan a su organización online de forma habitual. La protección contra DDoS evita que el tráfico malintencionado alcance su objetivo, lo que limita el impacto del ataque y, al mismo tiempo, permite que el tráfico llegue a su destino para que la actividad se desarrolle con normalidad.

Durante la mitigación, su proveedor de protección contra DDoS implementará una secuencia de medidas destinadas a detener y disminuir el impacto de un ataque DDoS. A medida que los ataques modernos se vuelven más avanzados, la protección para mitigación de ataques DDoS basada en la nube ayuda a garantizar una defensa en profundidad a gran escala, manteniendo la infraestructura de back-end y los servicios online disponibles y funcionando de manera óptima.

Mediante los servicios de protección contra ataques DDoS, las organizaciones pueden:

• Reducir la superficie de ataque y el riesgo empresarial asociados a los ataques DDoS.
• Evitar que la empresa vea interrumpida su actividad.
• Proteger contra páginas web desde que se desconecta
• Aumentar la velocidad de respuesta ante un ataque DDoS y optimizar los recursos de respuesta a incidentes.
• Acortar el tiempo para reconocer e investigar una interrupción del servicio.
• Prevenir la pérdida de productividad de los empleados.
• Implementar medidas con mayor rapidez para defenderse de un ataque DDoS.
• Prevenir daños a la reputación de la marca y a su rentabilidad.
• Mantener el tiempo de actividad y el rendimiento de todos los recursos digitales.
• Minimizar los costes asociados a la seguridad web.
• Defender contra la extorsión, el ransomware y otras nuevas amenazas en evolución

Akamai proporciona una defensa en profundidad contra ataques DDoS a través de una red transparente de defensas específicas del borde de Internet, de DNS distribuidos y de barrido en la nube. Estos servicios de nube están diseñados específicamente para fortalecer las estrategias de seguridad de DDoS, así como para reducir las superficies de ataque, mejorar la calidad de la mitigación, disminuir los falsos positivos y aumentar la resiliencia contra los ataques cada vez más grandes y complejos.

Además, las soluciones se pueden adaptar a los requisitos específicos de las aplicaciones web y servicios online.

Akamai diseñó la plataforma más distribuida a nivel mundial en el Edge y la nube como un proxy inverso que solo acepta tráfico a través de los puertos 80 y 443. Todos los ataques DDoS en la capa de red se contrarrestan en el borde de Internet con un SLA que garantiza una resolución inmediata. Esto significa que los atacantes que lanzan ataques DDoS a la capa de red no tienen ninguna posibilidad de cumplir su objetivo.

En el caso de los ataques DDoS a la capa de aplicación, incluidos los que se lanzan a través de API, Kona Site Defender los detecta y mitiga, a la vez que permite acceder a los usuarios legítimos.

El servicio DNS autoritativo de Akamai, Edge DNS, también filtra el tráfico en el Edge. A diferencia de otras soluciones de DNS, Akamai ha diseñado Edge DNS específicamente para ofrecer disponibilidad y resiliencia frente a ataques DDoS. Edge DNS también ofrece un rendimiento superior con redundancias de arquitectura en varios niveles, incluidos servidores de nombres, puntos de presencia, redes e incluso nubes de IP Anycast segmentadas.