a fondo

Ataques DDoS: Qué son, su evolución y cómo prevenirlos y mitigarlos



Dirección copiada

El objetivo principal de un ataque DDoS es sobrecargar el sistema objetivo y hacer que no esté disponible para usuarios legítimos

Actualizado el 5 jun 2024



Experiencia de cliente

Qué son y cómo nacen los ataques DDoS

Los ataques de denegación de servicio distribuido, conocidos como ataques DDoS (por sus siglas en inglés, Distributed Denial of Service), son una forma de ataque cibernético en la que se intenta abrumar un servidor, red o recurso en línea al inundarlo con una gran cantidad de tráfico falso o solicitudes maliciosas. El objetivo principal de un ataque DDoS es sobrecargar el sistema objetivo y hacer que no esté disponible para usuarios legítimos.

Dónde se producen los ataques DDoS

Según el informe Apagando fuegos: el auge de las amenazas DDoS en EMEA de Akamai, más de una cuarta parte (26%) de todos los ataques DDoS que se producen en la región se dirigen a Reino Unido, y le siguen Arabia Saudí (22%) y Alemania (9%), lo que los convierte en los tres países más atacados. La complejidad y la gravedad de los ataques DDoS han ido cambiando por motivos geopolíticos, lo que explica también el aumento del hacktivismo y de los ataques financiados por los estados. Los ataques DDoS son una estrategia recurrente de los hacktivistas y los atacantes que cuentan con el respaldo financiero de los estados, todos ellos motivados por ciertos intereses políticos. Por ejemplo, los ataques DDoS han desempeñado un papel importante en la actual guerra cibernética entre Ucrania y Rusia, ya que los hacktivistas han descubierto que son eficaces y rentables.

Funcionamiento de los ataques DDoS

El funcionamiento de un ataque DDoS implica sobrecargar un servidor, red o recurso en línea al inundarlo con una gran cantidad de tráfico malicioso. Los pasos básicos del funcionamiento de un ataque DDoS son:

  • Reclutamiento de botnets: El atacante comienza por reclutar una red de dispositivos comprometidos, conocida como botnet. Estos dispositivos pueden ser computadoras personales, servidores, dispositivos IoT (Internet de las cosas) o incluso dispositivos móviles que han sido infectados con malware.
  • Control de la botnet: Una vez que el atacante ha reclutado suficientes dispositivos en la botnet, los controla de manera remota. Puede hacerlo utilizando un servidor de comando y control (C&C) desde el cual envía instrucciones a los dispositivos comprometidos.
  • Fase de ataque: El atacante coordina la botnet para que comience a enviar una gran cantidad de tráfico malicioso al objetivo. Este tráfico puede ser en forma de paquetes de datos, solicitudes web, o cualquier otro tipo de tráfico diseñado para sobrecargar el servidor o la red objetivo. El objetivo es consumir todos los recursos disponibles y hacer que el servicio sea inaccesible para los usuarios legítimos.
  • Duración y persistencia: Los ataques DDoS pueden durar desde minutos hasta días, y algunos pueden ser persistentes, lo que significa que el atacante sigue intentando durante un período prolongado.

Impacto y consecuencias de los ataques DDoS

Los ataques DDoS pueden tener un impacto significativo en individuos, empresas, organizaciones y la infraestructura online en general. El impacto más inmediato de un ataque DDoS es la interrupción de los servicios online. Los servidores y sistemas objetivo pueden quedar abrumados por el tráfico malicioso, lo que resulta en una disminución o la indisponibilidad completa de sitios web, aplicaciones, servicios online, servidores de correo electrónico, servidores de juegos y otros recursos críticos.

Las interrupciones en los servicios online pueden llevar a grandes pérdidas económicas. Las empresas pueden perder ingresos debido a la falta de acceso de los clientes a sus servicios, y también pueden incurrir en costes adicionales para mitigar y recuperarse del ataque, además del daño reputacional que conlleva. Los clientes y usuarios pueden perder la confianza en una empresa que no puede mantener sus servicios online de manera confiable.

Los ataques DDoS pueden servir como una cortina de humo para otros ataques cibernéticos más sigilosos. Mientras que la organización se concentra en mitigar el DDoS, los atacantes pueden aprovechar para explotar vulnerabilidades o robar datos.

Por último, estos ataques pueden generar una carga adicional en la infraestructura de Internet, lo que puede afectar a otros servicios y usuarios que no están directamente relacionados con el ataque. Esto puede tener un efecto dominó y causar interrupciones adicionales en la red.

Tipos comunes de ataques DDoS

Existen varios tipos comunes de ataques DDoS, cada uno diseñado para abrumar los sistemas y servicios onlien de diferentes maneras. Algunos de los tipos más comunes son:

Ataques de inundación de tráfico:

  • Ataque de inundación SYN: Este tipo de ataque aprovecha el protocolo TCP y envía un gran número de solicitudes SYN (synchronize) al servidor objetivo sin completar el proceso de tres vías de apretón de manos, agotando los recursos del servidor y dejándolo inaccesible.
  • Ataque de inundación UDP: En estos ataques, se envían una gran cantidad de paquetes UDP (User Datagram Protocol) al objetivo, lo que puede abrumar al servidor debido a la falta de mecanismos de control de congestión.
  • Ataque de inundación ICMP: Se inundan los servidores con paquetes ICMP (Internet Control Message Protocol) falsificados, que se utilizan para realizar pruebas de ping y trazar rutas de red. Estos paquetes pueden sobrecargar los recursos del servidor.

Ataques de agotamiento de recursos:

  • Ataque de agotamiento de ancho de banda: El atacante consume todo el ancho de banda disponible del servidor o de la red, lo que hace que los usuarios legítimos no puedan acceder a los servicios.
  • Ataque de agotamiento de recursos del servidor: Se centra en consumir la capacidad de procesamiento, la memoria o los recursos del servidor objetivo, lo que puede hacer que el servidor se vuelva lento o inaccesible.

Ataques de capa de aplicación:

  • Ataque de inundación HTTP/HTTPS: Se enfoca en el agotamiento de los recursos del servidor web al enviar una gran cantidad de solicitudes HTTP o HTTPS. Puede incluir ataques de solicitud GET, POST y otras solicitudes válidas.
  • Ataque de amplificación DNS: En estos ataques, el atacante explota servidores DNS mal configurados para inundar al objetivo con respuestas DNS amplificadas, lo que puede causar una sobrecarga significativa.

Ataques de protocolo y vulnerabilidad:

  • Ataque de amplificación NTP: Utiliza servidores Network Time Protocol (NTP) mal configurados para amplificar el tráfico al objetivo.
  • Ataque de amplificación LDAP: Explota servidores Lightweight Directory Access Protocol (LDAP) para amplificar el tráfico.
  • Ataque de amplificación SSDP: Utiliza el protocolo Simple Service Discovery Protocol (SSDP) para amplificar los ataques.

Ataques de reflexión:

Estos ataques involucran a servidores intermedios, como servidores DNS o servidores NTP, que son utilizados para amplificar el tráfico dirigido al objetivo. El atacante falsifica la dirección IP de origen en las solicitudes, de modo que las respuestas se envían al objetivo, amplificando el ataque.

Diferencias entre ataques DDoS y ataques de denegación de servicio (DoS)

Las diferencias clave entre los ataques de denegación de servicio (DoS) y los ataques de denegación de servicio distribuido (DDoS) radican en la naturaleza y el alcance de los ataques, así como en la forma en que se llevan a cabo.

En un ataque DoS, el tráfico malicioso proviene de una sola fuente o un conjunto limitado de fuentes, mientras que, en el DDoS, el tráfico malicioso proviene de múltiples fuentes distribuidas en diferentes ubicaciones geográficas. Asimismo, los ataques DoS tienden a ser de menor escala en comparación con los ataques DDoS, que pueden involucrar miles o incluso millones de dispositivos distribuidos en todo el mundo.

Ataques DDoS

En cuanto a la técnica, los ataques DoS suelen centrarse en una sola táctica, como inundaciones de tráfico, agotamiento de recursos del servidor o ataques de capa de aplicación; mientras que los DDoS pueden incluir una variedad de técnicas, que a menudo se combinan para aumentar la efectividad del ataque. Debido a su escala limitada y origen único o limitado, los ataques DoS son más fáciles de mitigar en comparación con los DDoS.

Herramientas y técnicas utilizadas en ataques DDoS

Los atacantes utilizan una variedad de herramientas y técnicas para llevar a cabo ataques DDoS. Entre las principales herramientas se encuentran los botnets, redes de dispositivos comprometidos que pueden ser controlados de forma remota por el atacante. Los dispositivos en la botnet son utilizados para generar y enviar tráfico malicioso al objetivo. También están las herramientas de amplificación, que aprovechan protocolos y servicios que permiten la amplificación de tráfico, -algunos ejemplos incluyen servidores DNS mal configurados, servidores NTP, servidores LDAP, entre otros-; y las herramientas de generación de tráfico, que permiten a los atacantes generar y enviar grandes volúmenes de tráfico de manera eficiente.

Entre las técnicas más utilizadas se encuentran la de enviar una gran cantidad de paquetes de datos al objetivo, sobrecargando su capacidad de procesamiento y ancho de banda, -algunas variaciones de inundación de tráfico incluyen el ataque SYN flood, el ataque UDP flood y el ataque ICMP flood-. Consumir los recursos del servidor objetivo, como la CPU, la memoria y otros recursos, -puede incluir ataques que agotan la capacidad de procesamiento, como el ataque Slowloris, o ataques que agotan la memoria, como el ataque del espacio de usuario y otros-.

Entre los tipos de ataques DDoS los ciberdelincuentes pueden realizar: ataques de capa de aplicación, que se centran en explotar vulnerabilidades en la capa de aplicación de un servidor web, como inundar el servidor con solicitudes HTTP/HTTPS válidas pero intensivas en recursos.

También existen los Ataques de reflexión, que aprovechan servidores intermedios, como servidores DNS, servidores NTP o servidores LDAP, para amplificar el tráfico dirigido al objetivo.

Y por último, ataques híbridos, ya que, en algunos casos, los atacantes combinan varias técnicas y herramientas para aumentar la efectividad de los ataques DDoS. Por ejemplo, pueden utilizar una botnet para llevar a cabo un ataque de inundación de tráfico mientras explotan vulnerabilidades de capa de aplicación en el servidor objetivo.

Detección y prevención de ataques DDoS

La detección y prevención de ataques DDoS son fundamentales para proteger los sistemas y servicios online. Algunos de los métodos para detectar un posible ataque DDoS son la monitorización constante del tráfico de red, el análisis de patrones anómalos, utilizando sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS); y el análisis de registro de del servidor web y de red.

Por otro lado, para prevenir ser víctima de un ataque DDoS en la nube, es importante utilizar servicios de mitigación de DDoS proporcionados por proveedores de servicios en la nube. También es efectivo utilizar múltiples servidores y sistemas en diferentes ubicaciones geográficas. Esto permite distribuir la carga y minimizar el impacto de un ataque DDoS en un solo servidor.

Por último, pasos como filtrar el tráfico implementando, por ejemplo, limitaciones de tasa y ancho de banda; utilizar firewalls de próxima generación y sistemas de detección de intrusiones (IDS/IPS), contar con un plan de respuesta a incidentes, -esto incluye la notificación de proveedores de servicios de Internet (ISP) y la coordinación con proveedores de servicios de mitigación de DDoS si es necesario-; y mantener el software y el sistema actualizados con los últimos parches de seguridad, se tornan esenciales para blindarse contra los ataques DDoS, sin olvidar la educación y la concienciación del personal.

Denegación de servicio involuntaria

La denegación de servicio involuntaria se refiere a situaciones en las que un sistema, red o servicio online experimenta una interrupción o falta de disponibilidad debido a problemas técnicos, errores humanos o incidencias inesperadas, como una sobrecarga de la red, problemas de capacidad de la esta o fallos en la energía o la infraestructura. A diferencia de DoS o DDoS, donde un atacante busca deliberadamente interrumpir un servicio, la denegación de servicio involuntaria no tiene intenciones maliciosas detrás de ella.

Casos de estudio: ejemplos de ataques DDoS famosos

A lo largo de los años, ha habido varios ataques DDoS famosos que han afectado a empresas, organizaciones e incluso países enteros. Algunos de los casos de estudio más conocidos son:

Estonia (2007): En 2007, Estonia experimentó una serie de ataques DDoS masivos dirigidos contra sitios web gubernamentales, instituciones financieras y medios de comunicación. Los ataques se consideraron un conflicto cibernético a gran escala y se cree que estuvieron relacionados con tensiones políticas entre Estonia y Rusia.

PlayStation Network y Xbox Live (2014): Durante la Navidad de 2014, los servicios en línea de PlayStation Network y Xbox Live fueron víctimas de ataques DDoS coordinados que dejaron a los jugadores incapaces de acceder a los servicios en línea durante varios días. Un grupo de hacktivistas autodenominado “Lizard Squad” se atribuyó la responsabilidad.

BBC (2015): En diciembre de 2015, la BBC experimentó un ataque DDoS que interrumpió el acceso a su sitio web y servicios en línea. Aunque el grupo “New World Hacking” afirmó ser el responsable, no estaba claro cuál era su motivo.

Dyn (2016): En octubre de 2016, un masivo ataque DDoS afectó al proveedor de servicios de DNS Dyn, lo que resultó en la inaccesibilidad de sitios web populares como Twitter, Reddit, Netflix, y otros. El ataque se llevó a cabo utilizando una botnet de dispositivos IoT comprometidos, y resaltó la vulnerabilidad de la infraestructura crítica de Internet.

Red de telecomunicaciones de Liberia (2016): En noviembre de 2016, Liberia experimentó un ataque DDoS que afectó a su infraestructura de telecomunicaciones y causó una interrupción generalizada de Internet en el país. El ataque se atribuyó a un grupo de ciberdelincuentes.

GitHub (2018): En 2018, GitHub, una plataforma de desarrollo de software, sufrió uno de los mayores ataques DDoS registrados en la historia. El ataque alcanzó un pico de tráfico de 1.35 terabits por segundo. GitHub logró mitigar el ataque en aproximadamente 10 minutos.

Ataques DDoS

Impacto legal y regulaciones relacionadas con ataques DDoS

El impacto legal y las regulaciones relacionadas con los ataques DDoS varían de un país a otro y dependen de las leyes locales, nacionales e internacionales. La gran mayoría de los ataques DDoS son ilegales en casi todos los países. Muchos países han implementado leyes y regulaciones específicas para combatir la ciberdelincuencia, que incluyen ataques DDoS.

En este sentido, la Convención de Budapest sobre Ciberdelincuencia estableció, el 23 de noviembre de 2001, estándares y directrices para la lucha contra la ciberdelincuencia, lo que incluye la persecución de ataques DDoS transfronterizos. Varios países han ratificado este tratado y trabajan juntos en la aplicación de sus disposiciones.

En ciertos sectores, como el financiero y la Sanidad, existen regulaciones específicas que requieren medidas de seguridad y notificación de incidentes en caso de un ataque DDoS. En algunos lugares, los ISP pueden tener la obligación de ayudar a mitigar los ataques DDoS y cooperar con las autoridades en la identificación de los atacantes.

Tendencias y evolución de los ataques DDos

Los ataques DDoS continúan evolucionando a medida que los atacantes desarrollan nuevas técnicas y aprovechan las vulnerabilidades emergentes en la infraestructura de Internet y las redes. La magnitud de los ataques es cada vez mayor, los atacantes utilizan botnets más grandes y técnicas de amplificación para aumentar su magnitud. Asimismo, han mejorado sus técnicas de amplificación, explotando protocolos y servicios vulnerables que les permiten generar un gran volumen de tráfico con relativamente pocos recursos.

Los ataques de capa de aplicación han ganado popularidad. Estos ataques se centran en vulnerabilidades de aplicaciones web y pueden ser más difíciles de detectar y mitigar, ya que simulan el tráfico legítimo.

Los dispositivos de Internet de las cosas (IoT) se han convertido en una fuente importante de recursos para los atacantes. Las botnets IoT están formadas por dispositivos comprometidos, como cámaras de seguridad, enrutadores y termostatos, que se utilizan en ataques DDoS. También algunos atacantes han desarrollado ataques DDoS de “estado persistente”, que buscan mantener una interrupción constante de los servicios en línea durante largos períodos. Estos ataques pueden ser más difíciles de mitigar.

Los ciberdelincuentes a veces exigen un rescate en criptomonedas, como Bitcoin, a cambio de detener un ataque DDoS. Esto se conoce como extorsión DDoS y es una táctica que algunos atacantes utilizan para obtener beneficios financieros.

A menudo, los ataques DDoS se utilizan como una distracción para encubrir otros ciberataques, como intrusiones en sistemas o robo de datos. Lo suelen hacer mediante herramientas y servicios de automatización para lanzar ataques DDoS sin la necesidad de una gran habilidad técnica.

Algunos ataques DDoS involucran a múltiples actores que trabajan juntos en un enfoque coordinado, lo que puede hacer que los ataques sean más difíciles de mitigar.

Cómo mitigar un ataque DDoS

La mitigación de DDoS es el proceso de proteger un servidor o red de ataques de denegación de servicio distribuido (DDoS) mediante equipos especializados o servicios en la nube. Este proceso mitigar un ataque DDoS incluye cuatro etapas clave: detección, respuesta, enrutamiento y adaptación. En la detección, se distingue entre un ataque y un aumento legítimo de tráfico usando patrones de ataques previos y la reputación de IP. La respuesta implica bloquear el tráfico malicioso y permitir el legítimo mediante reglas de filtrado. El enrutamiento divide el tráfico permitido en partes manejables para prevenir la sobrecarga. Finalmente, la adaptación analiza patrones de ataque para fortalecer la defensa contra futuros ataques.

Artículos relacionados

Artículo 1 de 3