En un ataque distribuido de denegación de servicio (DDoS), un atacante sobrecarga su objetivo con tráfico de Internet no deseado para que el tráfico normal no llegue a su destino previsto.

Pero ¿qué significa realmente? Piense en su película zombi favorita. Hordas de seres infectados con el mismo objetivo: expandir su "plaga zombi" para terminar con la civilización. Sobrepasan a los cuerpos de seguridad, reducen a las fuerzas armadas y acaban con los servicios de atención médica. Luego, inevitablemente, se produce un enorme atasco que llega hasta donde se pierde el horizonte, porque las personas huyen por la carretera para ponerse a salvo. Así funciona un ataque DDoS: un apocalipsis zombi online. Pero en lugar de zombis, una multitud de ordenadores infectados atacan un sitio web objetivo, todos al mismo tiempo, ahuyentando a los seres humanos y a las empresas.

Un ataque DDoS a sitios web, aplicaciones web, API y redes de una empresa o a la infraestructura de un centro de datos puede provocar la interrupción de la actividad e impedir que usuarios legítimos compren productos, utilicen un servicio, reciban información o accedan de cualquier otro modo.

Durante un ataque DDoS, los atacantes utilizan una gran cantidad de equipos infectados y dispositivos conectados a través de Internet, incluidos dispositivos del Internet de las cosas (IoT), smartphones, ordenadores personales y servidores de red, para enviar una gran cantidad de tráfico a sus objetivos.

La capa de aplicación está en la parte superior y es la que está más cerca del usuario final. Es donde las personas interactúan con ordenadores y dispositivos y donde las redes se conectan con las aplicaciones.

El cifrado y descifrado de datos se produce en la capa de presentación, para posibilitar una transmisión segura.

La capa de sesión permite que los dispositivos, los ordenadores o los servidores se comuniquen entre sí, y controla los puertos y las sesiones.

En la capa de transporte, los datos se comunican a través del protocolo de control de transmisión (TCP), que está construido sobre el protocolo de Internet (IP), también denominado TCP/IP.

La capa de red determina la ruta física que los datos recorrerán para llegar a su destino.

La capa de enlace de datos proporciona una forma de transferir datos entre entidades de red. También es una herramienta para detectar y corregir errores que se pueden producir en la capa física.

La primera capa, que se encuentra en la parte inferior, es la capa física donde los bits sin procesar se transmiten a través de un enlace de datos físico que conecta nodos de red.

La finalidad de un ataque DDoS volumétrico es sobrecargar una red con grandes cantidades de tráfico saturando el ancho de banda del recurso objetivo. Las grandes cantidades de tráfico del ataque bloquean el acceso de los usuarios legítimos a la aplicación o el servicio, cortando el tráfico de entrada y salida. Según el objetivo, la interrupción del tráfico legítimo puede significar que un cliente de un banco no pueda pagar una factura a tiempo, que los compradores de un comercio electrónico no puedan realizar transacciones online, que un paciente de un hospital no pueda acceder a su historial médico o que un ciudadano no pueda consultar sus registros fiscales en un organismo oficial. Independientemente de la organización, bloquear el acceso de las personas a un servicio online tiene un impacto negativo.

Los ataques volumétricos utilizan botnets creadas con ejércitos de sistemas y dispositivos individuales infectados con malware. Los bots, que están controlados por un atacante, se utilizan para provocar el colapso entre un objetivo e Internet en general con tráfico malintencionado que satura todo el ancho de banda disponible.

Un ataque imprevisto con tráfico de bots puede disminuir considerablemente la velocidad o impedir el acceso a un recurso web o servicio online. Como los bots asumen el control de dispositivos legítimos para amplificar los ataques DDoS que consumen un gran ancho de banda, normalmente sin que los usuarios se percaten de ello, es difícil para la organización objetivo detectar el tráfico malintencionado.

Existen una serie de vectores volumétricos que los ciberdelincuentes utilizan para sus ataques DDoS. Muchos aprovechan las técnicas de reflexión y amplificación para sobrecargar una red o servicio objetivo.

Las inundaciones UDP se suelen elegir para ataques DDoS que consumen un mayor ancho de banda. Los atacantes intentan sobrecargar los puertos en el host objetivo con paquetes IP que contienen el protocolo UDP sin estado. A continuación, el host objetivo busca aplicaciones que estén asociadas con los paquetes UDP y, cuando no las encuentra, envía el mensaje "Destino inalcanzable" al remitente. Las direcciones IP a menudo se falsifican para que el atacante permanezca anónimo y, una vez que el host objetivo se inunda con el tráfico del ataque, el sistema deja de responder y de estar disponible para usuarios legítimos.

Los ataques de reflexión de DNS son un tipo de vector común en el que los ciberdelincuentes falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes a los servidores de DNS abiertos. En respuesta, los servidores de DNS responden a las solicitudes malintencionadas a través de la dirección IP falsificada, creando así un ataque al objetivo previsto a través de una inundación de respuestas de DNS. El gran volumen de tráfico creado a partir de las respuestas de DNS sobrecarga rápidamente los servicios de la organización objetivo, lo que hace que no estén disponibles e impide que el tráfico legítimo llegue a su destino previsto.

El protocolo de control de mensajes de Internet (ICMP) se utiliza principalmente para los mensajes de error y, por lo general, no intercambia datos entre sistemas. Los paquetes ICMP a veces se incluyen en los paquetes TCP, que permiten que las aplicaciones y los dispositivos informáticos intercambien mensajes a través de una red cuando se conectan a un servidor. Una inundación ICMP es un método de ataque DDoS con una infraestructura de capa 3 que utiliza mensajes ICMP para sobrecargar el ancho de banda de la red objetivo.

Los ataques de protocolo intentan consumir y agotar la capacidad informática de diversos recursos de infraestructura de red, como servidores o firewalls, a través de solicitudes de conexión malintencionadas que vulneran las comunicaciones del protocolo. La inundación Synchronize (SYN) y el ataque Smurf son dos tipos comunes de ataques DDoS basados en protocolos. Los ataques de protocolo se pueden calcular en paquetes por segundo (pps), así como en bits por segundo (bps).

Una de las principales maneras en las que las personas se conectan a las aplicaciones de Internet es a través del protocolo de control de transmisión (TCP). Esta conexión requiere un protocolo de negociación en tres pasos a partir de un servicio TCP, como un servidor web. Los pasos incluyen enviar lo que se denomina un paquete SYN (sincronización) desde el lugar en que el usuario se conecta al servidor, después devolver un paquete SYN-ACK (confirmación de sincronización), y finalmente recibir un mensaje ACK (confirmación) final como respuesta para completar el protocolo de negociación de TCP.

Durante un ataque de inundación SYN, un cliente malintencionado envía un gran volumen de paquetes SYN (primer paso de una negociación normal), pero nunca llega a enviar la confirmación para completar la negociación. Por tanto, el servidor espera una respuesta a estas conexiones TCP semiabiertas y finalmente se agota su capacidad para aceptar nuevas conexiones para servicios que rastrean los estados de conexión. 

Un ataque de inundación SYN sería como una broma realizada por toda una clase de un instituto, en la que cada estudiante llama a la misma pizzería y pide una pizza para una misma hora. Luego, cuando la repartidora prepara las entregas, se da cuenta de que son demasiadas y que no le caben en el vehículo y que, además, no incluyen las direcciones, así que se detienen todas las entregas.

El nombre de este ataque DDoS se basa en el concepto de que numerosos atacantes pequeños pueden paralizar a un oponente mucho más grande por el gran volumen de tráfico, al igual que la colonia ficticia de pequeños humanoides azules a los que le debe su nombre (The Smurfs es el nombre que en inglés reciben Los Pitufos).

En un ataque Smurf, una gran cantidad de paquetes ICMP (protocolo de control de mensajes de Internet) con la IP de origen falsificada de un destino se transmiten a una red de ordenadores mediante una dirección IP de difusión. De forma predeterminada, la mayoría de los dispositivos de una red responderán enviando una respuesta a la dirección IP de origen. Según el número de equipos de la red, puede que el ordenador de la víctima se ralentice en extremo debido a la inundación de tráfico.

Los ataques a la capa de aplicación se miden en solicitudes por segundo (RPS) y se realizan mediante la inundación de aplicaciones con solicitudes malintencionadas. Estos ataques, también llamados ataques DDoS de capa 7, se dirigen a aplicaciones web específicas, no redes completas. Aunque son difíciles de prevenir y mitigar, se encuentran entre los ataques DDoS más fáciles de lanzar.

Por hacer una comparación, es fácil hacer que una manada de caballos salga en estampida, pero es casi imposible volver a controlarlos. Los ataques a la capa de aplicación son fáciles de implementar, difíciles de frenar o detener, y específicos para un objetivo.

En un panorama en el que los ataques evolucionan constantemente, la protección contra DDoS a través de un proveedor de mitigación que adopta un enfoque de defensa exhaustivo puede mantener a las organizaciones y a los usuarios finales seguros. Un servicio de mitigación de DDoS detectará y bloqueará los ataques DDoS lo más rápido posible, idealmente de inmediato o unos pocos segundos después de que el tráfico del ataque llegue a los centros de barrido del proveedor de mitigación. Dado que los vectores de ataque cambian constantemente y la magnitud de los ataques es cada vez mayor, es necesario que un proveedor invierta continuamente en su defensa para una mejor protección contra DDoS. Para hacer frente a los complejos ataques, se necesitan tecnologías capaces de detectar el tráfico malintencionado y poner en marcha sólidas medidas defensivas para mitigar los ataques rápidamente.

Los proveedores de mitigación de DDoS filtran el tráfico malintencionado para evitar que llegue al recurso objetivo previsto. El tráfico del ataque se bloquea mediante un servicio de barrido de DDoS, un servicio DNS basado en la nubeo un servicio de protección web basado en CDN. La mitigación basada en la nube elimina el tráfico de ataque antes de que alcance el objetivo.

Con el barrido de DDoS, la actividad online de su empresa no se verá interrumpida aunque se produzca un ataque. A diferencia de la mitigación basada en CDN, un servicio de barrido de DDoS puede proteger todos los puertos, protocolos y aplicaciones en el centro de datos, incluidos los servicios basados en IP y web. Las organizaciones dirigen su tráfico de red de uno de estos dos modos: a través de un cambio de anuncio de ruta del protocolo de puerta de enlace de frontera (BGP) o una redirección de DNS (registro A o CNAME) a la infraestructura de barrido del proveedor de mitigación. El tráfico se supervisa e inspecciona en busca de actividad malintencionada y se mitiga si se identifican ataques DDoS. Por lo general, este servicio está disponible tanto en configuraciones bajo demanda como siempre activas, según la estrategia de seguridad elegida por la organización, aunque cada vez más organizaciones están adoptando un modelo de implementación siempre activa para obtener una respuesta defensiva de forma más rápida.

Una red de distribución de contenido (CDN) avanzada y correctamente configurada puede ayudar a las empresas a defenderse de los ataques DDoS. Cuando un proveedor de servicios de protección de sitios web utiliza su CDN para acelerar específicamente el tráfico mediante protocolos HTTP y HTTPS, todos los ataques DDoS dirigidos a esa URL se pueden detener en el borde de la red. Esto significa que los ataques DDoS de capa 3 y capa 4 se mitigan al instante, ya que este tipo de tráfico no está destinado a los puertos web 80 y 443. Como un proxy en la nube, la red se sitúa delante la infraestructura de TI del cliente y distribuye el tráfico de los usuarios finales a los sitios web y aplicaciones. Debido a que estas soluciones operan online, los recursos web están protegidos en todo momento contra los ataques DDoS a la capa de red sin necesidad de que intervenga nadie. En el caso de la defensa específica de la capa de aplicaciones, las organizaciones deben implementar un firewall de aplicaciones web para combatir ataques avanzados, incluidos algunos tipos de ataques DDoS, como inundaciones HTTP GET y HTTP POST, que tienen por objeto interrumpir los procesos de aplicaciones de capa 7 del modelo OSI.   

Las organizaciones pueden reducir su superficie de ataque y, al mismo tiempo, reducir el riesgo de interrupciones y tiempos de inactividad mediante la implementación de controles de seguridad específicos para DDoS. Este tipo de defensa puede impedir un ataque y, a su vez, permitir que los visitantes legítimos accedan a su organización online de forma habitual. La protección contra DDoS evita que el tráfico malintencionado alcance su objetivo, lo que limita el impacto del ataque y, al mismo tiempo, permite que el tráfico llegue a su destino para que la actividad se desarrolle con normalidad. 

Durante la mitigación, su proveedor de protección contra DDoS implementará una secuencia de medidas destinadas a detener y disminuir el impacto de un ataque DDoS. A medida que los ataques modernos se vuelven más y más avanzados, la protección para mitigación de ataques DDoS basada en la nube ayuda a garantizar una defensa en profundidad a gran escala, manteniendo la infraestructura de back-end y los servicios online disponibles y funcionando de manera óptima.

Akamai proporciona una defensa en profundidad contra ataques DDoS a través de una red transparente de defensas específicas del borde de Internet, de DNS distribuidos y de barrido en la nube. Estas soluciones de nube están diseñadas específicamente para fortalecer las estrategias de seguridad de DDoS, así como para reducir las superficies de ataque, mejorar la calidad de la mitigación, disminuir los falsos positivos y aumentar la resiliencia contra los ataques cada vez más grandes y complejos.

Además, las soluciones se pueden adaptar a los requisitos específicos de las aplicaciones web y servicios online.

Akamai diseñó Intelligent Edge Platform, una plataforma distribuida a nivel mundial, como un proxy inverso que solo acepta tráfico a través de los puertos 80 y 443. Todos los ataques DDoS en la capa de red se contrarrestan en el borde de Internet con un SLA que garantiza una resolución inmediata. Esto significa que los atacantes que lanzan ataques DDoS a la capa de red no tienen ninguna posibilidad de cumplir su objetivo.

En el caso de los ataques DDoS a la capa de aplicación, incluidos los que se lanzan a través de API, Kona Site Defender los detecta y mitiga, a la vez que permite acceder a los usuarios legítimos.

El servicio DNS autoritativo de Akamai, Edge DNS, también filtra el tráfico en el borde de Internet. A diferencia de otras soluciones de DNS, Akamai ha diseñado Edge DNS específicamente para ofrecer disponibilidad y resiliencia frente a ataques DDoS. Edge DNS también ofrece un rendimiento superior con redundancias de arquitectura en varios niveles, incluidos servidores de nombres, puntos de presencia, redes e incluso nubes de IP Anycast segmentadas.