Puede protegerse de los robos de identidad manteniendo seguros su número de la seguridad social y otros documentos confidenciales, revisando sus informes crediticios con regularidad, utilizando
Un ataque de denegación de servicio distribuido (DDoS) supone un intento de interrumpir el tráfico normal de un servidor objetivo. Se consigue superando la capacidad de un servidor, un servicio o una red con un volumen inmenso de tráfico de Internet. Así, el servidor se ralentiza o se bloquea por completo. Imagínese un atasco en el que todos los coches de la carretera tengan que reducir la velocidad o detenerse. En lugar de ralentizar o detener los vehículos, un ataque DDoS ralentiza o detiene el tráfico web, lo que hace que un sitio web o una aplicación se ejecute con lentitud o se bloquee por completo.
¿Cómo funcionan los ataques DDoS?
Los recursos de red solo pueden gestionar un número finito de solicitudes, y los servidores tienen un ancho de banda limitado. Esto significa que el nivel de servicio disminuirá cada vez que el volumen de tráfico exceda el límite de capacidad.
Por lo general, el objetivo final de un atacante es obstruir por completo el funcionamiento normal de la fuente web. Además, el atacante también podría exigir un pago para poner fin al ataque. El ataque también podría ser un intento de desacreditar o dañar la reputación de una empresa.
Los ataques DDoS se perpetran con redes de máquinas, llamadas bots, conectadas a Internet. Estas redes están compuestas por ordenadores y otros dispositivos, como los dispositivos de Internet de las cosas (IdC), infectados con malware. A un conjunto de bots se les llama “botnet”. Cuando se crea una botnet, el atacante puede controlar el ataque dando comandos a cada bot de forma remota.
Cuando una botnet tiene como objetivo un servidor o una red, cada bot envía consultas a la dirección IP. Esto es lo que hace que el servidor o la red se vean sobrepasados, lo que resulta en un ataque DDoS sobre el tráfico normal. Dado que cada bot es un dispositivo de Internet legítimo, distinguir el tráfico de ataque del tráfico normal puede llegar a ser difícil.
Tipos de ataques DDoS
Aunque la mayoría de los ataques DDoS implican inundar de tráfico un dispositivo o una red objetivo, hay tres tipos principales de ataques y, dentro de cada tipo, varios subtipos.
1. Ataques basados en volúmenes (volumétricos)
Un ataque volumétrico intenta sobrepasar el ancho de banda de una red enviando mucho tráfico o muchas solicitudes al objetivo. Estos ataques buscan llevar al límite la capacidad del objetivo con intención de ralentizar o detener por completo sus servicios. El tamaño de la solicitud suele ser de cientos de gigabits por segundo (Gbps). Recientemente, los ataques más nuevos han superado el terabyte por segundo (Tbps).
Los ataques volumétricos son habituales porque los obstáculos técnicos a la producción de un volumen excesivo de solicitudes son menores. La mayoría de las veces, los atacantes utilizarán tácticas de amplificación sencillas. Cuando se utiliza este tipo de táctica, el tráfico proviene de varias fuentes, como direcciones IP o redes, lo que hace que la mitigación manual de los ataques volumétricos sea más difícil.
Amplificación de DNS
La amplificación de los sistemas de nombres de dominio (DNS) es un subtipo de ataque volumétrico. Durante este tipo de ataque volumétrico, los atacantes hacen uso de las prestaciones de los servidores DNS abiertos. Una vez dentro, el atacante sobrepasa al servidor o los servidores de destino con un volumen excesivo de tráfico, lo que hace que el servidor y la infraestructura circundante queden inaccesibles.
Inundación de UDP
Una inundación UDP es otro subtipo de ataque volumétrico. Durante este tipo de ataque, el atacante envía una inmensa cantidad de paquetes de protocolo de datagramas de usuario (UDP) al servidor objetivo, con el fin de sobrepasar la capacidad para procesar solicitudes y responder a estas del dispositivo. Esto puede provocar que el firewall que protege el servidor objetivo no dé abasto y se deniegue el servicio al tráfico legítimo.
2. Ataques de protocolo
Un ataque de protocolo utiliza solicitudes de conexión maliciosas que aprovechan las interacciones de los protocolos para probar, utilizar y agotar la capacidad de diferentes recursos de la infraestructura de red, incluidos los servidores y los firewalls.
Inundación SYN
Una inundación SYN es un subtipo de ataque de protocolo que busca agotar por completo los recursos del servidor para que no esté disponible para el tráfico legítimo. Los atacantes pueden superar la capacidad de todos los puertos abiertos de un servidor enviando paquetes de solicitud de conexión inicial (SYN) con frecuencia. Como resultado, el dispositivo objetivo responde al tráfico legítimo de forma lenta o, directamente, no lo hace.
Ping de la muerte
Otro subtipo de ataque de protocolo es el llamado “ping de la muerte”. Cuando se produce este tipo de ataque, el atacante envía un gran paquete de datos maliciosos al servidor objetivo mediante una simple demanda de ping. Lo que se envía es significativamente mayor de lo que el servidor puede gestionar, por lo que el servidor se bloquea, se desestabiliza o deja de funcionar.
3. Ataques a la capa de aplicaciones
El objetivo de un ataque a la capa de aplicaciones es agotar los recursos del objetivo para causar una denegación de servicio. El objetivo de estos ataques es dirigirse a la capa donde se crean las páginas web en el servidor. El coste de procesar una única solicitud HTTP es bajo para el cliente, pero el coste de responder en el servidor de destino puede ser elevado. Esto se debe a que el servidor carga con frecuencia varios archivos y consultas de bases de datos para generar una página web. La mitigación de los ataques a la capa de aplicaciones es complicada, igual que lo es distinguir entre tráfico malicioso y legítimo.
Inundación HTTP
Un ataque de inundación de protocolos de transferencia de hipertexto (HTTP) es un subtipo de ataque a la capa de aplicaciones que tiene como objetivo superar la capacidad de un servidor de destino con solicitudes HTTP. La denegación de servicio se produce cuando el objetivo se satura de solicitudes y ya no puede reaccionar ante el tráfico legítimo.
Ataques “low and slow”
Los ataques “low and slow”, también conocidos como “ataques lentos”, son otro subtipo de ataques a la capa de aplicaciones. Se trata de un ataque furtivo contra el servidor objetivo. Se envía lo que parece ser tráfico legítimo a un ritmo extremadamente lento, lo que hace que sea difícil distinguirlo del tráfico normal. Por este motivo, este tipo de ataque permanece indetectable durante largos períodos de tiempo.
Cómo identificar un ataque DDoS
Aunque los cibercriminales a veces amenazan a los objetivos antes de lanzar un ataque DDoS, muchas veces se perpetran sin previo aviso. Además, pueden pasar varias horas entre el momento en que el personal de seguridad detecta un ataque DDoS y el momento en que lo mitiga. Esto puede ocasionar varias horas de servicio lento, o el bloqueo de un sitio web o una aplicación, lo que puede afectar significativamente a las impresiones de los usuarios sobre el sitio y las ventas.
A continuación, indicamos algunas señales de advertencia que podrían señalar un ataque DDoS en curso.
- El análisis de registros muestra picos inusuales de tráfico, pero no puede identificar explicaciones plausibles.
- Empieza a recibir informes de los clientes sobre un rendimiento lento del sitio web. Además, si utiliza la misma conexión para la red interna, los empleados también comenzarán a notar estos problemas de lentitud.
- Su servidor responde con un Error 503 – No disponible. Cuando el volumen de tráfico disminuye, este error suele desaparecer. Si después de un tiempo el error persiste, algo va mal.
- Algunas direcciones IP solicitan varias veces muchas conexiones en un corto período de tiempo.
- Los usuarios internos informan de un acceso lento a los archivos o no pueden acceder a ellos.
- El sistema de correo electrónico está sobrecargado de correos electrónicos no deseados.
Cómo mitigar los ataques DDoS
Diferenciar entre el tráfico malicioso y el legítimo es una cuestión clave a la hora de mitigar un ataque DDoS. A continuación, le presentamos algunas formas de mitigar los ataques DDoS.
Elabore un plan de respuesta a los ataques DDoS
Si tiene todo preparado para un ataque DDoS antes de que ocurra, sabrá exactamente qué hacer si se produce uno. En su plan de respuesta a los ataques DDoS, debe incluir una lista de verificación con todos los pasos que debe seguir, con quién debe ponerse en contacto y las herramientas que debe utilizar. El plan de respuesta debe especificar también las responsabilidades de cada persona del equipo. Al asignar responsabilidades desde el principio, todos los miembros de su equipo sabrán qué hacer cuando se identifique un ataque DDoS. Disponer de un plan de respuesta podría mitigar un ataque DDoS antes de que se produzca un daño permanente a la organización.
Supervise el tráfico
Los ataques DDoS interrumpen el tráfico de un servidor objetivo sobrepasando su capacidad con un volumen inmenso de tráfico de Internet. Si supervisa continuamente el tráfico de su servidor o red con herramientas específicas, puede identificar cada vez que el tráfico alcance un determinado umbral con alertas o notificaciones. Estas herramientas no solo le ayudan a identificar los ataques DDoS desde el principio, sino que también le ayudan a mitigar los daños.
Limitación de volumen
Como los ataques DDoS utilizan botnets para superar la capacidad de los servidores objetivo, resulta muy útil limitar el volumen de solicitudes que un usuario o un bot pueden realizar controlando el tiempo entre cada solicitud hecha desde cada dirección IP. Cuando se realizan demasiadas solicitudes en un determinado período de tiempo desde una única dirección IP, la herramienta de limitación de volumen las bloquea.