Ataques DDoS

¿Qué motiva un ataque DDoS?

Hay varias motivaciones para un ataque DDoS. Para los ciberdelincuentes, estas motivaciones suelen ser ganar dinero vendiendo ataques DDoS como un servicio, chantajear a los objetivos potenciales para que paguen un rescate, hacer hacktivismo y obtener una ventaja competitiva.

Se sabe que los grupos de amenazas más sofisticados utilizan los ataques DDoS sobre todo como parte o distracción de otras actividades más graves, como el ciberespionaje y el cibersabotaje.

¿Cómo funcionan los ataques DDoS?

Los autores de los ataques DDoS utilizan redes de dispositivos distribuidos y comprometidos para interrumpir los sistemas apuntando a uno o más de los componentes necesarios para establecer una conexión (ver el modelo OSI) a un recurso de red.

Los ataques volumétricos son uno de los tipos más antiguos de ataques DDoS. Utilizan grandes volúmenes de tráfico para llenar la capacidad de ancho de banda entre la red de la víctima e Internet o la capacidad dentro de la red de la víctima. Los mayores ataques volumétricos se miden (actualmente) en Terabits por segundo (Tbps), lo que equivale a unas 9.000 conexiones medias a Internet. Por ejemplo, durante un ataque de inundación del Protocolo de Datagramas de Usuario (UDP), los atacantes sobrecargan el servidor remoto objetivo solicitando información de una aplicación que escucha en un puerto específico. El servidor comprueba y/o responde a cada una de estas peticiones, y finalmente se queda sin banda ancha y se vuelve inalcanzable.

Ataques de protocolo. Por su nombre, los ataques de protocolo utilizan indebidamente el diseño del protocolo de comunicación subyacente (capas 3 y 4 del modelo OSI) para agotar los recursos del sistema objetivo. Un ejemplo de ataque de protocolo es la inundación SYN, que envía un gran número de peticiones específicas al servidor objetivo pero deja las respuestas a esas peticiones sin más, manteniendo el "apretón de manos a tres bandas" incompleto. Cuando el número de conexiones inacabadas agota la capacidad del servidor, éste se vuelve inalcanzable para las conexiones legítimas. Los ataques de protocolo utilizan paquetes específicamente diseñados para lograr sus objetivos maliciosos y, por tanto, se miden en paquetes por segundo (PPS). Los mayores ataques registrados han alcanzado cientos de millones.

Ataques a la capa de aplicación (capa 7 del modelo OSI) se dirigen a las aplicaciones de cara al público a través de un gran volumen de tráfico falsificado. Un ejemplo de ataque DDoS en la capa de aplicación es una inundación HTTP, que inunda un servidor web específico con peticiones HTTP GET y HTTP POST que, por lo demás, son legítimas. Aunque el servidor tenga suficiente banda ancha, se ve obligado a procesar un gran número de peticiones falsas en lugar de las legítimas, agotando así su capacidad de procesamiento. Los ataques a la capa de aplicación se miden en decenas de millones de peticiones por segundo (RPS).

Más razones

4. Las organizaciones no tienen que ser el objetivo principal para sentir el impacto de un ataque DDoS, especialmente si interrumpe partes vitales de la infraestructura de Internet, como los ISP locales o regionales. En 2016, los delincuentes inundaron los servidores del principal proveedor de DNS Dyn . Otros importantes servicios en línea dejaron de estar disponibles debido a este ataque DDoS, incluyendo Twitter, Reddit, Netflix y Spotify.

5. Algunos actores cibercriminales amenazan con utilizar sus redes de bots para un ataque DDoS contra una organización específica a menos que se realice un pago. Estos ataques se llaman ataques de rescate DDoS y no requieren que el atacante obtenga acceso a las redes de sus objetivos.

6. Desde 2020, los ataques DDoS contra los sitios web de las víctimas también se convirtieron en una parte del esquema de "triple extorsión" utilizado por las bandas de ransomware de alto perfil, agregando DDoS además de robar y cifrar los datos de los objetivos.

7. Existen servicios de DDoS de alquiler en la web oscura que permiten organizar un ataque DDoS incluso a los actores sin experiencia que tienen el dinero y la motivación, como ganar una ventaja sobre un competidor.

Denegación de servicio (DoS) vs. Denegación de servicio distribuida (DDoS)

Como su nombre indica, la diferencia radica principalmente en el número de equipos atacantes. En el caso del DoS, el ataque suele utilizar un script o una herramienta, se origina en un único dispositivo y se dirige a un servidor o punto final específico. En cambio, los ataques DDoS son ejecutados por una gran red de dispositivos comprometidos controlados por el atacante, también conocidos como botnet, y pueden utilizarse para sobrecargar dispositivos, aplicaciones, sitios web, servicios o incluso redes completas de las víctimas.

¿Cómo saber si tu empresa está sufriendo un ataque DDoS?

El signo más evidente de un ataque DDoS es el bajo rendimiento o la indisponibilidad del sistema o servicio atacado. En el caso de un sitio web, esto puede traducirse en largos tiempos de carga o en la inaccesibilidad para las personas dentro y fuera de la organización. También existen servicios públicos de monitorización de ataques DDoS como downforeveryoneorjustme.com o downdetector.com

7 razones por las que tu empresa debería preocuparse por los ataques DDoS

Una organización sometida a un ataque DDoS siempre perderá ingresos debido a que su sitio web, servicios o sistemas no responden. La neutralización de un incidente también supone una carga adicional para el presupuesto de seguridad.
Según varios proveedores establecidos que supervisan la escena de los DDoS, el número de incidentes ha crecido rápidamente en los últimos tres años.
Los ataques DDoS también son cada vez más potentes; algunos son incluso lo suficientemente fuertes como para interrumpir los servicios globales. Mientras que en 2020 los mayores ataques (en la capa de red) superaron el umbral de 1 Tbps, en 2021, algunos incidentes notables ya estaban bien en el área de 2-3 Tbps. Si se cuentan las solicitudes por segundo (RPS), al menos dos ataques DDoS en 2021 (notificados por Cloudflare y Yandex) han pasado al territorio de los más de 15 millones de RPS.

¿Qué puede hacer tu empresa para protegerse de los ataques DDoS?

Los ataques DDoS pueden ser difíciles de reducir para las empresas que no disponen de los recursos adecuados, como el hardware o la banda ancha suficiente. Sin embargo, hay cosas que incluso las pequeñas y medianas empresas pueden hacer para aumentar su protección:

Supervisa el tráfico de tu red y aprende a identificar las anomalías en el tráfico de Internet. De este modo, podrás identificar las solicitudes falsas o engañosas que inundan tus sistemas y bloquearla.
Ten un plan de recuperación de desastres en caso de que un ataque DDoS afecte a tu sitio web o a tus sistemas. Esto podría incluir tener servidores de respaldo, sitio web y canales de comunicación alternativos.
Considera la posibilidad de trasladarte a la nube. Esto no eliminará la amenaza, pero puede ayudar a mitigar los ataques debido a la mayor anchura de banda y resistencia de la infraestructura en la nube.
Si ya has sido objeto de un ataque DDoS o estás en riesgo, considera el uso de servicios de protección DoS y DDoS que pueden ayudarte a reducir el impacto de un ataque.
No dejes que tus dispositivos formen parte de una red de bots que pueda contribuir a un ataque DDoS. Asegúrate de seguir las reglas de una buena ciberhigiene, mantén todos tus dispositivos y tu software actualizados y protégelos instalando una solución de seguridad multicapa.

Evita ya los ataques DDoS

ESET PROTECT
Advanced

Obtén una protección eficaz con las capacidades para reducir los riesgos relacionados con los ataques DDoS. Las soluciones de seguridad multicapa para endpoints de ESET utilizan una sofisticada tecnología de protección contra ataques a la red con filtrado avanzado e inspección de paquetes para evitar interrupciones.

MÁS INFORMACIÓN