Análisis en profundidad

Ataque DDoS (Denegación de servicio distribuido): qué es, cómo funciona, cómo detectarlo y protegerse

  • Home
  • Ciber Seguridad Informatica

Los ataques de denegación de servicio (DDoS) son una de las principales ciberamenazas. Aquí está todo lo que necesita saber

Publicado el 17 Oct 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

Ataque DDoS

Las empresas de todos los tamaños y de cualquier sector son vulnerables al ataque de denegación de servicio distribuido – Distributed-Denial-of-Service, (DDoS). Ataques que interrumpen la disponibilidad de las aplicaciones y también distraen a los equipos de seguridad de ataques más grandes.

El panorama de las amenazas de ciberseguridad ha cambiado y se ha vuelto más sofisticado especialmente a lo largo de los últimos dos años. Sin embargo, una cosa que no ha cambiado es que los ataques DDoS siguen siendo uno de los métodos de ataques preferidos utilizados por los ciberdelincuentes para atacar organizaciones.

 ¿Qué es un ataque ddos?

El acrónimo DDoS significa Denegación de Servicio Distribuida, y como su nombre indica, los ciberdelincuentes – que controlan un ataque DDoS – utilizan múltiples dispositivos distribuidos a través de Internet para arremeter contra el ataque.

De hecho, un ataque DDoS tiene como objetivo inundar el servicio atacado con tantas solicitudes de acceso, o tanto tráfico de red, que los servidores que alojan el sitio web o la aplicación de destino no pueden responder a todos.

Un método común, para lanzar ataques DDoS, es usar un ejército de botnet para enviar solicitudes o tráfico de red al mismo tiempo e interrumpir el funcionamiento del sistema de destino. Los dispositivos que componen el ejército de botnet suelen ser servidores u ordenadores que han sido infectados con un programa maligno, o son dispositivos de Internet de las Cosas (IoT) mal protegidos que tienen una vulnerabilidad que les permite ser secuestrados.

  Clasificación de los ataques

Los ataques DDoS utilizan múltiples técnicas para interrumpir sitios web y aplicaciones y se pueden clasificar en:

  • Ataques de protocolo – Tienen como objetivo consumir y agotar recursos reales de servidores o equipos intermedios como contrafuegos (firewalls). Pertenecen a esta categoría, por ejemplo, el DDoS llamado Inundación SYN (SYN flood) que se caracteriza por el hecho de que los atacantes no están tratando de explotar una falla de seguridad en su sitio web, sino haciendo que se rompa con un alto volumen de solicitudes. De hecho, esta tipologia de DDos inunda el objetivo específico con múltiples paquetes de sincronización (SYN) simultáneamente desde diferentes máquinas y la víctima envía paquetes de reconocimiento (SYN-ACK). El atacante no envía un paquete ACK en respuesta para completar el apretón de manos de tres vías y mantiene a la víctima esperando hasta que el servidor de la víctima se quede sin recursos. Esto hace que el rendimiento del servidor web de la víctima se reduzca significativamente.
  • Ataques volumétricos: el atacante consume todo el ancho de banda para crear congestión de red con grandes volúmenes de tráfico, de modo que los clientes legítimos no pueden acceder a la red de destino específica. La mayoría de los ataques DDoS son volumétricos y pueden variar de 20 gigabytes por segundo a 2 terabytes por segundo en volumen. La amplificación de DNS (Sistemas de Nombres de Dominio) es un ejemplo popular de esta tipologia de ataque. Los atacantes manipulan, por ejemplo, los DNS enviando pequeñas solicitudes falsas (con la dirección IP del objetivo específico). El servidor identifica incorrectamente el equipo de destino como el origen de las solicitudes y envía un mensaje de respuesta amplificado.
  • Ataques a nivel de aplicación – Ataques que cargan las aplicaciones con solicitudes maliciosas y que se miden en solicitudes por segundo (RPS) y también llamados Ataques DDoS de capa 7. Se trata de ataques que se dirigen a específicas destruyéndolas. Son los ataques DDoS más fáciles de lanzar, pero difícil a prevenir y mitigar.

Los atacantes tienden, muy a menudo, a mezclar estes tipo de ataques para maximizar sus impactos.

¿Cuál es el propósito de un ataque DDoS?

Las razones por las que se montan ataques DDoS se dividen en algunas categorías principales:

  • Financiero: Los atacantes están tratando de obtener una ganancia financiera.
  • Distraer a la víctima: un ataque DDoS está diseñado para distraer al personal de IT y seguridad para que se pueda llevar a cabo otro tipo de ataque cibernético bajo su cobertura. Por ejemplo, instalar un programa maligno o realizar ataques de phishing.
  • Ideológicos o políticos: los ataques DDoS se dirigen a organizaciones con las que los atacantes no están de acuerdo por razones ideológicas o políticas. (ciber hacktivismo).
  • Espionaje industrial: ataques DDoS para atacar a los competidores.

Cómo protegerse de un ataque DdoS

La protección contra ataques DDoS normalmente se realiza a través de cuatro pasos:

  • Detección temprana: Es fundamental contar con sistemas y herramientas que puedan detectar la actividad anómala asociada con un ataque DDoS lo antes posible.
  • Desviación: Cualquier tráfico DDoS detectado debe ser desviado.
  • Filtración: Eliminación del tráfico DDoS en varios puntos de la red para evitar que llegue e interrumpa los servidores de destino.
  • Análisis: Revisar todos los datos sobre un ataque DDoS y cómo se maneja para actualizar los sistemas y procedimientos para llenar cualquier vacío en las defensas.

Además, también es importante:

  • Involucrar el personal especializado capaz de responder a ataques DDoS para asegurar la continuidad de la operación de los recursos web.
  • Implementar soluciones profesionales contra las amenazas cibernéticas.
  • Conocer el tráfico de Internet utilizando herramientas de monitoreo de redes y aplicaciones para identificar características y tendencias de tráfico típicos de la empresa y establecer una línea de base de defensa e identificar más fácilmente la actividad inusual que es sintomática de un ataque DDoS.
  • Preparar una estrategia defensiva de emergencia para poder restaurar los servicios críticos para el negocio en caso de un ataque DDoS.

Tendencia de ataques DdoS: cómo están evolucionando

Según un informe reciente de DDoS Intelligence de Kaspersky, el número de ataques DDoS registrados en el primer trimestre de 2022 ha aumentado de 4,5 veces en comparación con el mismo período en 2021.

En particular, durante el primer trimestre de 2022 – precisamente a fines de febrero – se ha observado un aumento repentino de los ataques como resultado de la guerra entre Rusia y Ucrania.

El número de ataques “inteligentes” o avanzados también ha crecido un 81% en comparación con el récord histórico alcanzado en el cuarto trimestre de 2021. Estos ataques no sólo se han llevado a cabo a gran escala, sino que también se han distinguido por su carácter innovador. Los ejemplos incluyen una copia del popular juego de rompecabezas 2048 utilizado para gamificar ataques DDoS en sitios web rusos y un “llamado” a crear un ejército cibernético voluntario para facilitar los ataques cibernéticos.

En el segundo trimestre de 2022 los ataques DDoS han aumentado tanto en número como en intensidad. Es decir: el número de usuarios afectados por ataques DDoS es aproximadamente 2,5 veces mayor que en el mismo período de 2021. Además, la duración promedio de un ataque es cien veces mayor que el año pasado cuando un ataque ha durado, en promedio, solamente 30 minutos frente a los 3.000 minutos (dos días) en la segunda mitad de 2022.

Ataque DDoS Fuente: Kaspersky – Comparación de la duración del ataque DDoS: T2 2022, T2 2021 y T1 2022

En el segundo trimestre de 2022, los atacantes han llevado a cabo una preparación bastante sofisticada y el porcentaje de ataques inteligentes ha alcanzado un récord, representando casi el 50% del total.

Ataque DDoS

Fuente Kaspersky – El porcentaje de ataques DDoS inteligentes: T2 2022, T2 2021 y T1 2022

Los datos ilustrados destacan, aún más, que los ataques DDoS pueden comprometer la seguridad de nuestras organizaciones y, por lo tanto, es fundamental anticiparlos: monitorizando a fondo los sistemas; adoptando buenas prácticas; preparándose con un potente cortafuego para aplicaciones web con la función anti-DDoS; desarrollando un mejor sistema de defensa. Es decir, se trata de garantizar una ciberresiliencia como síntesis calibrada de un enfoque de Seguridad Predictiva, Preventiva y Proactiva que presupone la implementación de los principios de gestión del riesgo, continuidad de negocios y ciberseguridad.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant

En posesión de la certificación de Continuidad de Negocio - AMBCI BCI, UK y CBCP DRI, USA, Risk Management FERMA Rimap, consultor de Business Continuity & Risk Management, realiza actividades de difusión y desarrollo de la cultura de resiliencia en diversas instituciones y universidades