En 2018, GitHub sufrió uno de los mayores ataques DDoS jamás registrados. Según Wired, el ataque midió 1,35 terabits de datos por segundo, y GitHub sufrió cortes como resultado. Por suerte, la compañía tenía una estrategia de mitigación y rápidamente pasó a enrutar el tráfico a través de su servicio de protección DDoS, frustrando el ataque.
Según Netscout, cuya filial Arbor Networks creó un mapa que muestra los ataques DDoS diarios, la compañía detectó 23.000 ataques cada día en 2019, de media. Su informe anual sobre amenazas advirtió que el aumento del IoT, que arrojará una previsión de 20.000 millones de dispositivos conectados este año, aumenta en gran medida los riesgos de ataques DDoS, que han crecido en frecuencia e intensidad.
Pero, como demuestra la experiencia de GitHub, es posible tener un plan que pueda disminuir el daño e incluso rechazar los ataques DDoS cuando se producen. Las empresas pueden tomar precauciones técnicas, utilizar servicios de protección DDoS y adoptar planes de negocio claros en previsión de un ataque.
¿Qué es un ataque de denegación de servicio distribuido (DDoS)?
MÁS SOBRE CIBERSEGURIDADLas aplicaciones de radio policial están aumentando su popularidad. Sólo hay un problema.
¿Qué aspecto tiene la denegación de servicio?
El instructor Tom Scott explica en Computerphile que el núcleo malicioso de un ataque DDoS es la denegación de servicio, una forma de ataque que se vio por primera vez en los años 90, cuando la mayoría de las personas con ordenadores navegaban por Internet utilizando una conexión telefónica. La conexión telefónica es lenta: funciona a 56.000 bits por segundo, menos del 1% de la velocidad de las conexiones modernas de banda ancha. Según una entrada del blog de SolarWinds, esas velocidades hacen imposible ver vídeos en tiempo real, e incluso cargar una sola página en un sitio web moderno llevaría más de un minuto de media.
En el vídeo de Computerphile, Scott explica que los atacantes que tenían acceso a velocidades de Internet más rápidas, como la banda ancha disponible en los ordenadores de empresas y universidades, seleccionaban un objetivo y enviaban una avalancha de datos hacia él, dejando al objetivo incapaz de realizar conexiones adicionales. El factor más importante para que el ataque tuviera éxito era disponer de una conexión a Internet más rápida que la del objetivo, de modo que éste se quedara sin ancho de banda para atender otras peticiones.
Scott afirma que, aunque este tipo de ciberataque no roba ninguna información ni daña permanentemente los sistemas, supone un problema para los sitios web, que se ven impedidos de atender a sus usuarios debido a que los atacantes desplazan todas las peticiones legítimas. Para un usuario que intente navegar por un sitio web bajo un ataque de denegación de servicio, la página nunca se cargaría: se quedaría colgada durante mucho tiempo y luego simplemente se agotaría.
Hoy en día, señala Scott, este tipo de ataque de inundación de denegación de servicio es menos popular, porque es difícil tener un ordenador con suficiente ancho de banda para derribar un sitio web por sí solo. Pero los atacantes son bastante creativos, y hay sabores de denegación de servicio que sortean ese problema.
Un giro interesante es el conocido como Slowloris, que el instructor Mike Pound describe en un vídeo de Computerphile. En lugar de enviar tantos datos como sea posible a través del ordenador del atacante, el ataque Slowloris extiende la duración de cada solicitud indefinidamente aprovechando la forma en que se comunican los servidores web y los clientes. Este método atasca las conexiones al servidor y acaba por monopolizar todo el tráfico hacia el servidor objetivo. Para los atacantes, la ventaja de los ataques Slowloris es que no consumen mucho ancho de banda, pero el ataque sólo es efectivo en servidores que tienen dificultades para manejar un gran número de conexiones concurrentes.
Tipos de ataques DDoS
DDoS -que significa denegación de servicio distribuida- es una de las versiones más populares de los ataques de denegación de servicio. Cloudflare, una empresa que ofrece servicios de protección DDoS, junto con otros productos de infraestructura y seguridad web, explica la estrategia de ataque en su página web. En lugar de lanzar el ataque desde un solo ordenador, los atacantes utilizan muchas máquinas distribuidas en diferentes lugares que trabajan de forma concertada para abrumar al objetivo. Las máquinas distribuidas suelen ser ordenadores, o incluso dispositivos inteligentes como monitores de bebés, que han sido infectados secretamente con malware y reclutados en una red de bots bajo el control del atacante. El atacante es entonces capaz de utilizar las máquinas distribuidas -o bots- para enviar tráfico a donde sea necesario para llevar a cabo cualquier tipo de ataque DDoS.
Según el CTO de Cloudflare, John Graham-Cumming, en estos días es común que los ataques utilicen múltiples tipos de DDoS en un solo ataque: «Es sólo un intento de abrumar la red, por lo que tratarán de enviar tantas cosas diferentes como sea posible», dijo a Built In.
Dicho esto, los ataques tienden a caer en tres categorías.
El primer tipo de ataque DDoS, conocido como un ataque de capa de aplicación, funciona como los ataques de inundación de denegación de servicio, sólo que a mayor escala, según el sitio web de Cloudflare. Los robots envían un torrente de tráfico a un objetivo, desplazando a otros usuarios que intentan acceder al servidor objetivo. Los atacantes suelen dirigir el tráfico a puntos finales de alta intensidad de tiempo en el objetivo, es decir, solicitudes que requieren grandes consultas a la base de datos o que generan grandes archivos. Estos tipos de puntos finales no requieren muchos recursos por parte del atacante para ser atacados, pero son intensivos en ancho de banda para que el objetivo responda. Esto significa que el objetivo puede agotar rápidamente sus recursos.
«Es sólo un intento de saturar la red, por lo que tratarán de enviar tantas cosas diferentes como sea posible.»
Otro tipo de ataque DDoS se dirige a la forma en que los protocolos de Internet – las reglas que facilitan la forma en que los ordenadores se comunican a través de Internet – se supone que funcionan. Un ejemplo esbozado por Cloudflare es el ataque de inundación SYN, que tiene como objetivo el protocolo de control de transmisión (TCP). En una transacción TCP normal, el cliente y el servidor establecen una conexión mediante el intercambio de una serie de mensajes estandarizados conocidos como «apretón de manos», de forma similar a como, en la escalada, el escalador se comunica con el asegurador con acuses de recibo estandarizados. Este apretón de manos indica a ambas partes que la conexión se ha establecido con éxito.
Un ataque de inundación SYN comparte algunas similitudes con una denegación de servicio Slowloris. Durante el ataque, el atacante envía sólo la primera de las tres partes del apretón de manos al servidor objetivo. El servidor responde entonces con la segunda, pero el atacante no envía el acuse de recibo final, dejando al servidor en espera e incapaz de utilizar esa conexión para responder a peticiones adicionales durante un tiempo. Que una red de bots haga esto multiplica el efecto sobre el objetivo.
El tercer tipo de ataque DDoS es el de amplificación. Según Cloudflare, estos ataques se aprovechan de una serie de protocolos de Internet para multiplicar el tamaño de cada petición enviada desde un atacante. Por ejemplo, el ataque de amplificación del sistema de nombres de dominio (DNS) utiliza el protocolo DNS, que los ordenadores utilizan normalmente para buscar la dirección IP que corresponde a la URL de un sitio web determinado, un paso que hace posible la navegación por Internet. Los clientes normalmente envían una solicitud que contiene la URL del sitio web que quieren buscar a un servidor DNS, y obtienen de vuelta una respuesta con la dirección IP correspondiente.
Cloudflare explica que el atacante lleva a cabo la amplificación de DNS «suplantando» la procedencia de la solicitud, haciendo que el servidor DNS piense que la solicitud fue enviada desde el objetivo y no desde el atacante. La solicitud suele pedir al servidor DNS una gran cantidad de datos, que el servidor DNS envía al objetivo. El efecto de amplificación proviene del ancho de banda comparativamente pequeño que necesita el atacante para enviar la solicitud, en relación con el ancho de banda necesario para que el objetivo reciba la respuesta, y de la capacidad del atacante para enviar solicitudes a múltiples servidores DNS. Como en todos los ataques distribuidos, esto se multiplica por el número de bots de la red de bots que realiza el ataque.
Aminorar los efectos de los DDoS
Los ataques DDoS, como otros ciberataques, son ilegales según la Ley de Fraude y Abuso Informático de Estados Unidos, pero eso no ha impedido que la gente los utilice. Los activistas han utilizado los DDoS como forma de protesta en línea, y el colectivo de hackers Anonymous ha llegado a solicitar que los DDoS sean legales, argumentando que es una forma de libertad de expresión similar a la de los manifestantes en persona que niegan el acceso a un edificio. Los ataques contra los jugadores en línea han sido tan frecuentes que las empresas de juegos incluso publican guías sobre estrategias de prevención. Los gobiernos también han sido objetivos y autores de ataques DDoS.
Para evitar convertirse en la próxima víctima, las empresas pueden tomar medidas preventivas. En el curso de Pluralsight «Ethical Hacking: Denial of Service», el instructor Troy Hunt explica que el DDoS hace su daño al ocupar todas las conexiones de red o el ancho de banda que la empresa debería estar gastando en los usuarios legítimos. Ampliar rápidamente los servidores para gestionar más conexiones y ancho de banda puede mitigar el problema, pero también puede resultar caro. Las empresas que alojan sus sitios en proveedores de la nube suelen tener fácil acceso a esta opción.
Hunt explica en su curso que otra estrategia es que las empresas coloquen los puntos finales que realizan funciones que consumen muchos recursos detrás de algún tipo de protección, lo que dificulta que los bots lleguen a ellos. Por ejemplo, las empresas pueden evitar que los bots agoten rápidamente los recursos del servidor colocando los puntos finales con consultas intensivas a la base de datos o descargas de archivos grandes detrás de páginas de acceso. El omnipresente test, con sus palabras o imágenes onduladas para que los usuarios las descifren, es otra forma de proteger de los bots los puntos finales que consumen muchos recursos.
La forma en que las empresas diseñan sus sitios web también es importante, dice Hunt. La codificación de un sitio web como componentes interconectados, en lugar de un monolito interdependiente, permitiría que otras secciones de un sitio sigan funcionando incluso si una sección se ve afectada por un ataque DDoS.
Cómo funcionan los servicios de protección DDoS
Hoy en día, muchas empresas ofrecen protección DDoS como servicio.
Cloudflare es uno de los mayores de estos servicios de protección DDoS. Utiliza algunas de las mismas técnicas que utilizan las empresas individuales para protegerse contra los DDoS, pero según el blog de la empresa, su mayor arma es una gran red de servidores en todo el mundo que interceptan el tráfico web en nombre de los clientes.
La red de Cloudflare se sitúa entre los servidores de un cliente y el resto de Internet, aceptando las peticiones entrantes de los clientes y pasándolas a los servidores del cliente. Como intermediario, Cloudflare puede buscar actividad sospechosa y filtrar cualquier solicitud maliciosa, descartándola antes de que llegue al cliente.
Incluso cuando un ataque DDoS se dirige a un cliente, Cloudflare es capaz de absorber la avalancha de datos repartiéndola por la red de Cloudflare y dividiendo el trabajo entre muchos servidores. En cada servidor, Cloudflare comprueba cada tipo de ataque DDoS y filtra las peticiones en consecuencia.
«Todos estos diferentes tipos de ataques, lo que quieres hacer es dividirlos para que vayan a tantas ciudades diferentes como sea posible», dijo Graham-Cumming a Built In. «Dentro de cada centro de datos, entonces identificas lo que es malo y te deshaces de ello. Así que si es como una inundación SYN, un ataque ACK, algo que está utilizando la amplificación de DNS, es en muchos sentidos la misma cosa».»
«Literalmente puedes mirar el patrón de datos en el paquete y decir, ‘Eso es una inundación SYN.'»
Puede ser difícil para las empresas individuales manejar los ataques que implican múltiples tipos de DDoS, especialmente porque algunas variedades son más difíciles de detectar que otras. Graham-Cumming dijo que los tipos más difíciles de detectar para las empresas son los ataques de la capa de aplicación, en los que los ataques DDoS pueden parecer peticiones normales, aparte del volumen.
Cloudflare se ocupa de los ataques de la capa de aplicación mediante el análisis de los signos de intención maliciosa. Parte de este análisis es ayudado por el aprendizaje automático, dijo Graham-Cumming.
«Debido a la escala de una red cloud-first – con un número tan grande de usuarios que utilizan Cloudflare, el tráfico que viene a través de nosotros – en realidad podemos buscar un comportamiento anómalo en nuestra red, lo que sería una indicación de algún tipo de ataque, y luego podemos usar eso para proteger a otros usuarios», dijo. «Se trata más bien de mirar el tráfico, mirar los paquetes que vienen hacia ti, hacer una huella digital en ellos y decir: ‘Sabemos que este paquete, en realidad, está participando en un DDoS debido a alguna característica del propio paquete'»
Las huellas digitales que Cloudflare desarrolló para reconocer los patrones de ataque son bastante sensibles, dijo.
«Literalmente, se puede mirar el patrón de datos en el paquete y decir: ‘Eso es una inundación SYN'», dijo Graham-Cummings.
Pero las empresas que utilizan servicios de protección contra DDoS deben seguir estando atentas.
«Los atacantes luego tratan de rodear el servicio», dijo. «Intentarán encontrar la dirección IP original de su servicio e irán a por él directamente».
Graham-Cumming recomendó a los clientes que utilizan servicios de protección DDoS que establezcan un filtrado en su tráfico -para que sus servidores sólo acepten el tráfico procedente de la dirección IP del servicio- para solucionar este problema.
Lo que toda empresa necesita en caso de un ataque DDoS
El DDoS puede dañar la reputación de una empresa, impactar negativamente en los ingresos y requerir importantes gastos para remediar el ataque. Hunt explica en su curso de Pluralsight que los usuarios y clientes legítimos no pueden acceder al sitio web atacado, lo que impide que el negocio funcione con normalidad y corta las compras y los ingresos publicitarios del sitio.
Los ataques DDoS no pueden robar directamente la información de un objetivo, pero se sabe que los atacantes utilizan los DDoS para distraer a las empresas de los ciberataques concurrentes: mientras la organización está ocupada tratando de gestionar los DDoS, los atacantes van tras sus verdaderos objetivos. Y los ataques DDoS que se prolongan en el tiempo pueden ser utilizados para extorsionar a sus objetivos, de forma similar a los ataques de ransomware.
Hunt explica en su curso que la mejor forma de responder a un ataque DDoS es tener ya un plan en marcha cuando se produce. Es una buena idea preparar un comunicado de la empresa que se haría público en caso de ataque. Las empresas también deben pensar en los costes asociados a un ataque DDoS en sus sitios particulares y utilizar esa estimación para determinar lo que están dispuestos a pagar para resolver un ataque.
Intentar hacer un cálculo de coste-beneficio en medio de una crisis no es una buena idea, dice Hunt, especialmente si el ataque está costando ingresos a la empresa cada minuto. Pero si se preparan con antelación las estrategias del lado del negocio y se aplican las medidas técnicas de protección, las empresas no se verán sorprendidas y podrán sobrevivir a un ataque DDoS.
MÁS SOBRE CIBERSEGURIDADAquí está lo que ocurre después de que una empresa sea hackeada