Existen numerosas amenazas cibernéticas de las que los usuarios de Internet y los administradores de sistemas y redes deben tener cuidado, pero para quienes sus servicios funcionan en gran medida en línea, uno de los ataques más importantes que hay que conocer, debido a su creciente influencia, son los ataques de denegación de servicio, también llamado ataque DoS. Pero, ¿qué es un ataque de denegación de servicio, cómo funcionan y qué formas hay para protegerse? En este artículo respondemos a eso y mucho más.
Contenido
¿Qué es un ataque DoS?
Un ataque DoS (Denegación de Servicio por sus siglas en inglés) es un tipo de ataque a la red que se lleva a cabo enviando muchas peticiones al objetivo, lo que hace imposible que el sistema las procese a tiempo. Esto provocará que el procesamiento de las peticiones se retrase o se interrumpa.
Existe una diferencia en la manifestación del DoS desde la perspectiva de los usuarios y de las empresas. Para los usuarios, el sitio web atacado deja de mostrar contenidos aunque la conexión a Internet siga siendo estable. Para los propietarios de estos sitios web, el servidor deja de responder a las solicitudes de acceso y la capacidad de controlar los procesos se desactiva parcial o totalmente.
Objetivos de un ataque DoS
El objetivo de los ataques DoS es ralentizar gravemente o impedir que el tráfico legítimo llegue a su destino. Por ejemplo, esto podría impedir que un usuario acceda a un sitio web, compre un producto o servicio, vea un vídeo o interactúe en las redes sociales.
Además, al hacer que los recursos no estén disponibles o disminuir el rendimiento, también puede impedir que los empleados de una organización accedan al correo electrónico, a las aplicaciones web, o que lleven a cabo su trabajo con normalidad.
Los ataques DoS pueden ser lanzados por varias razones:
- Hacktivismo. Los atacantes pueden dirigir un ataque contra empresas o sitios web con los que tienen desacuerdos filosóficos o ideológicos.
- Guerra Informática. Los gobiernos pueden utilizar amenazas como DoS para dañar la infraestructura crítica de un estado enemigo.
- Extorsión. Los atacantes suelen utilizar los ataques DoS para extorsionar a las empresas.
- Entretenimiento. Muchos ataques son lanzados por hackers que simplemente buscan entretenerse causando problemas o experimentando con estas actividades.
- Competencia empresarial. Una empresa puede lanzar un ataque DoS contra otra para obtener una ventaja competitiva.
Cómo funciona
Ahora que ya tenemos más claro qué es un ataque DoS y que hay detrás, veamos cómo funciona exactamente, ya que es importante saber cómo funcionar para aprender a protegernos.
Creación de una red de bots
Para lanzar un ataque DoS, los atacantes utilizan malware para crear una red de bots, dispositivos conectados a Internet que están infectados con malware y que pueden enviar una avalancha de tráfico a los objetivos. Esta red de bots, o botnet, puede incluir puntos finales como smartphones u ordenadores personales, así como routers y servidores. Cada dispositivo infectado es capaz de propagar el malware a otros dispositivos para amplificar el tamaño de un ataque. Para el caso puntual del DoS, con un solo sistemas basta, es decir, no se necesita usar una botnet completa como sí ocurre con un DDoS.
Lanzamiento de un ataque
Una vez que un atacante ha construido una red de bots o comprometmido al menos un sistema, envía instrucciones remotas a los sistemas, ordenándoles que envíen peticiones y tráfico a un servidor, sitio web, aplicación web, API o recurso de red objetivo. Esto crea una cantidad abrumadora de tráfico que conduce a una denegación de servicio, impidiendo que el tráfico normal acceda al objetivo.
DoS como servicio
A veces las redes de bots, con sus redes de dispositivos comprometidos, se alquilan para otros ataques potenciales a través de servicios de “ataque por encargo” (llamado DDoS booter). Esto permite a personas con intenciones maliciosas pero sin formación ni experiencia lanzar fácilmente ataques DoS por su cuenta.
Diferencias entre DoS y DDoS
En un ataque de denegación de servicio distribuido, es decir un ataque DDoS, los hackers inundan un sitio web objetivo con tanto tráfico procedente de múltiples sistemas que lo hacen inaccesible para los usuarios legítimos. Un ataque DDoS es diferente de un ataque de denegación de servicio (DoS), que normalmente ataca desde un único sistema.
Dado que los ataques DDoS se originan en múltiples fuentes y envían un mayor volumen de tráfico al sistema a la vez, es difícil para los administradores detectar y eliminar rápidamente la amenaza.
Por ello, los ataques DDoS son más dañinos que los ataques DoS estándar, ya que suponen un consumo excesivo de recursos y, en ocasiones, llegan a colapsar por completo una red o un sitio web.
Cómo prevenir o mitigar un ataque DoS
En un panorama de ataques en constante evolución, la protección DoS puede mantener a salvo a las organizaciones y a sus usuarios finales. Un servicio de mitigación, como por ejemplo el ofrecido por CloudFlare o Akamai, detectará y bloqueará los ataques DoS lo antes posible, idealmente en unos pocos segundos desde el momento en que el tráfico de ataque llega.
Dado que los ataques cambian constantemente y el tamaño de los ataques es cada vez mayor, para lograr la mejor protección DoS, se debe invertir continuamente en mejorar las defenesas de nuestro servidor.
Para hacer frente a ataques grandes y complejos, se necesitan tecnologías adecuadas para detectar el tráfico malicioso e iniciar medidas defensivas para mitigar los ataques rápidamente.
Los proveedores de mitigación DoS filtran el tráfico de ataque para evitar que llegue al objetivo previsto.
Defensas basadas en CDN
Una red de distribución de contenidos (CDN) correctamente configurada puede ayudar a defenderse de los ataques. Se utiliza una CDN para acelerar específicamente el tráfico que utiliza los protocolos HTTP y HTTPS, muchos de los ataques DoS dirigidos a esa URL pueden descartarse en el borde de la red.
Esto significa que los ataques DoS de Capa 3 y Capa 4 se mitigan instantáneamente en muchos casos, ya que este tipo de tráfico generalmente no se destina a los puertos web 80 y 443. Dado que estas soluciones funcionan en línea, los activos orientados a la Web están protegidos en todo momento sin interacción humana frente a los ataques a la capa de red.
Defensas en la nube
Un servicio anti-DoS basado en la nube puede mitigar rápidamente los ataques dirigidos a activos no web, como la infraestructura de red. A diferencia de la mitigación basada en CDN, un servicio de este tipo puede implementarse en todos los puertos, protocolos y aplicaciones del data center, incluidos los servicios basados en Web e IP.
Las organizaciones dirigen su tráfico de red a la infraestructura de depuración del proveedor de mitigación de una de estas dos maneras: mediante un cambio de ruta del Border Gateway Protocol (BGP) o una redirección DNS (registro A o CNAME).
El tráfico se supervisa e inspecciona en busca de actividad maliciosa, y se aplica la mitigación cuando se identifican ataques DoS. Normalmente, este servicio puede estar disponible tanto en configuraciones bajo demanda como siempre activas, en función de la postura de seguridad preferida por la empresa, aunque cada vez son más las organizaciones que optan por un modelo de despliegue siempre activo para obtener la respuesta defensiva más rápida. Proveedores como Arbor Networks, Akamai o Radware brindan esta clase de protección.
Firewall de aplicaciones web
Para las defensas específicas de la capa de aplicación, se debe desplegar un firewall de aplicaciones web (WAF) para combatir los ataques avanzados, incluidos ciertos tipos de ataques DoS que incluyen las peticiones http, HTTP GET y las inundaciones HTTP POST, cuyo objetivo es interrumpir los procesos de aplicación de la capa 7 (modelo OSI).
Protección DoS local (on-prem)
La protección DoS «on-prem» o «on-network» implica dispositivos físicos y/o virtualizados que residen en el data center de una empresa y se integran con sus routers para detener ataques DoS maliciosos en el borde de su red. Además, la protección DoS on-prem ayuda a las empresas a evitar costes operativos relacionados con el redireccionamiento del tráfico a un centro de depuración en la nube cuando no son objetivo de ataques volumétricos.
La protección DoS local también sirve a las empresas que requieren una latencia baja con su tráfico de red. Ejemplos de estos casos de uso son las empresas que proporcionan plataformas de conferencias de voz y vídeo, servicios multimedia y plataformas de juegos, u otros servicios que tienen requisitos de latencia casi en tiempo real.
Protección DoS híbrida
Una solución de protección DoS híbrida combina las capacidades y ventajas tanto de la protección DoS local como de la protección DDoS en la nube. Una solución DoS híbrida protege la infraestructura de red de un cliente frente a la gran mayoría de pequeños ataques con dispositivos locales o en red, pero utiliza la escala y la capacidad de un centro de depuración en la nube como respaldo para ataques de gran volumen.
Señalización en la nube
La señalización en la nube (cloud signaling) es un término del sector que indica que los dispositivos locales transfieren automáticamente la huella del ataque, la firma y otra información relevante a los centros de depuración en la nube cuando dicha redirección resulta necesaria para proteger de forma óptima los activos y la infraestructura de red de un cliente frente a un ataque DoS.
Conclusión
Los ataques DoS representan una amenaza real y creciente para cualquier organización con presencia en Internet. Comprender cómo funcionan y las múltiples formas en que pueden ejecutarse es el primer paso para estar protegidos.
Afortunadamente, existen diversas estrategias de defensa, desde soluciones locales hasta servicios en la nube, que permiten mitigar estos ataques antes de que afecten gravemente a un sitio web o un servidor. Invertir en protección contra ataques DoS no es solo una cuestión técnica, sino una decisión estratégica para garantizar la disponibilidad, continuidad y confiabilidad de nuestros sitios web.
