¿Qué son los ataques DDoS?

El propósito habitual de los delitos informáticos es ganar dinero o arruinar la reputación de un negocio; ninguno de estos fines es aceptable, pero los ataques DDoS a menudo se llevan a cabo con el fin de hacer una declaración, hacerle daño a un competidor o incluso en algunos casos, cerrar las operaciones de una página web mientras se instala un programa malware o ransomware.

El número de ataques DDoS está en aumento desde hace algún tiempo, razón por la cual las empresas y organizaciones deben educar a sus empleados para que sepan identificar estas amenazas y prevenirlas. Los piratas informáticos que usan ataques de DDoS siempre tienen bajo la mira servidores, sitios web y otros recursos de la red en organizaciones públicas y privadas de renombre por igual.

Es por esta razón que te recomendamos que sigas leyendo este post, así podrás comprender cómo funciona un ataque DDoS y una red de bots DDoS, las herramientas que son utilizadas durante estos eventos, las industrias que están en la mira, la duración de estos ataques y los tipos de acciones llevadas a cabo en estos; también aprenderás a detectar ataques DDoS, y las mejores prácticas para dar respuesta ante incidentes.

¿Estás listo para sumergirte en este interesante tópico? Empecemos entonce.

¿Qué es un ataque DDoS?

Saber lo que es un ataque DDoS significa que puedes prevenirlo con las debidas prácticas de seguridad; en un ataque DDoS o de denegación de servicio distribuido, los piratas informáticos abruman un servidor con un excedente de tráfico para hacer que este se apague. Un servidor puede inundarse fácilmente utilizando un grupo de sistemas comprometidos como fuente de este tráfico malicioso, para evitar que los usuarios usuales de un sitio web lo visiten o utilicen los servicios en línea que ofrece la página.

En febrero del año 2021, un grupo de criminales informáticos interrumpieron el funcionamiento de transacciones de criptomonedas EXMO en el Reino Unido durante casi cinco horas, al intentar un ataque DDoS. Los funcionarios que investigaron el evento compartieron ciertos detalles, tales como el hecho que su volumen cayó un 4,9% después del incidente; este tipo de estadísticas son las que hacen que sea absolutamente necesario para las empresas educar a sus empleados sobre lo que es un ataque DDoS y cómo funciona.

¿Cómo funcionan los ataques DDoS?

Los ataques DDoS se llevan cabo por medio de la explotación de redes de dispositivos (tales como computadoras y dispositivos IoT) con conexiones activas a Internet que están infectados con malware, tales como virus y troyanos que asisten a los piratas informáticos en la obtención de acceso remoto a donde quieran; dichos dispositivos contaminados se conocen con el nombre de “bots”, y un grupo de bots es conocido como “red de bots” o “botnet”.

El motivo principal es instalar un punto de apoyo para una red de bots que permite a los piratas informáticos enviar instrucciones a cada bot con el fin de cometer múltiples tipos de ataques DDoS. Una vez establecida la red de bots, los piratas informáticos instruyen a sus botnets a que procedan a inundar un servidor con tráfico malicioso para obstruir su funcionamiento y hacer que el sitio web sea inaccesible o que el servidor se apague.

Un ataque DDoS tiene éxito porque los bots son dispositivos legítimos y filtrarlos del tráfico normal representa un desafío bastante grande.

Ataques DDoS vs DoS: ¿Cuál es la diferencia?

Las personas a menudo usan los términos ataques DDoS o DoS indistintamente, sin embargo, estos no son lo mismo. Un ataque DDoS es una subcategoría de un ataque DoS (denegación de servicio).

En la sección “Qué es un ataque DDoS“, ya analizamos cómo los piratas informáticos usan múltiples dispositivos infectados o redes de bots para llevar a cabo sus ataques a los servidores por medio de los ataques DDoS. Sin embargo, en un ataque DoS, solo se usa una sola máquina para abrumar el tráfico de un sitio web con solicitudes falsas o con el fin de hacer mal uso de una vulnerabilidad del sistema, generalmente, el objetivo de estos ataques es agotar los recursos del servidor, tales como la RAM o su CPU.

Ambos eventos también difieren en su forma de ejecución, ya que los ataques DoS se realizan mediante scripts caseros o herramientas DoS, mientras que los ataques DDoS se llevan a cabo mediante redes de bots.

¿Cuál es la motivación principal detrás de los ataques DDoS?

Es necesario conocer y entender la intención de los piratas informáticos, así como las razones que motivan los ataques DDoS para poder prevenirlos; es evidente que la mayoría de estos eventos son maniobras de ransomware, mediante la cual los delincuentes cibernéticos obtienen acceso a una red y encriptan los datos o archivos de código, para luego proceder a exigir fuertes sumas de dinero como rescate, a cambio de una clave que libere la encriptación, casi siempre bajo amenaza de borrar o modificar los datos si no reciben el pago requerido.

Sin embargo, un ataque DDoS también puede ser llevado a cabo con fines políticos y religiosos, hay equipos de piratas informáticos que siempre están buscando crear confusión a entes militares o civiles durante disputas políticas.

Los ataques DDoS son una ocurrencia bastante común en el mundo de los negocios, marcas rivales a menudo usan tácticas para empañar la imagen pública de sus competidores; hacktivistas usan herramientas estándar de disrupción para expresar su desaprobación o desacuerdo con casi todo, desde decisiones gubernamentales, hasta creencias religiosas, o anuncios comerciales y similares.

Herramientas usadas durante los ataques DDoS

Los actores maliciosos en línea usan múltiples herramientas durante los ataques DDoS, entre las que se incluyen:

  • Servicios
  • Dispositivos de red
  • Redes de bots 
  • Dispositivos IoT
  • Inteligencia artificial
  • Explotación de equipos heredados

¿Cuáles son las industrias más afectadas por los ataques DDoS?

Ahora que sabes lo que son los ataques DDoS y cómo funcionan, es hora de averiguar a qué industrias afectan con mayor frecuencia.

Video Juegos

Cualquier organización relacionada a los juegos en linea es vulnerable a los ataques DDoS por parte de jugadores de mala fe que desean obtener ventajas competitivas de forma ilegal. Estos también pueden intentar obtener detalles confidenciales sobre otros jugadores rivales en estas plataformas, para usar esta información con el fin de causar daño emocional o financiero, ciertas estadísticas muestran que al menos un 22% de todos los ataques DDoS entre los años 2020 y 2021 estuvieron dirigidos a la industria del juego.

Software y tecnología

Las empresas involucradas en operaciones SaaS y tecnologías basadas en la nube generalmente están bajo la mira de los expertos en ataques DDoS. Casi el 9% de los ataques DDoS entre el año 2020 y 2021 tuvieron como objetivo hacerle daños a la industria del software y la tecnología mediante técnicas de inflexión contra DNS y NTP.

Medios y entretenimiento

A pesar de una pequeña caída en la cantidad de medios de entretenimiento que están en la mira de los operantes de ataques DDoS, esta sigue siendo una de las industrias más vulnerables, ya que tales ataques otorgan mayor visibilidad a estos piratas informáticos, debido a que los medios cubren estos eventos y amplían su fama. 

Servicios financieros

Los criminales informáticos siempre han tenido a la industria bancaria bajo la mira, así como también a las plataformas de comercio electrónico, criptomonedas y otras organizaciones financieras, razón por la cual casi el 6% de todos los ataques DDoS están dirigidos a esta industria.

En marzo del año 2012, una ola de ataques DDoS golpeó a diversas instituciones, tales como el Bank of America, JPMorgan Chase, U.S. Bank, Citigroup, Wells Fargo y PNC Bank. El grupo hacktivista Izz ad-Din al-Qassam Cyber Fighters fueron quienes supuestamente intentaron el ataque, el cual generó 60 GB de tráfico por segundo.

Internet y telecomunicaciones

Los ataques DDoS en Internet y en la industria de las telecomunicaciones se deben principalmente a la rivalidad comercial que existe en esta industria, aquí los piratas informáticos usan tácticas para abrumar el tráfico en la red de sus competidores, lo que hace que estos cesen operaciones temporalmente, lo que a su vez crea una imagen negativa del proveedor afectado entre los usuarios, persuadiéndolos a cambiarse de un proveedor a otro.

¿Cuánto pueden durar los ataques DDoS?

No hay un rango de tiempo específico para la duración de un ataque DDoS, ya que estos se desenvuelven dependiendo del objetivo y la técnica de ataque utilizada. Un episodio de larga duración puede tomar un período de horas o días, mientras que un ataque DDoS a corto plazo solo dura unos minutos o unos pocos segundos.

Tipos de ataques DDoS

Muchos actores maliciosos atacan los diversos elementos de una red de acuerdo a sus objetivos, razón por la cual es importante saber que la Organización Internacional de Normalización ha creado siete capas diferentes en el modelo de interconexión de sistemas abiertos (OSI).

Básicamente es un marco teórico/práctico que explica las tareas y responsabilidades de un sistema de red, lo cual permite que varias computadoras se comuniquen entre sí.

En base a esto, podemos ver cuáles son los tipos de ataques DDoS y los métodos de ejecución de cada uno.

Ataques a la capa de aplicación

En un ataque a la capa de aplicación, el perpetrador del ataque DDoS obliga al servidor de la víctima a permitir más tráfico del habitual, es también conocido como ataque DDoS de capa 7, el cual es dirigido directamente a la séptima capa donde se producen las respuestas HTTP, haciendo que el sitio web que es objetivo del ataque, colapse, como resultado del exceso de solicitudes HTTPS.

Ataques de protocolo

Un ataque de protocolo es un método de consumo de recursos que se encarga de saturar la capacidad de los servidores web. Este tipo de ataque también expone vulnerabilidades en la Capa 3 y la Capa 4 del protocolo OSI para hacer que el objetivo sea inaccesible.

Ataques volumétricos

Los ataques volumétricos obstruyen las redes al consumir todo el ancho de banda disponible a través de innumerables solicitudes enviadas mediante una red de bots. El mejor ejemplo de este ataque es la amplificación de DNS, donde los delincuentes informáticos falsifican la dirección de su víctima y envían solicitudes de búsqueda de nombre del DNS, para luego enviar la respuesta del servidor DNS del objetivo, amplificando así la solicitud inicial del atacante.

¿Cómo podemos identificar los ataques DDoS?

Centrémonos en aprender a identificar los ataques DDoS para poder mitigar sus repercusiones, en principio es necesario entender que es difícil detectar un ataque DDoS, ya que los síntomas de estos eventos imitan sucesos típicos, tales como un rendimiento lento o un pico en el tráfico de tu red.

El indicador más eficiente es recibir un exceso de quejas por parte de los usuarios regulares de tu sitio web, no hay otra forma de darse cuenta lamentablemente, no obstante, aquí hay algunos indicios de que estás siendo víctima de un ataque DDoS:

  • Recibes demasiadas solicitudes de una dirección IP o de rango de IPs.
  • Los usuarios te informan sobre el error 503, el cual indica que un servidor no está listo para manejar la solicitud de acceso a tu sitio web.
  • El TTL (tiempo de vida) se agota, el TTL es el tiempo de existencia de un paquete de datos en una computadora o red antes de ser descartados.

Las mejores prácticas para dar respuestas a los ataques DDoS

Los recursos automatizados son la única forma de detectar este tipo de ataques, ya que la verificación manual de los registros cada hora es engorrosa. Las soluciones automatizadas le permiten a tu equipo de seguridad monitorear todos los campos vulnerables de manera eficiente; también puedes asumir otras medidas preventivas:

  • Creación o modificación de políticas de seguridad: diseña e implementa políticas de uso, así como sanciones por infringirlas, si todavía estás ejecutando una versión anterior de la política, es hora de revisarla y actualizarla.
  • Identifica los servicios esenciales: los servicios esenciales son aquellos que pueden interrumpir tus operaciones comerciales, incluidas las bases de datos y tu sitio web; al identificar estos servicios puedes tomar decisiones precisas sobre las respuestas que debes dar ante un ataque DDoS.
  • Crea copias de seguridad de tu información en CDN: una CDN o red de entrega de contenido, es un grupo de servidores distribuidos con cierta distinción geográfica, que son responsables de aumentar la velocidad de entrega de tu contenido web, al guardar datos esenciales para el funcionamiento de tu negocio en una CDN, reduces el tiempo de respuesta y recuperación.
  • Múltiples conexiones ISP: múltiples ISPs te mantiene preparado si una de ellas se ve abrumada por el tráfico o no brinda un servicio de filtrado esencial a tiempo.
  • Copia de seguridad de servidores y terminales: puedes realizar copias de seguridad de los recursos del servidor, de tus estaciones de trabajo y de otros dispositivos para así garantizar la seguridad integral de los datos de tu empresa.
  • Análisis de riesgos: puedes crear un esquema de preparación ante ataques DDoS para detectar vulnerabilidades en caso de que los piratas informáticos afecten alguno de tus recursos.
  • Identifica y asigna responsabilidades: siempre puedes asignar responsabilidades para ofrecer respuesta durante o después de los ataques DDoS.
  • Prácticas: puedes educar a tus empleados acerca de las formas de prevenir y mitigar los riesgos de un ataque DDoS. Las sesiones regulares de capacitación pueden ayudar a los miembros de tu equipo a adquirir conciencia sobre cómo deben responder ante un ataque en la vida real.

¿Qué son las redes de bots DDoS?

Una red de bots es el término técnico que usamos para referirnos a un grupo de computadoras, dispositivos móviles o dispositivos IoT infectados con malware y secuestrados por un grupo de atacantes. El malware que han plantado en estos dispositivos les permite acceder de forma remota e interrumpir el funcionamiento de computadoras, servidores o páginas web, sin el conocimiento y consentimiento de los usuarios.

Las redes de bots ayudan a los actores maliciosos a llevar a cabo ataques de DDoS, así como también en la inyección de malware, intercepción y exportación de datos esenciales, a realizar ataques de ransomware, spam, etc. Las redes de bots no siempre son visibles o rastreables, y tampoco impactan directamente en los sistemas.

¿Cómo funcionan los ataques DDoS llevados a cabo con redes de bots?

Un pastor de bots o botmaster es el que controla las redes de bots DDoS, utilizando máquinas intermediarias llamadas servidores de Comando y Control o C&C, los cuales se conectan e intercambian mensajes entre sí usando sitios web HTTP, protocolos IRC y servicios de Internet de renombre tales como Facebook e Instagram, también se le conoce como redes de bots peer-to-peer o P2P.

Dado que varias personas pueden acceder y controlar una red P2P, un ataque DDoS puede originarse desde cualquier lugar y llevarse a cabo por cualquier persona. Las redes de bots pueden ser adquiridas fácilmente en los mercados negros en línea por tan solo $5.

Las Redes de bots DDoS más famosas

Aquí te presentamos las redes de bots DDoS más conocidas, las cuales continúan creciendo y dañando sistemas a nivel mundial:

  • Mirai: el malware Mirai tiene como objetivo a dispositivos como enrutadores domésticos y cámaras IP inteligentes para formar parte de una red zombie de bots usado para ejecutar ataques DDoS masivos.
  • Billgates: una red de bots atribuida al pirata informático ChinaZ, la cual tiene como objetivo los sistemas Windows y Linux.
  • Nitol: una red de bots creada mediante la carga previa de malware en PCs construidas en China, tiene muchas variantes y comparte el mismo código que otras redes de bots con sede en el país asiatico.
  • IMDDOS y AVzhan: IMDDOS es un servicio comercial de ataques DDoS que está a la venta en un sitio web alojado en China, AVzhan es una familia de malware relacionada que posee características similares
  • The Storm Botnet: una red de bots masiva creada en el año 2007 utilizando Storm Worm, un virus troyano que se propaga por correo electrónico, es capaz de defenderse contra ataques DDoS.
  • MrBlack: una red de bots que abarca 109 países y que tiene como objetivo central el sistema operativo Linux. Esta se expande a través del malware troyano Linux Spike el cual va cargado en enrutadores domésticos (especialmente aquellos que conservan credenciales de inicio de sesión predeterminadas).
  • The Cutwail Botnet: Una red de bots disponible para alquilar y usar en campañas maliciosas de correos no deseados, generalmente infecta cualquier máquina que ejecute Windows a través de un troyano llamado Pushdo; hasta la fecha se estima que Cutwail contiene hasta 2 millones de PC zombis, capaces de enviar 74 mil millones de mensajes de spam al día.

Los ataques DDoS más notorios de la historia

Los ataques DDoS son una amenaza global y sus secuelas han sido documentadas a lo largo de la historia de la computación, estos son algunos de los ataques DDoS más notorios reportados hasta el momento: 

El ataque de Google, septiembre del año 2017

El 16 de octubre del año 2020, el Grupo de Análisis de Amenazas de Google informó a los usuarios que un colectivo de piratas informáticos estaba alterando sus tácticas de ataque por motivos políticos. Google también informó que sufrió un ataque de amplificación de UD sin precedentes a través de múltiples ISP chinos, este ataque ocurrió en septiembre del 2017, duró seis meses y afectó a miles de direcciones IP de Google utilizando varias redes para falsificar 2,5 Tbps de tráfico.

El ataque de Estonia, 27 de abril del año 2007

Esta serie de ataques se produjo como retaliación a la eliminación de un monumento de guerra soviético, aquí los atacantes utilizaron varias tácticas de ataque, tales como inundaciones de ping y distribución de spam, solo para mostrar su desacuerdo con el gobierno de Estonia, el evento afectó a organizaciones públicas y privadas, incluidos el parlamento, el ministerio de defensa, bancos, emisoras, etc.

Konstantin Goloskokov, comisario del movimiento juvenil pro-Kremlin Nashi en Moldavia y Transnistria, asumió la responsabilidad de los ataques, los cuales duraron tres semanas, uno de los miembros lo calificó como una forma despiadada de expresar disidencia.

Los ataques de la red de bots Mirai IoT del año 2016

Brian Krebs, un experto en seguridad cibernética, fue víctima de un ataque DDoS en 2016, su blog fue atacado por la red de bots Mirai, la cual contiene 600.000 dispositivos IoT bajo su control; su blog ha sido atacado varias veces en el pasado, pero este evento tuvo un impacto triple debido a su naturaleza sin precedentes.

La red de bots Mirai también afectó a OVH, el proveedor de hosting más grande de Europa, el ataque estaba dirigido a uno solo de sus usuarios utilizando 145.000 botnets que producían solicitudes a una velocidad de 1,1 terabits por segundo. La empresa de gestión y rendimiento de Internet, Dyn, también sufrió el ataque, el cual abrumó a sus principales clientes, tales como Netflix, PayPal y Amazon en el proceso.

República de Georgia, 20 de julio del año 2008

Semanas antes de la invasión rusa, la República de Georgia se convirtió en el objetivo de un ataque DDoS dirigido al presidente de Georgia, bajo el cual se cerraron temporalmente varios sitios web en un intento de interrumpir las comunicaciones con los simpatizantes georgianos.

Resumen

Un ataque DDoS exitoso puede poner en peligro tu negocio y tener impactos duraderos, los actores maliciosos inundan las redes, los sitios web y los servicios en línea con los ataques DDoS, lo que provoca que estos cesen operaciones o se vuelvan inaccesibles. Los objetivos habituales de estos ataques en línea son la obtención de beneficios económicos, la extorsión de organizaciones, y declaraciones políticas.

Si implementas técnicas de mitigación y prácticas de respuesta para prevenir los ataques DDoS, podrás recuperarse de estos de manera rápida y efectiva.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más...

Read More
Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Cómo detener los correos electrónicos no deseados y salvaguardar tu bandeja de entrada [Edición de correo electrónico corporativo]

Todo el mundo está de acuerdo en que el correo electrónico se ha convertido...

Read More
Siete ejemplos de ataques de Spear Phishing

Siete ejemplos de ataques de Spear Phishing

El año 2022 aún no ha terminado, pero ya se han reportado más de...

Read More