¿Qué es un ataque DDoS?

Un ataque DDoS, o ataque distribuido de denegación de servicio, es un tipo de ciberataque que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con tráfico malintencionado para que no pueda funcionar correctamente.

¿Qué es un ataque DDoS?

Significado de ataque DDoS

En un ataque distribuido de denegación de servicio (DDoS), un atacante sobrecarga su objetivo con tráfico de Internet no deseado para que el tráfico normal no llegue a su destino previsto.

Pero ¿qué significa realmente? Piense en su película zombi favorita. Hordas de seres infectados con el mismo objetivo: expandir su "plaga zombi" para terminar con la civilización. Sobrepasan a los cuerpos de seguridad, reducen a las fuerzas armadas y acaban con los servicios de atención médica. Luego, inevitablemente, se produce un enorme atasco que llega hasta donde se pierde el horizonte, porque las personas huyen por la carretera para ponerse a salvo. Así funciona un ataque DDoS: un apocalipsis zombi online. Pero en lugar de zombis, una multitud de ordenadores infectados atacan un sitio web objetivo, todos al mismo tiempo, ahuyentando a los seres humanos y a las empresas.

Un ataque DDoS a sitios web, aplicaciones web, API y redes de una empresa o a la infraestructura de un centro de datos puede provocar la interrupción de la actividad e impedir que usuarios legítimos compren productos, utilicen un servicio, reciban información o accedan de cualquier otro modo.

Durante un ataque DDoS, los atacantes utilizan una gran cantidad de equipos infectados y dispositivos conectados a través de Internet, incluidos dispositivos del Internet de las cosas (IoT), smartphones, ordenadores personales y servidores de red, para enviar una gran cantidad de tráfico a sus objetivos.

¿Cómo funciona un ataque DDoS?

Los ataques DDoS aprovechan las redes de dispositivos conectados a Internet para bloquear el acceso de los usuarios a un servidor o recurso de red, como un sitio web o una aplicación a la que acceden con frecuencia.

Para lanzar un ataque DDoS, los atacantes utilizan malware o aprovechan las vulnerabilidades de seguridad para infectar de forma maliciosa los equipos y los dispositivos y tomar el control sobre ellos. Cada ordenador o dispositivo infectado, denominado "bot" o "zombi", adquiere la capacidad de seguir propagando el malware y de participar en los ataques DDoS. Estos bots forman ejércitos de bots denominados "botnets" que aprovechan su superioridad numérica y amplifican el tamaño de un ataque. Y como la infección de los dispositivos de IoT a menudo pasa inadvertida, al igual que uno de los zombis en las películas que no parece que esté infectado, los propietarios de dispositivos legítimos se convierten en víctimas secundarias o participantes involuntarios, mientras que la organización que sufre el ataque sigue sin poder identificar a los atacantes.

Una vez que el atacante haya creado una botnet, podrá enviar instrucciones remotas a cada bot

para dirigir un ataque DDoS al sistema objetivo. Cuando una botnet ataca una red o un servidor, el atacante ordena a cada bot que envíe solicitudes a la dirección IP de la víctima. Al igual que los seres humanos tenemos huellas digitales únicas, nuestros dispositivos tienen una dirección única que los identifica en Internet o en una red local. La sobrecarga de tráfico resulta en una denegación de servicio, lo que impide que el tráfico normal acceda al sitio web, la aplicación web, la API o la red.

A veces, las botnets, con sus redes de dispositivos afectados, se alquilan para otros posibles ataques a través de servicios de "alquiler para ataques". Esto permite que cualquiera que no tenga buenas intenciones y carezca de formación o experiencia pueda perpetrar ataques DDoS fácilmente.

Tipos de ataques DDoS

Existen muchos tipos de ataques DDoS distintos y los atacantes suelen utilizar más de un tipo para causar estragos en sus objetivos. Los tipos clave son los ataques volumétricos, de protocolo y a la capa de aplicación. La finalidad de todos los ataques es disminuir considerablemente la velocidad o impedir que el tráfico legítimo llegue a su destino previsto. Esto significa, por ejemplo, impedir que un usuario acceda a un sitio web, compre un producto o servicio, vea un vídeo o interactúe en redes sociales. Además, al hacer que los recursos no estén disponibles o disminuir el rendimiento, un ataque DDoS puede paralizar a las empresas. Esto puede impedir que los empleados accedan al correo electrónico, a las aplicaciones web o que hagan su trabajo como de costumbre.

Para comprender mejor cómo funcionan los ataques DDoS, explicaremos las distintas vías que encuentran los atacantes. El modelo de interconexión de sistemas abiertos, también conocido como el "modelo OSI", es una estructura en capas para varios estándares de red y se compone de siete capas distintas. Cada capa del modelo OSI tiene un objetivo único, como ocurre en las distintas plantas de un edificio de oficinas, donde se desarrollan actividades diferentes. Los atacantes se dirigen a distintas capas según el tipo de recurso web o de Internet que quieren interrumpir.

Las siete capas de conectividad de la red en el modelo OSI para un ataque DDoS

Capa 7: aplicación

La capa de aplicación está en la parte superior y es la que está más cerca del usuario final. Es donde las personas interactúan con ordenadores y dispositivos y donde las redes se conectan con las aplicaciones.

Capa 6: presentación

El cifrado y descifrado de datos se produce en la capa de presentación, para posibilitar una transmisión segura.

Capa 5: sesión

La capa de sesión permite que los dispositivos, los ordenadores o los servidores se comuniquen entre sí, y controla los puertos y las sesiones.

Capa 4: transporte

En la capa de transporte, los datos se comunican a través del protocolo de control de transmisión (TCP), que está construido sobre el protocolo de Internet (IP), también denominado TCP/IP.

Capa 3: red

La capa de red determina la ruta física que los datos recorrerán para llegar a su destino.

Capa 2: enlace de datos

La capa de enlace de datos proporciona una forma de transferir datos entre entidades de red. También es una herramienta para detectar y corregir errores que se pueden producir en la capa física.

Capa 1: física

La primera capa, que se encuentra en la parte inferior, es la capa física donde los bits sin procesar se transmiten a través de un enlace de datos físico que conecta nodos de red.

Ataques volumétricos

La finalidad de un ataque DDoS volumétrico es sobrecargar una red con grandes cantidades de tráfico saturando el ancho de banda del recurso objetivo. Las grandes cantidades de tráfico del ataque bloquean el acceso de los usuarios legítimos a la aplicación o el servicio, cortando el tráfico de entrada y salida. Según el objetivo, la interrupción del tráfico legítimo puede significar que un cliente de un banco no pueda pagar una factura a tiempo, que los compradores de un comercio electrónico no puedan realizar transacciones online, que un paciente de un hospital no pueda acceder a su historial médico o que un ciudadano no pueda consultar sus registros fiscales en un organismo oficial. Independientemente de la organización, bloquear el acceso de las personas a un servicio online tiene un impacto negativo.

Los ataques volumétricos utilizan botnets creadas con ejércitos de sistemas y dispositivos individuales infectados con malware. Los bots, que están controlados por un atacante, se utilizan para provocar el colapso entre un objetivo e Internet en general con tráfico malintencionado que satura todo el ancho de banda disponible.

Un ataque imprevisto con tráfico de bots puede disminuir considerablemente la velocidad o impedir el acceso a un recurso web o servicio online. Como los bots asumen el control de dispositivos legítimos para amplificar los ataques DDoS que consumen un gran ancho de banda, normalmente sin que los usuarios se percaten de ello, es difícil para la organización objetivo detectar el tráfico malintencionado.

Tipos comunes de ataques volumétricos

Existen una serie de vectores volumétricos que los ciberdelincuentes utilizan para sus ataques DDoS. Muchos aprovechan las técnicas de reflexión y amplificación para sobrecargar una red o servicio objetivo.

Inundación UDP

Las inundaciones UDP se suelen elegir para ataques DDoS que consumen un mayor ancho de banda. Los atacantes intentan sobrecargar los puertos en el host objetivo con paquetes IP que contienen el protocolo UDP sin estado. A continuación, el host objetivo busca aplicaciones que estén asociadas con los paquetes UDP y, cuando no las encuentra, envía el mensaje "Destino inalcanzable" al remitente. Las direcciones IP a menudo se falsifican para que el atacante permanezca anónimo y, una vez que el host objetivo se inunda con el tráfico del ataque, el sistema deja de responder y de estar disponible para usuarios legítimos.

Reflexión/amplificación de DNS

Los ataques de reflexión de DNS son un tipo de vector común en el que los ciberdelincuentes falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes a los servidores de DNS abiertos. En respuesta, los servidores de DNS responden a las solicitudes malintencionadas a través de la dirección IP falsificada, creando así un ataque al objetivo previsto a través de una inundación de respuestas de DNS. El gran volumen de tráfico creado a partir de las respuestas de DNS sobrecarga rápidamente los servicios de la organización objetivo, lo que hace que no estén disponibles e impide que el tráfico legítimo llegue a su destino previsto.

Inundación ICMP

El protocolo de control de mensajes de Internet (ICMP) se utiliza principalmente para los mensajes de error y, por lo general, no intercambia datos entre sistemas. Los paquetes ICMP a veces se incluyen en los paquetes TCP, que permiten que las aplicaciones y los dispositivos informáticos intercambien mensajes a través de una red cuando se conectan a un servidor. Una inundación ICMP es un método de ataque DDoS con una infraestructura de capa 3 que utiliza mensajes ICMP para sobrecargar el ancho de banda de la red objetivo.

Ataques de protocolo

Los ataques de protocolo intentan consumir y agotar la capacidad informática de diversos recursos de infraestructura de red, como servidores o firewalls, a través de solicitudes de conexión malintencionadas que vulneran las comunicaciones del protocolo. La inundación Synchronize (SYN) y el ataque Smurf son dos tipos comunes de ataques DDoS basados en protocolos. Los ataques de protocolo se pueden calcular en paquetes por segundo (pps), así como en bits por segundo (bps).

Ataque de inundación SYN

Una de las principales maneras en las que las personas se conectan a las aplicaciones de Internet es a través del protocolo de control de transmisión (TCP). Esta conexión requiere un protocolo de negociación en tres pasos a partir de un servicio TCP, como un servidor web. Los pasos incluyen enviar lo que se denomina un paquete SYN (sincronización) desde el lugar en que el usuario se conecta al servidor, después devolver un paquete SYN-ACK (confirmación de sincronización), y finalmente recibir un mensaje ACK (confirmación) final como respuesta para completar el protocolo de negociación de TCP.

Durante un ataque de inundación SYN, un cliente malintencionado envía un gran volumen de paquetes SYN (primer paso de una negociación normal), pero nunca llega a enviar la confirmación para completar la negociación. Por tanto, el servidor espera una respuesta a estas conexiones TCP semiabiertas y finalmente se agota su capacidad para aceptar nuevas conexiones para servicios que rastrean los estados de conexión. 

Un ataque de inundación SYN sería como una broma realizada por toda una clase de un instituto, en la que cada estudiante llama a la misma pizzería y pide una pizza para una misma hora. Luego, cuando la repartidora prepara las entregas, se da cuenta de que son demasiadas y que no le caben en el vehículo y que, además, no incluyen las direcciones, así que se detienen todas las entregas.

Ataque Smurf

El nombre de este ataque DDoS se basa en el concepto de que numerosos atacantes pequeños pueden paralizar a un oponente mucho más grande por el gran volumen de tráfico, al igual que la colonia ficticia de pequeños humanoides azules a los que le debe su nombre (The Smurfs es el nombre que en inglés reciben Los Pitufos).

En un ataque Smurf, una gran cantidad de paquetes ICMP (protocolo de control de mensajes de Internet) con la IP de origen falsificada de un destino se transmiten a una red de ordenadores mediante una dirección IP de difusión. De forma predeterminada, la mayoría de los dispositivos de una red responderán enviando una respuesta a la dirección IP de origen. Según el número de equipos de la red, puede que el ordenador de la víctima se ralentice en extremo debido a la inundación de tráfico.

Ataques a la capa de aplicación

Ejemplo: ataque de inundación HTTP

Los ataques a la capa de aplicación se miden en solicitudes por segundo (RPS) y se realizan mediante la inundación de aplicaciones con solicitudes malintencionadas. Estos ataques, también llamados ataques DDoS de capa 7, se dirigen a aplicaciones web específicas, no redes completas. Aunque son difíciles de prevenir y mitigar, se encuentran entre los ataques DDoS más fáciles de lanzar.

Por hacer una comparación, es fácil hacer que una manada de caballos salga en estampida, pero es casi imposible volver a controlarlos. Los ataques a la capa de aplicación son fáciles de implementar, difíciles de frenar o detener, y específicos para un objetivo.

¿Para qué se utilizan los ataques DDoS?

Los ataques DDoS intentan acabar con los servicios online, sitios web y aplicaciones web inundándolos con tráfico malintencionado procedente de varias fuentes o agotando los recursos informáticos del objetivo. La finalidad del atacante es que el objetivo no esté disponible para los usuarios legítimos y provocar la interrupción de la actividad. Los ataques DDoS se dirigen a una amplia variedad de recursos a los que los usuarios acceden a diario, incluidos servicios financieros, información médica, medios de comunicación, sistemas educativos y compras online. 

Existen muchas razones por las que los ciberdelincuentes lanzan ataques DDoS con el objetivo de interrumpir la actividad de las organizaciones. Entre las principales razones se incluyen:

  • Hacktivismo motivado por razones políticas o sociales.

  • Atacantes de estado-nación cuyo objetivo es provocar estragos sociales o económicos.

  • Intentos para atraer clientes si un servicio o producto de la competencia no está disponible.

  • Uso de los ataques DDoS como una cortina de humo para distraer a un equipo de respuesta ante incidentes de un ataque más esquivo y sofisticado.

  • Extorsión para obtener ganancias y beneficios económicos.

Últimamente, los ataques DDoS de extorsión son populares entre los ciberdelincuentes. Los ataques DDoS de extorsión, también conocidos como ataques DDoS de rescate (RDDoS), se producen cuando grupos de ciberdelincuentes (y falsificadores) amenazan a las organizaciones con un ataque DDoS en caso de no pagar un rescate. A menudo, estos delincuentes lanzan un ataque de "demostración de fuerza" para exhibir su capacidad y asustar a la empresa objetivo, la cual es muy probable que pague el rescate. Para evitar ser descubiertos, los atacantes insisten en recibir el pago en criptomonedas, como Bitcoin.

Sería algo así como cuando un niño de primaria le roba los deberes a otro niño y, luego, para recuperarlos, le pide su dinero para el almuerzo. La finalidad de los ataques DDoS de extorsión es recibir un rescate. En el sofisticado mundo de las amenazas online, el dinero del rescate es digital y no se puede rastrear.

 

Cómo defenderse de los ataques DDoS

Con una sólida estrategia contra ataques DDoS y un runbook vigentes, las organizaciones pueden protegerse y limitar los daños de los ataques DDoS. La protección DDoS de alta capacidad, alto rendimiento y siempre activa de las soluciones basadas en la nube puede evitar que el tráfico malintencionado llegue a un sitio web o interfiera en la comunicación por medio de una API web. Un servicio de barrido basado en la nube puede mitigar rápidamente los ataques dirigidos a recursos no web, como infraestructuras de red, a escala.

Protección contra DDoS

En un panorama en el que los ataques evolucionan constantemente, la protección contra DDoS a través de un proveedor de mitigación que adopta un enfoque de defensa exhaustivo puede mantener a las organizaciones y a los usuarios finales seguros. Un servicio de mitigación de DDoS detectará y bloqueará los ataques DDoS lo más rápido posible, idealmente de inmediato o unos pocos segundos después de que el tráfico del ataque llegue a los centros de barrido del proveedor de mitigación. Dado que los vectores de ataque cambian constantemente y la magnitud de los ataques es cada vez mayor, es necesario que un proveedor invierta continuamente en su defensa para una mejor protección contra DDoS. Para hacer frente a los complejos ataques, se necesitan tecnologías capaces de detectar el tráfico malintencionado y poner en marcha sólidas medidas defensivas para mitigar los ataques rápidamente.

Los proveedores de mitigación de DDoS filtran el tráfico malintencionado para evitar que llegue al recurso objetivo previsto. El tráfico del ataque se bloquea mediante un servicio de barrido de DDoS, un servicio DNS basado en la nubeo un servicio de protección web basado en CDN. La mitigación basada en la nube elimina el tráfico de ataque antes de que alcance el objetivo.

Barrido de DDoS en la nube

Con el barrido de DDoS, la actividad online de su empresa no se verá interrumpida aunque se produzca un ataque. A diferencia de la mitigación basada en CDN, un servicio de barrido de DDoS puede proteger todos los puertos, protocolos y aplicaciones en el centro de datos, incluidos los servicios basados en IP y web. Las organizaciones dirigen su tráfico de red de uno de estos dos modos: a través de un cambio de anuncio de ruta del protocolo de puerta de enlace de frontera (BGP) o una redirección de DNS (registro A o CNAME) a la infraestructura de barrido del proveedor de mitigación. El tráfico se supervisa e inspecciona en busca de actividad malintencionada y se mitiga si se identifican ataques DDoS. Por lo general, este servicio está disponible tanto en configuraciones bajo demanda como siempre activas, según la estrategia de seguridad elegida por la organización, aunque cada vez más organizaciones están adoptando un modelo de implementación siempre activa para obtener una respuesta defensiva de forma más rápida.

Defensa basada en CDN

Una red de distribución de contenido (CDN) avanzada y correctamente configurada puede ayudar a las empresas a defenderse de los ataques DDoS. Cuando un proveedor de servicios de protección de sitios web utiliza su CDN para acelerar específicamente el tráfico mediante protocolos HTTP y HTTPS, todos los ataques DDoS dirigidos a esa URL se pueden detener en el borde de la red. Esto significa que los ataques DDoS de capa 3 y capa 4 se mitigan al instante, ya que este tipo de tráfico no está destinado a los puertos web 80 y 443. Como un proxy en la nube, la red se sitúa delante la infraestructura de TI del cliente y distribuye el tráfico de los usuarios finales a los sitios web y aplicaciones. Debido a que estas soluciones operan online, los recursos web están protegidos en todo momento contra los ataques DDoS a la capa de red sin necesidad de que intervenga nadie. En el caso de la defensa específica de la capa de aplicaciones, las organizaciones deben implementar un firewall de aplicaciones web para combatir ataques avanzados, incluidos algunos tipos de ataques DDoS, como inundaciones HTTP GET y HTTP POST, que tienen por objeto interrumpir los procesos de aplicaciones de capa 7 del modelo OSI.   

Ventajas de los servicios de mitigación de DDoS

Las organizaciones pueden reducir su superficie de ataque y, al mismo tiempo, reducir el riesgo de interrupciones y tiempos de inactividad mediante la implementación de controles de seguridad específicos para DDoS. Este tipo de defensa puede impedir un ataque y, a su vez, permitir que los visitantes legítimos accedan a su organización online de forma habitual. La protección contra DDoS evita que el tráfico malintencionado alcance su objetivo, lo que limita el impacto del ataque y, al mismo tiempo, permite que el tráfico llegue a su destino para que la actividad se desarrolle con normalidad. 

¿Cómo puede detener un ataque DDoS?

Durante la mitigación, su proveedor de protección contra DDoS implementará una secuencia de medidas destinadas a detener y disminuir el impacto de un ataque DDoS. A medida que los ataques modernos se vuelven más y más avanzados, la protección para mitigación de ataques DDoS basada en la nube ayuda a garantizar una defensa en profundidad a gran escala, manteniendo la infraestructura de back-end y los servicios online disponibles y funcionando de manera óptima.

Mediante los servicios de protección contra ataques DDoS, las organizaciones pueden:

  • Reducir la superficie de ataque y el riesgo empresarial asociados a los ataques DDoS.

  • Evitar que la empresa vea interrumpida su actividad.

  • Aumentar la velocidad de respuesta ante un ataque DDoS y optimizar los recursos de respuesta a incidentes.

  • Acortar el tiempo para reconocer e investigar una interrupción del servicio. 

  • Prevenir la pérdida de productividad de los empleados. 

  • Implementar medidas con mayor rapidez para defenderse de un ataque DDoS.

  • Prevenir daños a la reputación de la marca y a su rentabilidad.

  • Mantener el tiempo de actividad y el rendimiento de todos los recursos digitales.

  • Minimizar los costes asociados a la seguridad web.

  • Defenderse de amenazas nuevas y en evolución.

Descubra cómo Akamai puede ayudar a proteger sus servicios web y online contra los ataques DDoS

Funcionamiento de una defensa holística contra DDoS

Akamai proporciona una defensa en profundidad contra ataques DDoS a través de una red transparente de defensas específicas del borde de Internet, de DNS distribuidos y de barrido en la nube. Estas soluciones de nube están diseñadas específicamente para fortalecer las estrategias de seguridad de DDoS, así como para reducir las superficies de ataque, mejorar la calidad de la mitigación, disminuir los falsos positivos y aumentar la resiliencia contra los ataques cada vez más grandes y complejos.

Además, las soluciones se pueden adaptar a los requisitos específicos de las aplicaciones web y servicios online.

Protección en el borde de Internet

Akamai diseñó Intelligent Edge Platform, una plataforma distribuida a nivel mundial, como un proxy inverso que solo acepta tráfico a través de los puertos 80 y 443. Todos los ataques DDoS en la capa de red se contrarrestan en el borde de Internet con un SLA que garantiza una resolución inmediata. Esto significa que los atacantes que lanzan ataques DDoS a la capa de red no tienen ninguna posibilidad de cumplir su objetivo.

En el caso de los ataques DDoS a la capa de aplicación, incluidos los que se lanzan a través de API, Kona Site Defender los detecta y mitiga, a la vez que permite acceder a los usuarios legítimos.

Protección de DNS

El servicio DNS autoritativo de Akamai, Edge DNS, también filtra el tráfico en el borde de Internet. A diferencia de otras soluciones de DNS, Akamai ha diseñado Edge DNS específicamente para ofrecer disponibilidad y resiliencia frente a ataques DDoS. Edge DNS también ofrece un rendimiento superior con redundancias de arquitectura en varios niveles, incluidos servidores de nombres, puntos de presencia, redes e incluso nubes de IP Anycast segmentadas.

Protección de barrido en la nube

Prolexic protege centros de datos enteros e infraestructuras híbridas contra ataques DDoS, en todos los puertos y protocolos, con 20 centros de barrido globales y más de 10 Tbps de defensa específica contra DDoS. Esta función está diseñada para mantener los recursos online disponibles, un pilar fundamental de cualquier programa de seguridad de la información.

Como servicio totalmente gestionado, Prolexic permite diseñar modelos de seguridad positivos y negativos. El servicio combina defensas automatizadas con mitigación por parte de los expertos del equipo global de Akamai, con más de 225 agentes de primera línea del Centro de Control de Operaciones de Seguridad (SOCC). Prolexic también ofrece un acuerdo de nivel de servicio (SLA) de mitigación de cero segundos, líder en el sector, con controles defensivos proactivos para mantener la infraestructura del centro de datos y los servicios online protegidos y disponibles.