Seguro que habéis visto la expresión en más de una ocasión en las noticias, «tal o cual página web de una empresa ha sufrido un ataque DDoS», pero no tenéis muy claro a qué se refieren con este tipo de ataque. Por ello, en este artículo explicaremos qué es un ataque DDoS, cómo funciona y cómo evitar un ataque DDoS.
En este artículo hablamos de:
¿Qué es un ataque DDoS?
DDoS responde a las siglas de denegación de servicio distribuido y se trata de un ataque al servidor de una página web o plataforma con el objetivo de dejarla sin servicio, para ello se genera un gran flujo de información desde varios puntos de conexión (ya sean ordenadores y otros dispositivos conectados a Internet) hacia un mismo punto de destino, el propio servidor de la web o plataforma.
Para entenderlo, imaginaros la puerta de entrada a una tienda. Normalmente, cualquiera puede entrar y salir de la tienda por esa puerta con facilidad. Ahora imaginad que la tienda anuncia una gran campaña de descuentos para un día concreto y de repente se agolpan en la puerta cientos de personas, hasta el punto de que bloquean el paso al interior de la tienda o hacen que este sea más lento. Pues un ataque DDoS funciona de la misma forma, solo tenéis que cambiar la puerta de entrada por el servidor y a las personas por las peticiones de acceso que llegan al servidor.
El resultado de los ataques DDoS online es que los usuarios legítimos del servicio, página web, aplicación, etc., no pueden acceder a ellos o, si lo hacen, es con dificultad y lentitud. En muchos casos, un ataque DDoS puede paralizar la actividad de un sitio online o de una empresa, si esta depende de conexiones a servicios en la nube, por ejemplo.
¿Qué provoca un ataque DDoS?
Generalmente, el objetivo al atacar servicios online mediante DDoS es impedir el funcionamiento normal de la web o plataforma, provocando una denegación de servicio total. Pueden afectar a cualquier compañía, organismo o entidad que tenga una página web, una plataforma digital o servicios online.
Habitualmente, las razones detrás de un ataque DDoS suelen responder a tres objetivos:
- Financieros: En este caso, el ataque se produce para extorsionar a las empresas, de manera que paguen un rescate a cambio de no ejecutar o detener un ataque DDoS a sus sitios web.
- Políticos: También encontramos ataques con fines políticos, para protestar por algo o mostrar apoyo de determinados movimientos. Ejemplo de ello son los ataques llevados a cabo por el grupo Anonymous.
- Para demostrar que se puede: No es poco habitual que los hackers realicen este tipo de ataques solo para demostrar que pueden hacerlo, para tener sensación de poder y para divertirse. Es el caso de Mafiaboy, un joven de 16 años que en el año 2000 consiguió tumbar el sitio web de CNN.
Aunque estos son los motivos más habituales, no son los únicos, puesto que «cualquiera» puede pagar para que se lleve a cabo un ataque DDoS, desde dueños de empresa para afectar a su competencia, pasando por gamers competitivos para derrotar a sus oponentes, hasta simples ataques por venganza.
¿Cómo funciona el ataque DDoS?
Los ataques de denegación de servicio distribuido funcionan porque los recursos de red, como los servidores web, solo pueden atender simultáneamente un número limitado de solicitudes. A este límite, además, hay que sumarle que el canal que conecta con Internet también tiene un límite de ancho de banda o capacidad. Si el número de solicitudes que recibe el servidor supera la capacidad de esos límites, el servicio se verá afectado de dos formas posibles:
- Que la respuesta a las solicitudes sea más lenta de lo habitual, es decir, tardaremos más en poder entrar en la web afectada y la navegación por ella será más lenta.
- Que se ignoren algunas o todas las solicitudes de acceso, es decir, que directamente no se pueda acceder a la web o plataforma.
Para realizar estos ataques DDoS los ciberdelincuentes recurren a la utilización de botnets, redes de ordenadores zombis constituidas por un gran número de equipos infectados por un malware que permite el control remoto de dichos equipos, de manera que las peticiones de acceso al servidor objetivo se envíen desde todos estos miles de equipos infectados, haciendo más difícil que las medidas de seguridad marquen las peticiones como ilegítimas.
Lo normal es que los usuarios no sepan que su ordenador ha sido infectado por malware y se ha convertido en parte de una botnet.
Además, los ordenadores ya no son solo los únicos equipos que pueden ser infectados, sino que cualquier dispositivo conectado a la Red puede ser susceptible de convertirse en un zombi de la red y ser usado en un ataque DDoS. Es el caso, por ejemplo, de los dispositivos IoT (internet de las cosas), que en muchas ocasiones son más vulnerables y están más desprotegidos frente a infecciones de malware.
Los ataques DDoS se clasifican en 3 categorías diferentes:
- Ataques en la capa de aplicación: Son los ataques más simples e imitan las solicitudes normales al servidor desde el equipo infectado. A medida que el ataque avanza, aumenta el volumen de solicitudes aparentemente legítimas y el servidor comienza a colapsar.
- Ataques de protocolo: Este ataque se aprovecha del procesamiento de los servidores para sobrecargar y colapsar al objetivo del DDoS.
- Ataques volumétricos: En este ataque lo que se ve afectado es el ancho de banda disponible del servidor.
Dentro de estas categorías, existen diferentes técnicas o tipos de ataque DDoS que se pueden llevar a cabo, como, por ejemplo, ataques DDoS de inundación UDP, ataques DDoS de inundación SYN o ataques DDoS de protocolo.
¿Cuánto puede durar un ataque DDoS?
Un ataque DDoS puede durar desde segundos (cuando el sistema de protección de ataques DDoS es potente y efectivo) hasta varios minutos. Aunque también ha habido casos de ataques de denegación de servicio que han durado horas; uno de los más recientes registrados y confirmados por Imperva (una compañía de software y ciberseguridad), duró cuatro horas.
Por lo tanto, este tipo de ataques no tienen una duración determinada, sino que se mantienen hasta que se consigue eliminar el problema.
¿Cómo evitar un ataque DDoS?
Evitar ataques DDoS es complicado, porque el servidor va a recibir esas oleadas de petición ilegítimas una vez puesto en marcha el ataque. Pero lo que sí podemos hacer es prepararnos y prevenir un ataque DDoS y sus consecuencias, para minimizarlas.
En caso de que la web esté alojada en la red interna de la empresa, se deben incorporar elementos de protección perimetral para protegerla, como:
- Ubicar el servidor web entre cortafuegos, lo que se llama una zona desmilitarizada (o DMZ), de manera que se pueda evitar que un intruso acceda a la red interna si vulnera el servidor web.
- Implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que lleve a cabo una monitorización de las conexiones y nos alerte si se detectan intentos de acceso no autorizados o mal uso de protocolos.
- Utilizar software con funcionalidad mixta, es decir, que convine antivirus, cortafuegos y otras medidas para gestionar de manera unificada la mayoría de las amenazas que pueden afectar a la web.
- La combinación de los elementos citados anteriormente, ya sea un software o un hardware, y su correcta configuración pueden reducir las posibilidades de sufrir ataques DDoS.
Si nuestra web está alojada en un servicio de posting, entonces deberemos informarnos sobre las medidas de seguridad que tiene implementadas el proveedor.
Otra medida preventiva y eficaz es asegurarnos de que contamos con el mayor ancho de banda posible, de manera que se puedan gestionar mejor los picos de tráfico que causan los ataques DDoS.
También es recomendable contar con redundancia y balance de carga. Lo primero hace referencia a tener el activo duplicado en más de un servidor y lo segundo a la capacidad de asignar a un servidor u otro en función de la carga de trabajo que se esté soportando. Tener más de un servidor reducirá la posibilidad de que se detenga el servicio por una sobrecarga de peticiones. Además, en caso de que caiga un servidor, el trabajo lo asumirá el otro servidor.
Recurrir a soluciones de seguridad basadas en la nube es otra opción para protegernos de cara a ataques de denegación de servicio. Cualquier servicio web puede contratar cortafuegos de aplicación o WAF (web application firewall). Los WAF actúan como intermediarios entre nuestra web y los usuarios, ciberdelincuentes o bots, de manera que ante cualquier indicio de ataque, actuarán y evitarán que las conexiones ilegales o maliciosas lleguen al sitio web, evitando la denegación de servicio.
Finalmente, no se nos puede olvidar la necesidad de mantener actualizados todos nuestros sistemas, de manera que estén preparados para detectar las amenazas más actuales, entre los que se incluyen el ataque DDoS a una IP para bloquearla.
¿Qué ataque es más grave DoS o DDoS?
Si bien un ataque DoS (ataques de denegación de servicio) y un ataque DDoS tienen objetivos similares y funcionan bajo las mismas premisas, existen diferencias entre ellos, entre ellas, la gravedad.
Un ataque DoS es un método de ataque de menor intensidad que un ataque DDoS, puesto que se lleva a cabo desde un solo equipo u ordenador (es decir, no recurre a un ejército de botnets), esto hace, además, que sea más fácil de identificar la dirección IP desde la que se está produciendo el ataque y, consecuentemente, bloquearlo. Por lo tanto, es mucho más grave un ataque DDoS que un ataque DoS, por su alcance, su complejidad y sus consecuencias.