Existe un tipo de ciberataque que en muchas ocasiones resulta demasiado sencillo de ejecutar, barato de desplegar y que puede llegar a ser tanto o más efectivo que el ransomware o los wipers.
¿Qué son los ataques DDoS?
En los últimos meses, los ataques a las infraestructuras tecnológicas han tenido como protagonista a un viejo modelo de amenaza centrada en la inhabilitación de sistemas y que es conocido como DDoS —Distributed Denial of Services.
Los ataques de DDoS son ciberataques llevados a cabo desde múltiples localizaciones y que tienen como objetivo inundar de peticiones un entorno de Internet hasta dejarlo completamente fuera de servicio.
Poniendo un ejemplo trivial, es como si continuamente estuviéramos recibiendo llamadas en nuestros teléfonos móviles que se limitaran a colgar sin hacer nada más e impidiendo que pudiéramos recibir llamada legítimas (nuestra señal siempre les diría que estamos ocupados).
Ejemplos de ataques DDoS
Los casos de ataques DDoS son numerosos y bien conocidos. Solo en 2022, por ejemplo, infraestructuras en la nube de Microsoft Azure tuvieron que afrontar más de 1.500 ataques DDoS cada día. Y apenas representan una tercera parte de los sistemas que son diariamente amenazados.
Sin embargo, este ataque tardó muy poco tiempo en verse superado. En febrero de este mismo año, 2023, Cloudflare anunció que habían recibido un ciberataque que doblaba las ratios de la anterior marca.
En junio de ese mismo año, Google detuvo lo que se consideró el mayor ataque DDoS hasta esa fecha con más de 46 millones de peticiones por segundo dirigidas a una única víctima. En términos comparativos es como si un servicio de Internet recibiera en solo 10 segundos todas las peticiones que recibe la Wikipedia en un día.
Los ataques de denegación de servicios son actualmente uno de los principales recursos para inutilizar infraestructuras tecnológicas en el mundo. Dentro de la estrategia de los grupos de ciberdelincuentes prorrusos en la guerra de Ucrania han sido, y son, muy habituales. Grandes bancos de Ucrania, como PrivatBank y Oschadbank, y organismos como su Ministerio de Defensa se encuentran entre víctimas propicias durante los últimos meses.
Sin embargo, esta situación no ha quedado circunscrita a Ucrania. Grupos como Killnet o Noname057(16) han protagonizado ciberataques de DDoS en países como Italia, Finlandia, Estonia, Lituania o Letonia entre otros.
Empresas de transportes, instituciones financieras, servicios sanitarios, medios de comunicación o incluso administraciones públicas se han visto seriamente afectadas por ataques que han bloqueado sus servicios en Internet. De facto, no hay país en el mundo que pueda decir que no ha sufrido a un ciberataque de DDoS. Por ejemplo, recientemente los medios de comunicación españoles se hacían eco de cómo ADIF, Navantia o el Ministerio de Hacienda habían experimentado sendos ataques DDoS que inhabilitaron durante horas el acceso a sus servicios públicos de Internet.
¿Cómo se produce un ataque DDoS?
Cuando hablamos de ataques DDoS debemos entender que se trata de condiciones que siempre están asociadas a una saturación o bloqueo de las conexiones o de los equipos que prestan el servicio en cuestión.
De esta forma, podemos distinguir tres tipos de modelos que dan lugar a ese bloqueo: el volumen de peticiones, los ataques a los protocolos de comunicaciones o la saturación de las aplicaciones que prestan los servicios.
Tipos de ataques de DDoS
El primer modelo, el volumen de peticiones, se origina cuando se multiplican las peticiones a un servicio de Internet y, como consecuencia, se produce una saturación de las líneas de comunicaciones con tráfico basura que impide realizar peticiones de utilidad.
Sería algo similar a una persona recibiendo continuamente llamadas de teléfono de terceros.
El segundo de los métodos se basa en el aprovechar la debilidad de los protocolos de comunicación y multiplicar el tráfico de un sistema enviándole respuestas a peticiones que no ha solicitado.
Siguiendo con la analogía, sería como recibir innumerables paquetes de productos que el destinatario nunca ha solicitado.
El tercer modelo se articula a través de la creación de procesos y peticiones que consumen los recursos de los servicios, principalmente memoria y procesadores, hasta quedar completamente bloqueados. Algo así como si una cadena de producción alimentara a los operarios con más tareas que las que puede atender.
No entraremos a profundizar en los diferentes modos de generar este tipo de bloqueos en los servicios disponibles en Internet. Simplemente indicaremos que todos ellos están basados en la explotación de los protocolos UDP y TCP de Internet y que son ampliamente conocidos como ataques UDP floods, ICMP floods, SYN floods, amplificación NTP o HTTP floods, entre otros. Al final, todos ellos comparten el denominador común de hacer que el servicio quede funcionalmente inhabilitado.
¿Qué se necesita para completar un ataque DDoS?
La ejecución de un ataque DDoS no precisa de muchos recursos. Normalmente requiere la suplantación de una dirección IP (la del objetivo) y el envío, desde un único equipo, de peticiones de respuesta (SYN) a terceros (utilizando técnicas conocidas como, por ejemplo, carpet bombing) que se encargarán de enviar la información solicitada (SYN+ACK) a la verdadera dirección IP, saturando al servicio con información realmente no solicitada. Es lo que se conoce como ataques amplificados en la medida que desde un punto (en principio no localizado) se consigue que la víctima se vea bloqueada por información que proviene de múltiples direcciones IP.
Otra posibilidad de completar este tipo de ataque combina la explotación de vulnerabilidades zero-day para la incorporación de malwares en víctimas colaboradoras que hacen que estas actúen como bots y que posteriormente se encargarán de lanzar peticiones al verdadero objetivo.
La construcción de una red amplia de bots (botnet) que simultáneamente realicen esas peticiones al objetivo hará que este se vea saturado con solicitudes desde equipos que actúan como verdaderos zombis (de ahí el carácter distribuido).
Una tercera opción posible consiste en la combinación de las dos aproximaciones anteriores haciendo que concurran múltiples ataques de DDoS con mecanismos de amplificación y redes de bots con diferentes mecanismos de saturación. Todo ello utilizando solicitudes diferentes tanto de volumen de peticiones UDP o ICMP como de explotación de protocolo TCP.
Detección y respuesta a ataques DDoS
La mitigación de los ataques DDoS requiere de la supervisión y el análisis del tráfico que generan o reciben los servidores encargados de proveer los servicios en Internet.
Aspectos como la identificación de patrones comunes de tráfico en peticiones desde diferentes localizaciones, los volúmenes elevados de datos desde un único equipo, o los picos de tráfico en periodos de tiempo habitualmente poco saturados pueden ser indicadores de un ataque DDoS.
Herramienta contra el DDoS
Para combatirlo existen herramientas que ayudan a atenuar o detener su impacto.
Los IDS pueden alertar sobre este tipo de situaciones. También son útiles los balanceadores de carga que distribuyen el tráfico entre diferentes servidores para evitar su saturación. Los sistemas de firewall y soluciones anti-spoofing ayudan a distinguir fuente de datos legítimos o ilegítimos. Los gestores de ancho de banda colaboran a limitar la saturación de las comunicaciones cuando se excede los valores estimados para un servicio.
Simultáneamente existen otras aproximaciones como el blackhole routing en las que, ante el tráfico de datos maliciosos, la red es capaz de reconfigurar el servicio para desviar y rechazar ese tráfico. También la segmentación de redes puede contribuir a reducir su impacto haciendo que determinados equipos no sean accesibles desde otros equipos de la misma red.
Incluso la propia protección de los servidores deshabilitando servicios innecesarios o aplicando las actualizaciones recomendadas por los fabricantes pueden contribuir a reducir la superficie a este tipo de ataques.
Finalmente, los CDN, Content Delivery Network, o los servicios de protección DDoS en la nube son de enorme ayuda la hora de mitigar este tipo de ataque en tiempo real.
Técnicas como el scrubging —envío de todo el tráfico a un punto central donde se examina frente a ataques DDoS—, o la detección de bots a través de análisis de comportamiento para bloquear aquellos que resultan sospechosos son dos ejemplos de aproximaciones que utilizan este tipo de herramientas.
Ni fácil, ni barato
En definitiva, la defensa ante un ataque DDoS pasa por un amplio conjunto de actuaciones que combinadas pueden hacer decaer la acción de los ciberdelincuentes.
Sin embargo, y como en muchas otras situaciones, el coste de implementarlas no es comparable con el coste que se requiere para ejecutar el ataque.
Frente a lo fácil, efectivo y barato de las acciones que planifican los ciberdelincuentes, nos encontramos con toda una conjunción de herramientas, configuraciones y servicios no tan fáciles, y mucho menos baratos, de desplegar y que tienen como objetivo impedir que el ataque finalmente tenga éxito. Se trata de un desequilibrio más que conocido en el sector y con el que desafortunadamente en el mundo de la ciberseguridad siempre debemos contar. Por el momento, no nos queda otra opción… Lo dicho, por el momento.