Alterar el tráfico de un servidor puede conllevar serias consecuencias. Con un ataque DDoS, los ciberdelincuentes fuerzan páginas web offline y las hacen inaccesibles para su público. Al enviar un tráfico inflado artificialmente, pueden terminar bloqueando aplicaciones e incluso cerrando páginas famosas. Pero, ¿en qué consiste un ataque DDoS y cómo puede prevenirse?
En un ataque DDoS (Distributed Denial of Service), el perpetrador intenta desatar el caos en una página o aplicación al impedir que sus usuarios acceden a ellas. Lo anterior puede conseguirse explotando los puntos débiles del sistema y saturando los servidores con un volumen de tráfico masivo.
La mayoría de los ataques DDoS consisten en crear una especie de atasco de tráfico online infranqueable, que sobrecarga la capacidad del sitio para manejar solicitudes nuevas y legítimas.
Desde los ciberdelincuentes que atacan empresas hasta gobiernos que sabotean mensajes de protestas en aplicaciones, existen muchas formas de lanzar este tipo de ataques. Por ejemplo, pueden optar por codificar bugs o enrutar el tráfico a través de una botnet. Sin embargo, el objetivo siempre es el mismo: dañar o perjudicar el rendimiento del servidor.
¿Qué es una botnet?
Una de las estrategias DDoS más sencillas es el ataque volumétrico, un método que se sustenta sobre una botnet. Hay redes de dispositivos que pueden emplearse para enviar decenas o cientos de miles de peticiones a un servidor.
Para construir una botnet, el perpetrador forzará una descarga de malware en múltiples dispositivos. En la mayoría de los casos, los usuarios ni siquiera se darán cuenta de que sus teléfonos y portátiles están siendo infectados. Esto puede hacerse a través de malvertising, correos de phishing y otros métodos ilícitos.
Una vez que alguien descarga el malware del atacante, su dispositivo entra a formar parte de la botnet. El hacker puede dejar el programa malicioso en el dispositivo sin ser detectado hasta que lanza el ataque DDoS.
Cuando llega el momento, y cuenta con suficientes dispositivos infectados por el malware, el atacante lanza su asalto al servidor.
Para evitar que tu teléfono o portátil termine formando parte de una botnet, sigue los siguientes principios:
Presta atención a los correos sospechosos que contienen enlaces.
Evita hacer clic en anuncios de internet incluso en páginas de confianza.
Utiliza un servicio como CyberSec para monitorizar contenido de alto riesgo.
Actualiza tu software con regularidad.
Diferentes tipos de ataque DDoS
Aunque el resultado final siempre es el mismo, hay distintas formas de llevar a cabo un ataque DDoS.
Ataque de conexión TCP o SYN flood
Esta forma de ataque explota la conexión TCP. Lo normal es que el dispositivo del usuario envíe una petición al servidor, el cual responde preparando los elementos de la página. A continuación, el servidor envía un mensaje al dispositivo del usuario, confirmando su preparación. Una tercera comunicación debe viajar hasta el servidor para terminar el proceso y cargar la página.
Sin embargo, el tercer paso se omite en un ataque DDoS. El servidor usa los recursos para preparar los elementos de la página, pero el mensaje final nunca llega para completar el proceso. En su lugar, se inicia otra conexión TCP y otra y otra y otra. Al final, el servidor agota todos sus recursos en preparar los elementos de la página que nunca se presentan ante el usuario. Un círculo vicioso.
Ataque a la capa de aplicación
Los ataques a la capa de aplicación, también conocidos como «ataques DDoS a la capa 7», no afectan a toda una red o servidor. En cambio, se dirigen a funciones o elementos de página específicos de un sitio. Al sobrecargar ciertas funciones de la página, los atacantes consiguen que partes de la aplicación dejen de funcionar.
Además de tener un impacto dañino en el rendimiento de la página, este método ha sido usado en el pasado como forma de distracción. Obliga a los propietarios y técnicos de la página a centrarse en la función afectada mientras se lleva a cabo una brecha mayor en alguna otra parte.
Ataque volumétrico
Aquí es donde la botnet entra en acción. El atacante inicia el malware con el que ha infectado a multitud de dispositivos para enrutar su tráfico hacia un objetivo. Luego, ataca con oleadas de peticiones simultáneas.
Tal y como sugiere su nombre, el ataque se centra en el volumen de usuarios artificiales que intentan acceder a la página. Al sobrecargar el ancho de banda disponible del servidor, el atacante impide el acceso de los usuarios legítimos.
Ataque de fragmentación (teardrop)
Cuando la información viaja entre páginas web y servidores, suele fragmentarse en pequeñas partes llamadas «paquetes» para luego volver a unirse en destino. Esto crea una oportunidad para lanzar un ataque de fragmentación, también conocido como «teardrop».
Los atacantes envían deliberadamente paquetes de datos saturados que son demasiado grandes para volver a unirse. Aprovecha el bug insertado en el código IP de ciertos sistemas para negar el estado del servicio.
Cómo prevenir ataques DDoS
Como suele ser habitual en materia de ciberseguridad, no existe una solución mágica para detener estos ataques, pero sí puedes tomar varias medidas. Llevando a cabo buenas prácticas, preparándote y diseñado una estrategia de seguridad, puedes minimizar el riesgo a la vez que mitigas los posibles daños.
Crear canales overflow
Comienza con la prevención. Asegúrate de contar con servidores alternativos listos para lidiar con posibles sobrecargas (overflow), reduciendo el riesgo de que alguno de ellos falle. Construir canales extra se traduce en que si el tráfico aumenta de forma inusual, el flujo puede ser redirigido. De esta forma, el servidor principal continuará operando con normalidad y garantizará el acceso a los usuarios.
Estar al día con las actualizaciones y parches de seguridad
Los ataques DDoS suelen aprovecharse de los sistemas no actualizados y de la falta de parches de seguridad. A nivel usuario, cuanta más gente actualice sus dispositivos, menos probable es que se produzca un ataque con una botnet. Lo anterior se debe a que los malwares se nutren de los programas desactualizados.
Limitar el número de peticiones
Limita el número de peticiones que puede aceptar el servidor al mismo tiempo. Con un límite de peticiones estricto, bloquearás el ataque al servidor antes de que lo inutilice. Aunque no evitarás el resultado de negación temporal del servicio, será mucho más fácil recuperar tu página o aplicación.