Llegamos a ustedes gracias a:



Reportajes y análisis

Qué son y cómo están evolucionando los ataques DDoS

[20/04/2018] Un ataque distribuido de denegación de servicio (DDoS, por sus siglas en inglés) es cuando un atacante, o atacantes, intentan imposibilitar la entrega de un servicio. Esto se puede lograr frustrando el acceso a prácticamente cualquier cosa: servidores, dispositivos, servicios, redes, aplicaciones, e incluso transacciones específicas dentro de las aplicaciones. El ataque de DDoS proviene de múltiples fuentes, y es un sistema el que envía las solicitudes o los datos maliciosos.

En general, estos ataques funcionan al ahogar un sistema con solicitudes de datos. Esto podría estar enviando a un servidor web tantas solicitudes para atender una página que se bloquea bajo la demanda, o podría ser una base de datos golpeada con un gran volumen de consultas. El resultado es que el ancho de banda de Internet, la CPU y la capacidad RAM se ven desbordadas.

El impacto puede variar desde una pequeña molestia por servicios interrumpidos, hasta experimentar sitios web enteros, aplicaciones o incluso toda la empresa desconectados.

Síntomas del ataque DDoS

Los ataques DDoS pueden parecerse a muchos de los elementos no maliciosos que pueden causar problemas de disponibilidad -como un servidor o un sistema caído, demasiadas solicitudes legítimas de usuarios legítimos, o incluso un cable cortado. A menudo requiere un análisis de tráfico para determinar lo que ocurre con precisión.

Ataques DDoS hoy

Fue un ataque el que cambiaría para siempre la forma en que se verían los ataques de denegación de servicio. A principios de los 2000, el estudiante canadiense de secundaria Michael Calce, más conocido como MafiaBoy, golpeó a Yahoo! con un ataque distribuido de denegación de servicio (DDoS) que logró cerrar una de las principales fuentes de poder web de la época. A lo largo de la semana que siguió, Calce interrumpió con éxito otros sitios como Amazon, CNN y eBay.

Ciertamente no es el primer ataque DDoS, pero esa serie de ataques altamente públicos y exitosos transformaron los ataques de denegación de servicio de ser una novedad y molestia menor, a ser poderosos disruptores comerciales en la mente de los CISOs y CIOs para siempre.

Desde entonces, los ataques DDoS se han convertido en una amenaza muy frecuente, ya que se utilizan comúnmente para vengarse, llevar a cabo extorsiones, como un medio de activismo en línea, e incluso para librar una ciberguerra.

También se han hecho más grandes con los años. A mediados de la década de 1990, un ataque pudo haber consistido en 150 solicitudes por segundo y hubiera sido suficiente para derribar muchos sistemas. Hoy pueden superar los mil Gbps. Esto se ha visto impulsado en gran medida por el tamaño de las botnets modernas.

En octubre del 2016, el proveedor de servicios de infraestructura de Internet Dyn DNS (ahora Oracle DYN) fue atacado por una ola de consultas de DNS de decenas de millones de direcciones IP. Ese ataque, ejecutado a través de la botnet Mirai, infectó supuestamente a más de 100 mil dispositivos de IoT, incluidas cámaras e impresoras IP. En su apogeo, Mirai alcanzó los 400 mil bots. De esta manera, los servicios de Amazon, Netflix, Reddit, Spotify, Tumblr y Twitter fueron interrumpidos.

A principios del 2018 comenzó a surgir una nueva técnica DDoS. El 28 de febrero, GitHub, el servicio de control de alojamiento de versiones, fue golpeado con un ataque masivo de denegación de servicio, con 1.35 TB de tráfico por segundo. Aunque éste solo se desconectó de forma intermitente y logró vencer el ataque después de menos de veinte minutos, la magnitud de éste fue preocupante, ya que superó al ataque de Dyn, que había alcanzado un máximo de 1.2 TB por segundo.

Un análisis de la tecnología que impulsó el ataque reveló que, de alguna manera, era más simple que otros ataques. Si bien el ataque de Dyn fue producto de la botnet Mirai, que requirió malware para infestar miles de dispositivos de IoT, el de GitHub explotó servidores que ejecutaban el sistema de memoria caché Memcached, que pueden devolver grandes cantidades de datos en respuesta a solicitudes simples.

Memcached está destinado a ser utilizado solo en servidores protegidos que se ejecutan en redes internas, y generalmente cuenta con poca seguridad para evitar que los atacantes malintencionados falsifiquen las direcciones IP y envíen grandes cantidades de datos a víctimas inocentes. Desafortunadamente, miles de servidores de Memcached se encuentran en la Internet abierta, y ha habido un gran aumento en su uso en ataques DDoS. Decir que los servidores están "secuestrados" no es justo, ya que enviarán paquetes alegremente donde sea que les digan sin hacer preguntas.

Apenas unos días después del ataque de GitHub, ocurrió otro ataque DDoS basado en Memecached contra un proveedor de servicios de EE. UU. con 1.7 TB por segundo de datos.

La botnet Mirai fue significativa porque, a diferencia de la mayoría de los ataques DDoS, aprovechó dispositivos de IoT vulnerables en lugar de computadoras y servidores. Es especialmente aterrador cuando se considera que para el 2020, según BI Intelligence, habrá 34 mil millones de dispositivos conectados a Internet y la mayoría (24 mil millones) serán dispositivos de IoT.

Desafortunadamente, Mirai no será la última botnet impulsada por IoT. Una investigación entre los equipos de seguridad de Akamai, Cloudflare, Flashpoint, Google, RiskIQ y Team Cymru descubrió una botnet de tamaño similar, denominada WireX, que consta de 100 mil dispositivos Android comprometidos en 100 países. Fueron una serie de grandes ataques DDoS dirigidos a proveedores de contenido y redes de entrega de contenido los que impulsaron la investigación.

Herramientas de ataque DDoS

Normalmente, los atacantes DDoS dependen de botnets -colecciones de una red de sistemas infectados con malware que son controlados de manera central. Estos puntos finales infectados suelen ser computadoras y servidores, pero cada vez son más los dispositivos móviles y de IoT. Los atacantes recolectarán estos sistemas mediante la identificación de sistemas vulnerables que pueden infectar a través de ataques de phishing, de publicidad maliciosa y otras técnicas de infección masiva. Asimismo, cada vez más, los atacantes alquilan estas redes de bots a quienes las construyeron.

Tres tipos de ataques DDoS

Hay tres clases principales de ataques DDoS. En primer lugar, están aquellos que usan cantidades masivas de tráfico falso para descargar un recurso, como un sitio web o servidor, incluidos ICMP, UDP y ataques de inundación de paquetes falsos. En segundo lugar, encontramos los que usan paquetes para apuntar a la infraestructura de red y las herramientas de administración de infraestructura. Estos ataques de protocolo incluyen SYN Floods y Smurf DDoS, entre otros. Finalmente, están los que se dirigen a la capa de aplicaciones de una organización, y se llevan a cabo mediante aplicaciones de inundación con solicitudes creadas de forma malintencionada. El objetivo es siempre el mismo: hacer que los recursos en línea sean lentos o que no respondan.

Cómo evolucionan los ataques DDoS

Como se mencionó brevemente arriba, cada vez es más común que estos ataques sean realizados por botnets alquiladas y se espera que esta tendencia continúe.

Otra tendencia es el uso de vectores de ataque múltiple dentro de un ataque, también conocido como APDoS (Advanced Persistent Denial-of-Service). Por ejemplo, un ataque APDoS podría involucrar la capa de aplicación, tales como ataques contra bases de datos y aplicaciones, así como directamente en el servidor. "Esto va más allá de los ataques de 'inundación'", señala Chuck Mackey, director administrativo de éxito de socios en Binary Defense.

Adicionalmente, Mackey explica que los atacantes a menudo no solo apuntan a sus víctimas, sino también a las organizaciones en las que dependen, tales como ISPs y proveedores de nube. "Estos son ataques de mucho alcance y alto impacto que están muy bien coordinados, añade.

Esto también está cambiando el impacto de los ataques DDoS en las organizaciones y aumentando sus riesgos. "Los negocios ya no están solamente preocupados por los ataques DDoS contra ellos, sino también por los realizados contra un gran numero de socios, vendedores y proveedores de negocio en los cuales confían y de los cuales depende, indica Mike Overly, abogado de seguridad cibernética de Foley & Lardner LLP. "Uno de los adagios más antiguos en seguridad es que una empresa es tan segura como su enlace más débil. En el entorno actual (como lo demuestran las brechas recientes), ese vínculo más débil puede ser, y con frecuencia es, uno de los que se tienen con terceros, añade.

Por supuesto, a medida que los criminales perfeccionan sus ataques DDoS, la tecnología y las tácticas no se detendrán. Como explica Rod Soto, director de investigación de seguridad de JASK, la incorporación de nuevos dispositivos de IoT, el aumento del aprendizaje automático y la inteligencia artificial jugarán un papel en el cambio de estos ataques. "Los atacantes eventualmente integrarán estas tecnologías en los ataques también, haciendo que sea más difícil para los defensores ponerse al día con los ataques DDoS, específicamente aquellos que no pueden ser detenidos por simples ACLs o firmas. Es por esto, que la tecnología de defensa DDoS también tendrá que evolucionar en esa dirección, anota Soto.