Enfoques de mitigación de DDoS y pasos a tomar como respuesta ante el evento

Los ataques DDoS son una de las formas más antiguas de delitos informáticos que en la actualidad siguen siendo una gran amenaza para el mundo en línea. Por lo general, este tipo de ataques se ejecutan persiguiendo un fin idealista o para reflejar la disidencia: como protesta religiosa, social, política o profesional, pero también existen malos actores que los utilizan para lucrarse a través de la extorsión.

Resulta intimidante saber que los actores maliciosos pueden obtener un suministro de por vida de vectores de ataque DDoS por menos de $100, lo cual también es un indicativo de que tan vulnerable es realmente la Internet.

Las empresas y organizaciones deben tomar las medidas necesarias para dar respuestas ante estos eventos, además de educar a sus empleados sobre cómo funciona la mitigación de DDoS, lo cual a largo plazo ayudará a reducir el riesgo de perder todo si un atacante logra infiltrarse en la red de la empresa.

¿Qué es un ataque DDoS?

Antes de pasar al tema principal, debemos repasar lo qué es un ataque DDoS y cómo funciona, el acrónimo DDoS es la abreviatura del término inglés “Distributed-Denial-of-Service” o ataque de denegación de servicio distribuido, el cual es una modalidad de ataque bajo la cual uno o varios piratas informáticos envían tráfico malicioso a una red o servidor con el fin de sobrecargar la capacidad de procesamiento de solicitudes de ingreso y hacer que un sitio web se cierre de forma temporal o permanente.

¿Cómo funcionan los ataques DDoS? Los atacantes generalmente explotan una red de dispositivos infectados con malware llamados bots; un grupo de bots es conocido como una red de bots. Los piratas informáticos usan estos dispositivos “zombies” sin el permiso, conocimiento, o consentimiento de los propietarios para lanzar ataques contra sitios web, servicios web o servidores específicos.

¿Qué es la mitigación de DDoS?

La mitigación DDoS son sistemas de seguridad usados para proteger un servidor o una red de los diversos tipos de ataques DDoS con el fin de detener los daños a largo plazo y contrarrestar el daño ya causado; dicho sistema bloquea y absorbe picos que lucen amenazantes en el tráfico de la red, mientras que el tráfico legítimo se mantiene a flote.

Las técnicas de mitigación de DDoS tienen como objetivo actuar contra lo que sea que presente un riesgo comercial, mediante la protección de los recursos en línea contra los que generalmente se dirigen los piratas informáticos.

Técnicas de mitigación de DDoS

Las siguientes son las técnicas más comunes para la mitigación de ataques DDoS que te ayudan a reducir el impacto de este tipo de ataques cibernéticos, entre la que incluimos programas y prácticas para fortalecer las capacidades de tu ancho de banda.

Servicio proporcionado por ISP

Las herramientas utilizadas durante los ataques DDoS son rápidas, efectivas y sofisticadas, lo cual dificulta que los expertos las puedan detectar y rastrear, sin embargo, varios proveedores de servicio de internet ofrecen servicios de mitigación de DDoS a un costo relativamente bajo, a través del bloqueo de tráfico malicioso filtrándolo, para evitar ataques de agujeros negros; otros proveedores ofrecen redirigir el tráfico a una tercera nube para proceder luego a su depuración.

Tu proveedor de hosting o ISP debe tener una protección DDoS efectiva y “siempre activa” para tu red, de lo contrario, podrías verte perjudicado por los ataques planeados contra tus clientes.

Los ISP son propensos a este tipo de ataques debido a la asociación que tienen con muchas organizaciones de usuarios finales. La buena noticia es que muchos de estos son más que capaces de bloquear el tráfico de los ataques DDoS a mayor escala y de manera eficiente.

Si tu sitio web sufre un ataque, debes informar el incidente a tu ISP o proveedor de alojamiento, estos generalmente pondrán en marcha un mecanismo conocido cómo “estrategia de tuberías limpias”, que ayuda retrasando tu tráfico por 30 o 60 minutos antes de que se inicie el proceso de mitigación.

El enfoque de bricolaje o DIY

A menudo, las empresas utilizan el enfoque de bricolaje o “hágalo usted mismo” con sistemas de prevención de intrusiones y cortafuegos, lo cual es ideal para empresas que configuran equipos en una instalación con ubicación compartida, donde se llega al proveedor de servicios de internet a través de un ancho de banda de conexión cruzada o descendente, y que establece umbrales de tráfico estático y listas negras de IP no selectivas.

DIY (Do It Yourself o hazlo tú mismo) es una técnica débil para mitigar ataques de DDoS, ya que tiene restricciones de ancho de banda, lo que a su vez restringe la extensibilidad necesaria para evitar un ataque, además, los piratas informáticos también pueden alterar los enfoques de sus ataques con diferentes fuentes, posiciones o vectores.

Las organizaciones que utilizan el enfoque DIY casi siempre se encuentran en una posición reactiva, recuperándose del tiempo de inactividad y solo implementando medidas después de que son víctimas del evento DDoS.

Uso de CDN

La CDN o red de entrega de contenido es un grupo de servidores distribuidos por todo el mundo, utilizado por las empresas y organizaciones para almacenar respaldos de su contenido. Todas las empresas que utilizan CDN tienen su contenido almacenado en un servidor de origen, y en otro grupo de servidores aparte, generalmente manejado por terceros.

La idea de este enfoque es disminuir la carga del ancho de banda del servidor de origen a un servidor cercano, lo cual es especialmente idóneo para sitios web con mucho tráfico. Dado que el tráfico se redistribuye, se vuelve bastante difícil para los piratas informáticos intentar llevar a cabo ataques DDoS o DoS.

Si su sitio web está bajo la mira de un atacante, un CDN evitará que llegue al servidor de origen, ya que cuando tu sitio web reciba más tráfico de lo habitual, la carga se distribuye entre otros servidores, evitando así el tiempo de inactividad.

Etapas de mitigación de ataques DDoS

En general, una estrategia por sí sola no puede hacer el trabajo de protección correctamente contra estos eventos, es por esta razón que las empresas deben probar varias estrategias para todas las etapas de mitigación de DDoS y así asegurarse de que funcionen como se espera, en caso de enfrentar un ataque real.

Respuesta

La respuesta a la incidencia de los ataques DDoS implica filtrar el tráfico legítimo e ilegítimo, para poder llevar a cabo esta función existen estos métodos:

Cambio de ruta

En este enfoque de mitigación de DDoS, se desvía el tráfico malicioso, también puede dividir el tráfico restante en tamaños más pequeños para reducir la carga del servidor.

Blackholing

Blackholing también se denomina “enrutamiento nulo”, esta técnica de mitigación de ataques DDoS enruta todo el tráfico, incluido el tráfico legítimo, a una dirección IP inexistente. No se considera un método ideal de mitigación ya que los visitantes legítimos de tu dominio tampoco podrán visitar tu sitio web.

Sinkholing

Con la técnica de sinkholing o sumidero, cada dirección IP se coteja con una base de datos de direcciones IP maliciosas y todas las coincidencias son bloqueadas, la desventaja de esta táctica es que los actores maliciosos pueden rotar sus acciones a través de direcciones IP con buena reputación, las cuales a veces se eligen de acuerdo a la industria en la que opera el sitio web que está bajo ataque. 

Depuración

La limpieza o depuración se realiza en un centro destinado para ello que se llama “estación de limpieza de datos centralizada”. En esta todo el tráfico se redirige para ser depurado, extrayendo todo el tráfico malicioso y devuelto al tráfico limpio o normal de la página afectada.

Detección de bots

En la detección de bots, los sistemas de seguridad perfilan todo el tráfico entrante y detectan los bots, incluidos aquellos que se hacen pasar por humanos.

Análisis y Adaptación

Los dueños de negocios deben revisar y analizar los registros de seguridad regularmente para tener una mejor comprensión de la mitigación de ataques DDoS. Esta práctica ayuda a localizar a los atacantes e identificar los ataques DDoS en el futuro, lo cual puede incluir bloqueos de IPs específicas, direcciones IPs o usuarios de una región en particular, entre otras medidas.

Con los ataques de capa de aplicación (uno de los tipos de ataques DDoS), un sistema de mitigación de bots basado en inteligencia artificial y aprendizaje automático es lo más idóneo, ya que este sistema puede utilizar automáticamente los datos de los ataques y seleccionar nuevos patrones de ataques de bots para actualizar los algoritmos de protección, también puede diseñar reglas nuevas y mejoradas, lo que permite que el servicio esté en mejor posición para prevenir futuros ataques.

Tiempo para la mitigación

La tecnología más reciente permite a los actores maliciosos intentar sus ataques DDoS en solo unos minutos, lo cual igual puede provocar un tiempo de inactividad prolongado. La interrogante aquí sería, ¿qué pueden hacer las empresas en respuesta a los ataques DDoS

La conclusión más idónea ante esta interrogante es que la respuesta de mitigación más efectiva, es la que actúa con más rapidez para evitar la mayor cantidad de daño. 

Haz todas las consultas necesarias sobre los tiempos de mitigación antes de suscribirte a cualquier servicio de este tipo, algunas de las interrogantes más pertinentes son las siguientes:

  • ¿Qué tan rápido puede detectar un sistema los ataques DDoS?
  • ¿Cuándo se pueden iniciar los trámites de mitigación?
  • ¿Cuánto tiempo llevará mitigar un ataque DDoS por completo?

Pensamientos finales

El factor más crítico en la mitigación de los ataques DDoS es la velocidad, ya que cuanto más rápido se aborde el ataque, más daño evitarás en tu sitio web y, en consecuencia, en la reputación y ventas de tu empresa.

En estos días, hay muchos proveedores de servicios de internet que ofrecen servicios de mitigación de DDoS a costos razonables adicionales. Las redes de envío de contenidos son otra gran técnica que funciona redistribuyendo el tráfico pesado entre servidores repartidos por todo el mundo, disponer de un buen programa de detección de bots también puede bloquear el tráfico malicioso antes de que este llegue a su servidor.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más...

Read More
Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Todo el mundo está de acuerdo en que el correo electrónico se ha convertido...

Read More
Siete ejemplos de ataques de Spear Phishing

Siete ejemplos de ataques de Spear Phishing

El año 2022 aún no ha terminado, pero ya se han reportado más de...

Read More