ada vez se habla más de los ataques DDoS o ataques distribuidos de denegación de servicios ya que como vimos en el ciberdebate dedicado expresamente al tema, los DDoS se han convertido en una ciberextorsión al alza pero ni todo el mundo tiene muy claro qué significan realmente estas siglas ni existe un único tipo de ataque.
Por eso recojo a continuación un minivídeo con subtítulos en castellano, el correspondiente podcast para aquellos que prefieran tan solo escucharlo y una transcripción literal de la explicación sobre ataques DDoS que hizo a su paso por mi canal Palabra de hacker el consultor de seguridad informática y ciberinteligencia especialista en seguridad en redes, detección de intrusiones y respuesta a incidentes entre otros, Carlos Ayala (@caar2000) que actualmente trabaja como arquitecto de soluciones de seguridad en Latinoamérica para Arbor Networks.
Carlos además de explicar de una forma sencilla y breve en qué consisten estos ataques, también hizo una exposición de los tres tipos de ataques más habituales a día de hoy.
Vídeo
Podcast
¿Qué son los ataques DDoS?
Un ataque de denegación de servicio es el intento de consumir recursos finitos explotando debilidades de diseño, de implantación en el software y capacidades en infraestructura. Es muy importante que un ataque DDoS lo entendamos en el sentido de que el tráfico puede ser perfectamente legítimo pero la intención del atacante no.
Esto va variando al paso del tiempo. Lo hemos visto en un montón de comportamientos por ejemplo de botnets en donde inicialmente se generaba tráfico anómalo, tronco, mal formado y volúmenes masivos de información que tiene que ver con ataques volumétricos típicamente, los que se saturan el ancho de banda.
Pero al paso del tiempo han ido cambiando. Los atacantes se van por lo más simple y generan tráfico perfectamente legítimo lo cual genera una incapacidad importante para ser observables y hacer detección porque las tecnologías tradicionales que utilizamos por ejemplo para detectar sería bastante complejo el estar haciendo una comparación específica en cada uno de los patrones de tráfico entonces se requiere otro tipo de técnicas, de arquitecturas específicas para mitigarlo.
Entonces es un tema importante y otro tema importante es que los ataques de denegación de servicios generan un daño colateral importante.
En un ataque de esta naturaleza el daño colateral es fundamental, es importante. ¿Por qué? Porque las organizaciones comparten recursos de los proveedores de servicios entonces cuando viene un ataque de esta naturaleza e impactan a un cliente, vaya a la víctima, hay muchos clientes que están compartiendo y sufren ese impacto.
Los tres tipos de ataques DDoS más comunes: volumétricos, de saturación y aplicativos o quirúrgicos
Los tres tipos o categorías de ataques más comunes o populares que vemos hoy en día en el campo básicamente tienen que ver en ataques volumétricos que consisten en saturar el ancho de banda. Son los ataques más simples de generar, realmente no se requiere gran parte del talento.
Yo siempre comento que los ataques de denegación de servicio tienen un retorno de inversión muy alto para un atacante porque prácticamente tiene que saber muy poco. Hay veces que basta con rentar por ejemplo un stresser que te puede costar 60$ el día y con eso puedes generar impactos superiores a 320.000$. Ahí tenemos un estudio de investigación por ejemplo de una botnet rusa, un análisis completo, sobre cómo o cuál es el impacto que se puede llegar a generar.
El segundo tipo de ataques que también son muy comunes tiene que ver con ataques de saturación del estado de conexión. Es algo que a veces cuesta trabajo entender, tiene que ver con cómo se impacta, cómo funcionan las soluciones que mantienen el estado de conexiones vaya pues un stateful. Entonces las soluciones que son stateful tienen problemas importantes para poder administrar o mantener toda esta carga. ¿Por qué? Porque TSP es una máquina de estados finitos que sigue ciertos procesos de cuando antes de conectarme, cuando estoy conectado y cuando termino una conexión.
Los atacantes conocen muy bien estos times, estos umbrales, cómo explotarlo, básicamente explotan muy bien el protocolo TSP pues es un protocolo muy vulnerable ante amenazas de disponibilidad. Todavía ni siquiera, transmito información y ya puedo estarlo afectando. Cuando estoy transmitiendo información, puedo afectarlo. Cuando quiero terminar una conexión, puedo afectarlo. Entonces estos son ataques muy importantes que afectan a infraestructura tradicional que hemos utilizado más de una década para defenderlo.
También un punto importante por ejemplo que me gusta comentar que reforzando el concepto es por ejemplo todos estos grupos o hacktivistas independientemente de la motivación detrás, hay algún aspecto técnico que es fundamental. Vinieron a defender, nos vinieron a demostrar lo mal que defendíamos en materia de disponibilidad hace unos años. Realmente el impacto serio, el impacto al menos te hablo por ejemplo de México, de Latinoamérica en particular, nos vinieron a demostrar lo mal que defendíamos, las malas arquitecturas que teníamos, lo vulnerables que estábamos ante ello.
Y el último ataque o la última clasificación tiene que ver por ejemplo con ataques que básicamente son aplicativos, que son ataques quirúrgicos, que no se requiere mucho volumen. Hay históricos no como PyLoris, como Slowloris y muchas botnets han venido implementando curiosamente también al paso del tiempo instrumentando básicamente ataques de conexiones lentas. ¿Por qué? Porque no mueven líneas base en la detección, porque no son ruidosos y generan un impacto muy serio.
No requieres mucho. Son herramientas incluso usuarias creadas para que con un dispositivo podamos derrumbar un servicio específico sin la necesidad de una botnet o de factores de amplificación sobre protocolos específicos no orientados a conexión que son muy fáciles de suplantar SSDP, NTP básicamente son este tipo de protocolos los explotados que han venido generando históricamente volúmenes enormes.
Cuando vemos por ejemplo en los medios que hablan de ataques superiores a 350Gb, 500 Gb que es unos de los picos más grandes históricos. En Latinoamérica ya estamos llegando por ejemplo a picos superiores a 350Gb en Brasil por ejemplo, pues son ataques que tienen que ver, bueno en Brasil no fue un ataque completamente amplificado pero en general la mayoría o la mayor cantidad de amenazas que se presentan volumétricas este tipo de impactos serios son por ataques de amplificación reflexiva.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Presentación
Vídeo
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!