Análisis en profundidad

Ataque DDoS (Distributed Denial of Service): qué es, cómo se hace, cómo defenderse

Los ataques de denegación de servicio (DDoS) son una de las principales ciberamenazas. Aquí está todo lo que necesita saber

15 Nov 2021

Rosita Rijtano

DDoS

Una amenaza informática tan sencilla de poner en práctica como efectiva: capaz de hacer caer en picadA a una empresa, o a infraestructuras críticas como hospitales y aeropuertos, en cuestión de segundos. Son los ataques Ddos.

Ataque DDoS, qué es y en qué consiste

El acrónimo significa Distributed Denial of Service, y consiste en asaltar un sitio con peticiones, hasta dejarlo fuera de combate e inalcanzable. Según los últimos datos de Clusit, la asociación italiana de seguridad informática, se encuentra entre los ataques que afectan a una empresa cada cinco minutos junto con el malware y el ransomware. Y si su uso ha disminuido respecto a años anteriores, registrando un -66,96%, su potencia ha aumentado: el ancho de banda ocupado de media ha pasado de 11 gigabits por segundo en 2016 a 59 gigabits por segundo en 2017. En la práctica, cinco veces.

Cómo funciona un ataque DDoS

Para entender qué es un ataque DDoS, primero debemos comprender su versión menos sofisticada: DoS, o Denegación de Servicio. Se trata de una acción cuyo objetivo es inundar los recursos de un sistema informático que proporciona un determinado servicio a los ordenadores conectados. Para ello, se dirige a servidores, redes de distribución o centros de datos que se ven inundados de falsas solicitudes de acceso, a las que no pueden hacer frente. En la jerga, se dice que el ancho de banda de las comunicaciones está saturado y los sitios web o los navegantes que intentan llegar a ese recurso en línea concreto tienen dificultades, o fallan por completo. Los DDos funcionan de la misma manera, pero ocurren a una escala mucho mayor. En el caso del DOS, de hecho, hay que defenderse de una única fuente de tráfico informático: por ejemplo, un gran número de correos electrónicos entrantes al mismo tiempo. Mientras que durante los ataques DDoS, las solicitudes falsas llegan al mismo tiempo desde varias fuentes. Esto hace que la herramienta sea más eficaz, ya que tarda menos en funcionar. Los efectos desastrosos, en cambio, duran más tiempo: desde unas horas hasta varios días, dependiendo de la rapidez con que se reaccione.

Qué es una red de bots y cómo utilizarla

Por lo general, la herramienta que utilizan los ciberdelincuentes para lograr su objetivo es la llamada botnet. Este término indica un conjunto de computadoras comprometidas por un malware, es decir, un virus informático, que permite a los atacantes tomar el control de los PC y hacer que realicen determinadas operaciones. Un ejemplo práctico muy conocido es Mirai, una red de bots creada infectando miles de dispositivos, que ocupó las noticias internacionales al mostrar lo que estos sistemas son capaces de hacer. El 21 de octubre de 2016, la botnet provocó la interrupción temporal de algunos servicios, como Twitter, Amazon y el New York Times, en la costa este de Estados Unidos. Dos semanas más tarde, una variante de la misma fue utilizada para bloquear el tráfico del mayor proveedor de Liberia, África. Y, de nuevo, en Alemania dejó fuera de servicio las conexiones de internet y teléfono de cerca de un millón de personas en noviembre de 2016.

Tipos de ataques DDoS

Según los métodos utilizados y los objetivos que persiguen, los ataques DDoS pueden agruparse en cuatro categorías principales. Los hay que se dirigen a la conexión TCP, centrándose en la velocidad. En este caso, la red de bots inunda el servidor con peticiones de conexión, sin llegar nunca al final: así la banda de comunicación del sistema informático se satura rápidamente, imposibilitando el acceso de cualquier usuario a los contenidos. Otro tipo de DDoS son los ataques volumétricos en los que el volumen de tráfico creado es enorme e inmanejable. Este no es el caso de los ataques de fragmentación, cuyo objetivo es consumir los recursos informáticos del sistema informático mediante el envío de solicitudes de acceso incompletas. Como consecuencia, el objeto del ataque utiliza la mayor parte de sus propios recursos para intentar reconstruir la información digital recibida. Por último, hay ataques a aplicaciones que no tienen como objetivo toda la infraestructura. Pero apuntan a un programa indispensable de la misma, haciéndola inestable y por lo tanto inutilizable.

Evolución y futuro de los ataques DDoS

El último análisis de Clusit destacó dos cambios en el mundo de los DDoS durante el año pasado. En primer lugar, los países desde los que se lanzan los ataques. Estados Unidos sigue a la cabeza, pero le siguen naciones que hasta hace unos años ni siquiera se consideraban en este ámbito, como Egipto. El segundo cambio se refiere a la velocidad de los DDoS. Los ciberdelincuentes parecen haber dejado de lado los ataques prolongados, prefiriendo en su lugar los frecuentes y rápidos: los DDoS hit-and-run, que se interrumpen al cabo de pocos minutos. De este modo, las empresas afectadas ni siquiera tienen tiempo de recuperarse antes de enfrentarse a una nueva amenaza. Como ya se anticipó, además, su potencia ha aumentado: el ancho de banda medio ocupado ha pasado de 11 gigabits por segundo en 2016 a 59 gigabits por segundo en 2017. También porque los objetos conectados a la Red, y por tanto explotables como botnets, han aumentado de forma espectacular.

Ataque DDoS cómo defenderse

Defenderse es muy difícil y es mejor equiparse primero. Una posible contramedida contra los ataques a las aplicaciones es una infraestructura escalable y resistente (clusters de front-end web, bases de datos, cortafuegos, etc.). De la banda DDoS, en cambio, sólo los proveedores de servicios de Internet pueden protegernos (Fastweb, por ejemplo, tiene un servicio dedicado de pago). Otra posibilidad es recurrir a un agente especializado del mercado (como Akamai) que recibe todo el tráfico dirigido al sistema informático en cuestión, lo limpia y envía sólo el adecuado. También hay ataques dirigidos especialmente complejos que deben gestionarse caso por caso.

@RESERVADOS TODOS LOS DERECHOS
R
Rosita Rijtano
Temas principales

Especificaciones

D
DDoS
H
hackers
M
malware
R
ransomware