Con más de mil millones de usuarios, el Internet se ha convertido en el conducto a través del cual las empresas y la gente tienen acceso a la información, realizan transacciones bancarias, hacen compras, se conectan con la gente, y llegan a sus audiencias a través de los medios sociales. Sin embargo, la desventaja de esta conveniencia es que es vulnerable a sufrir una interrupción.
En el último par de años, los ataques distribuidos de denegación de servicio (DDoS) se han convertido en un serio problema de seguridad para las organizaciones privadas y del sector privado. Los ataques de DDoS han aumentado su tamaño y su impacto. Además, se ha observado una tendencia a usar un mayor ancho de banda máximo, ataques de mayor duración y el uso de DDoS no sólo como una herramienta de hacktivismo, sino también como un mecanismo de extorsión. Los incidentes previos y las tendencias relacionadas con los ataques de DDoS entre 2013 y 2015 revelaron que se había duplicado el ancho de banda pico promedio. Para finales de 2014, después de las protestas de Ocuppy Central en Hong Kong, Matthew Prince, CEO de CloudFlare, afirmó que el mayor ataque de DDoS se había realizado contra sitios de medios independientes de esa provincia china. De acuerdo con Prince, fue aún más grande que el dueño del récord anterior, un ataque de 400 Gbps en Europa a principios de 2014.
¿Qué es un ataque de DDoS?
Un ataque de DDoS se ha diseñado para interrumpir o cerrar una red, un servicio o un sitio web. Sucede cuando los atacantes utilizan una red grande de computadoras remotas llamadas botnets para saturar la conexión o el procesador de otro sistema con el fin de provocar que se le niegue el servicio al tráfico legítimo que está recibiendo. El objetivo y el resultado final de un ataque de DDoS exitoso es hacer que el sitio del servidor objetivo sea incapaz de legitimar las solicitudes de tráfico.
¿Cómo funciona?
La logística de un ataque DDoS puede explicarse mejor mediante un ejemplo práctico. Digamos que un usuario entra a un banco que sólo tiene una caja abierta. En cuanto el usuario se aproxima al cajero, otra persona se cuela frente al usuario e inicia una breve conversación con el cajero, y que no tiene la intención real de hacer alguna transacción bancaria. Aun cuando es un usuario legítimo del banco, el usuario es incapaz de depositar su cheque, y es obligado a esperar hasta que el usuario “malicioso” haya terminado su conversación. Sin embargo, después de que se va el usuario malicioso, otra persona se cuela frente al usuario legítimo, retrasando una vez más al usuario. Este proceso puede continuar por hora, incluso días, evitando que el usuario, u otro usuario legítimo, realicen sus transacciones bancarias.
Un ataque de DDoS a un servidor web funciona de forma similar, porque virtualmente no hay forma de determinar el tráfico de las solicitudes legítimas del tráfico de los atacantes hasta que el servidor web procesa la solicitud. ¿Qué sucede realmente cuando una organización es la víctima de un ataque de DDoS? Para empezar, tiene que desviar inmediatamente la atención de las operaciones cruciales que se están ejecutando para hacer que su sitio web vuelva a funcionar.
El Aumento de DDoS
Un número cada vez mayor de criminales y de grupos han demostrado que tienen la capacidad de lanzar ataques de DdoS exitosos. En 2013, un ataque de 300 Gbps contra Spamhaus fue considerado como uno de los más grandes. El ataque fue iniciado por un adolescente en Londres. Al mismo tiempo, estados-nación como Irán y China han sido sospechosos de haber participado en varios incidentes de DDoS, concretamente en una ola de ataques contra los bancos norteamericanos y el antes mencionado ataque cibernético de Ocuppy Central, respectivamente, en 2012. Tres años después, en 2015, un gobierno también podría haber estado involucrado en el ataque de DDoS a GitHub (un sitio para compartir repositorios de código), y que podría haber sido aún más grande que el ataque de Hong Kong.
Además de GitHub y los medios de Hong Kong, desarrolladores de videojuegos como “League of Legends” y el portal Origin de Electronic Arts, instituciones del sector público como el gobierno holandés, y compañías de software como Evernote enfrentaron interrupciones a consecuencia de los ataques de DDoS que dejaron temporalmente a sus sitios fuera de línea. En el segundo trimestre de 2015, el número de ataques de DDoS alcanzaron un nuevo nivel de popularidad. De acuerdo con el Estado de Internet al Tercer Trimestre de 2015 – Reporte de Seguridad de Akamai, los ataques de DDoS aumentaron 180 por ciento en comparación con el mismo periodo en 2014. El ataque de DDoS más grande registrado en dicho trimestre duró más de trece horas a 240 Gbps – algo excepcional porque normalmente los ataques duran una o dos horas. Entre ellos, las industrias de software y de juegos representaron más del 75 por ciento de todos los ataques de DDoS documentados en el reporte de Akamai. Los ataques a las compañías de juegos aumentaron de 35 a 50 por ciento en sólo un año.
Recientemente, los sitios de la BBC y el sitio de la campaña del candidato presidencial republicano Donald Trump sufrieron los ataques de DDoS más grandes hasta la fecha. De los dos, el ataque de DDoS más grande fue lanzado contra BBC con más de 600 Gbps. De acuerdo con los reportes, BBC anunció que la interrupción se debió a una falla “técnica”, pero más tarde reconoció que un grupo llamado “New World Hacking” se había atribuido la responsabilidad de haber lanzado el ataque de DDoS.
Debido a la creciente popularidad de las campañas de extorción de DDoS, es esencial conocer las causas y las características de estos ataques para guiar la inversión en herramientas contra DDoS y software de seguridad. Los CIOs empresariales deben asegurarse de que se cuenta con encripción en las herramientas analíticas y otras herramientas web que utilizan sus organizaciones, conocer los posibles vectores de ataque DDoS, e invertir en herramientas de seguridad de redes que identifiquen las anomalías y los problemas de tráfico.
Leave a Reply