Glosario de términos relacionados con la privacidad en Internet

DDoS

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué es DDoS?

DDoS (abreviatura de denegación de servicio distribuida) es un tipo de ciberataque que interrumpe un sitio web o una red hasta el punto de que no puede realizar sus funciones regulares. Un ataque DDoS es un ataque simple y directo que abruma los servidores del objetivo con solicitudes de datos o credenciales falsas (como una mala dirección IP). El resultado deseado de un ataque DDoS es reducir drásticamente la capacidad de respuesta del objetivo a negocios legítimos, o hacer que los servidores se bloqueen por completo.

Un ataque DDoS es una variación de un ataque de denegación de servicio (DoS). Un ataque DoS utiliza un solo punto de ataque, como una computadora, lo que puede limitar la efectividad, mientras que un ataque DDoS es un ataque coordinado desde muchas computadoras o dispositivos conectados a la vez. Varias fuentes de ataque crean más tráfico entrante, lo que puede significar un ataque más rápido, más efectivo y de mayor duración en la red objetivo. Mientras que un ataque DoS puede detenerse bloqueando todo el tráfico de la computadora que está causando el ataque, un ataque DDoS es mucho más difícil de defender porque el ataque proviene de múltiples ubicaciones. Esto, a su vez, dificulta diferenciar las computadoras de un usuario normal de las computadoras del atacante.

Un ataque DDoS puede tener varias motivaciones, incluida la intención de interrumpir la funcionalidad de un sitio o servicio, guerra cibernética, venganza, chantaje o hacktivismo. Más recientemente, los ataques DDoS se han utilizado como una distracción para otros ciberataques. Mientras los sistemas y el personal de seguridad de red están ocupados abordando el ataque DDoS, hay menos monitoreo y defensa contra otras formas de ataque.

¿Cómo funciona un ataque DDoS?

En un ataque DDoS, se programan múltiples computadoras para contactar simultáneamente una red objetivo (a menudo un sitio web). Inundando el objetivo con más tráfico del que está diseñado para manejar, las computadoras coordinadas agotan el ancho de banda de la red objetivo u otros recursos del sistema.

Una herramienta común para lanzar un ataque DDoS es una botnet. Botnets son frecuentemente creados de dispositivos IoT comprometidos, enrutadores, o computadoras infectadas con Malware que pueden ser activadas remotamente para atacar al mismo tiempo. Una gran botnet puede atacar un objetivo desde cientos de miles de dispositivos únicos en diferentes ubicaciones, agotando los recursos del objetivo más efectivamente que un solo dispositivo con exploits de software especializado (es decir, un ataque DoS). Una botnet es particularmente buena usando ancho de banda, creando un cuello de botella donde el tráfico real no puede pasar. Puede ser difícil distinguir el tráfico de botnet DDoS del tráfico legítimo, lo que hace difícil detener un ataque bloqueando el tráfico de una dirección IP en particular.

Existen muchas variaciones del concepto básico de un ataque DDoS, incluyendo: confundir un servidor con datos incompletos, atacar persistentemente durante varios días y atacar en oleadas que obligan a una red a ajustar repetidamente los niveles de recursos (desperdiciando dinero y tiempo del personal). Pero hay tres formas bastante comunes de ataque DDoS:

Ataques DDoS de volumen

Estos tipos de ataques DDoS se basan en enviar cantidades masivas de datos inutilizables o pings al servidor. El servidor dedica recursos tratando de averiguar qué hacer con los datos inutilizables o respondiendo a los pings.

Ataques DDoS de protocolo

Este tipo de ataque DDoS apunta a debilidades en los protocolos de Internet. Un ejemplo de esto se llama una “inundación SYN.” En una conexión típica entre un sitio web y un usuario, ocurre un “apretón de manos” de tres partes: Primero, el usuario contacta un sitio web (técnicamente, el navegador envía un paquete SYN, de ahí el nombre “inundación SYN”); el sitio web entonces reconoce al usuario; y, por último, el usuario finaliza la conexión.

En un ataque DDoS de inundación SYN, el atacante inicia conexiones como podría hacerlo un usuario legítimo, pero proporciona una dirección IP falsa en el paquete SYN. Entonces, cuando el sitio web objetivo envía su mensaje de respuesta, este se envía a la dirección IP falsa en su lugar. El dispositivo en la dirección IP falsa no tiene registro de haber iniciado una conexión con el sitio web, y por lo tanto nunca responde con el tercer mensaje necesario para completar el apretón de manos. El canal (o puerto) en el sitio web objetivo permanece abierto, esperando una respuesta que no llegará. Los puertos se abren y no se liberan, haciéndolos no disponibles para que los usuarios legítimos inicien y completen una conexión.

Ataques DDoS de capa de aplicación

Este tipo de ataque DDoS se centra en una aplicación específica en un sitio web. Solicitudes frecuentes y repetidas a la misma aplicación (por ejemplo, una página específica de un sitio web que debe mostrarse) usan los recursos del servidor del sitio web. Esto es particularmente efectivo cuando la solicitud de contenido de un sitio web incluye un inicio de sesión, una búsqueda o una consulta que requiere que el servidor prepare contenido personalizado. Si el servidor del sitio web se ve abrumado por estas solicitudes, no tiene capacidad para responder a los usuarios legítimos.

¿Cómo protegen las organizaciones sus redes de los ataques DDoS?

Los ataques DDoS son costosos para las víctimas, tanto en términos de pérdidas financieras como de daños a la reputación. Para los atacantes, un ataque DDoS es más fácil de realizar y relativamente económico si un atacante desea alquilar acceso a un servicio DDoS, lo que los hace un vector de ataque cada vez más popular. Los ataques DDoS también se utilizan como distracción para un ataque real para robar datos, o instalar ransomware. Por lo tanto, un buen plan de ciberseguridad necesita incluir procesos para defenderse contra los ataques DDoS.

Un área de la ciberseguridad, llamada seguridad de red, defiende contra los ataques DDoS principalmente monitoreando el tráfico, intentando clasificarlo como legítimo o ilegítimo, y bloqueando la última categoría. Para bloquear el tráfico ilegítimo, una red puede hacer varias cosas, incluyendo:

  • Filtrar para desviar todo el tráfico a un servicio de protección DDoS separado que evalúa el tráfico. Solo el tráfico legítimo es entonces enviado a la red de destino prevista.
  • Colocar hardware en el perímetro de una red para bloquear el tráfico ilegítimo de obtener acceso a los recursos de la red.
  • Utilizar un cortafuegos de aplicación web para monitorear las solicitudes de acceso antes de enviarlas al servidor web. A nivel de aplicación, el cortafuegos monitorea cada instancia de solicitud de acceso y la compara con las actividades comunes de un usuario real. Las solicitudes de acceso que son sospechosas o anómalas se bloquean.

La limitación de velocidad es otra táctica defensiva: Limita cuánto tráfico puede ingresar al sistema desde una fuente particular (generalmente categorizada por dirección IP) dentro de un marco de tiempo particular. Al ralentizar el tráfico excesivo, la limitación de velocidad evita que un servidor se sobrecargue por una única fuente. Debido a que los ataques DDoS a menudo se lanzan desde muchas direcciones IP únicas, la limitación de velocidad puede no ser muy efectiva en la defensa contra un ataque DDoS.

Una presencia dispersa en Internet (también llamada red de entrega de contenido, o CDN) aumenta la capacidad de la red, y distribuye la carga en caso de un ataque. Si un ataque tiene éxito en deshabilitar un servidor, otros pueden permanecer en línea y mantener un buen servicio a los usuarios legítimos.

¿Pueden los ataques DDoS afectar a las personas?

Los ataques DDoS están destinados a interrumpir redes y servidores; generalmente no representan una amenaza directa para las personas. Sin embargo, si alguien está intentando acceder a una red o sitio web que está actualmente bajo ataque, podría encontrar difícil o imposible establecer una conexión o obtener la información que busca. Cuando esto sucede, el individuo se convierte en una víctima secundaria. Dependiendo de la razón para querer conectarse (por ejemplo, si es una necesidad médica o bancaria urgente), el problema para el individuo podría variar desde un inconveniente menor hasta un problema muy grande. Desafortunadamente, no hay nada que un usuario pueda hacer respecto a esta situación excepto esperar a que el sistema atacado resuelva el ataque.

Sin embargo, las personas pueden participar en la defensa contra los ataques DDoS asegurándose de que sus dispositivos conectados (como enrutadores, computadoras y dispositivos IoT) estén seguros. Al mantener el software y el firmware del dispositivo actualizados, y cambiando las contraseñas predeterminadas de fábrica a contraseñas seguras y únicas, puedes evitar que tus dispositivos se conviertan en parte de una botnet.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.