¿Qué son los ataques DDoS y cómo defenderse de ellos?

La ciberdelincuencia es un negocio mundialmente lucrativo para el crimen organizado: sus ingresos en 2020 superaron a los del tráfico internacional de drogas. Los escenarios de ataque se han vuelto tremendamente sofisticados y variados. Entre ellos se incluyen, entre otros, la extorsión mediante ransomware, el robo de datos sensibles, el espionaje industrial y la provisión de software e infraestructura de TI. Uno de los métodos más comunes es la Denegación de Servicio Distribuida (DDoS) y se dirige específicamente contra servidores y alojamientos web.

¿En qué consiste un ataque DDoS?

Un ataque DDoS tiene como objetivo provocar que un servidor o partes de una infraestructura de TI, mediante la saturación, dejen de poder ejecutar correctamente las tareas para las que fueron diseñados.

Para ello se emplean diversas estrategias:

• Sabotaje físico en nodos críticos como routers o gateways
• Intrusión dirigida en áreas protegidas de una infraestructura de TI
• Manipulación y desvío del tráfico de datos
• Explotación dirigida de errores de programación en el software
• Ataques a sistemas operativos para provocar su caída
• Saturación de la red y de la infraestructura

La mayoría de los ataques DoS emplean hoy en día el último método. El Distributed Denial of Service como ataque distribuido representa una evolución del patrón de ataque DoS temprano, que procedía de un único equipo. Dado que los anchos de banda actuales presentan altas capacidades incluso en un VPS ligero, la interconexión y coordinación entre numerosas instancias es indispensable para un DDoS exitoso. Un balanceo de carga también puede ayudar aquí.

¿Cómo se lleva a cabo un ataque DDoS?

En un ataque de denegación de servicio, los cibercriminales intentan desconectar a sus víctimas de la infraestructura pública inundándolas con la mayor cantidad posible de solicitudes. Para que sea eficaz, estas deben proceder necesariamente de la mayor variedad posible de fuentes distintas. Esta circunstancia no solo incrementa el número de conexiones entrantes, sino que además complica de forma considerable la defensa contra DDoS, ya que la distribución dificulta la distinción entre paquetes legítimos y artificialmente generados y la hace al menos parcialmente imposible. Estos ataques a menudo provienen de botnets, que pueden abarcar millones de servidores y ordenadores privados infectados por troyanos y controlados por los cibercriminales a través de Internet.

¿Cuál es el objetivo de un ataque DDoS?

Cuando los cibercriminales atacan un sitio web con DDoS, pueden motivarlos razones políticas, ideológicas o financieras. Como en muchos otros ámbitos del crimen organizado, en la mayoría de los casos el motivo decisivo es el dinero. Los beneficios pueden obtenerse mediante distintas actividades:

• Extorsión a empresas para liberar recursos o sitios web
• Desactivar o entorpecer a la competencia
• Ofrecer DDoS como servicio ilegal en el mercado negro
• Bloqueo temporal del acceso a áreas concretas, por ejemplo para geobloqueo
• Compra exclusiva de productos atractivos al precio de lista (scalping)

Además de las contramedidas técnicas, es importante conocer las posibles motivaciones para organizar una eficiente defensa para servidores o para toda la infraestructura TI. De este modo, por ejemplo, se pueden aislar segmentos críticos del resto de la red y definir puntos débiles concretos para lograr una protección óptima de las áreas en riesgo.

Infórmate sobre hosting web con protección DDoS o consulta como alternativa también las ofertas de VPS con protección DDoS así como servidores en la nube con protección DDoS y servidores dedicados con protección DDoS.

¿Qué medidas técnicas existen para defenderse de los ataques DDoS?

Un problema esencial con los DDoS es que la defensa eficiente frente a ataques contra cualquier tipo de servidor exige un conocimiento experto amplio. Medidas individuales y relativamente sencillas pueden aplicarse de forma independiente, pero una protección extensa requiere la incorporación de expertos profesionales. Entre las técnicas se incluyen, entre otras:

• Análisis y filtrado de las peticiones mediante Deep Packet Inspection
• Geoblocking y limitación de conexiones individuales y regionales
• CAPTCHA y otras barreras manuales en los accesos
• Distribución del ancho de banda en servidores de alto rendimiento especializados para el análisis del tráfico
• Integración de proveedores externos especializados para la defensa contra DDoS

Debido a la magnitud de los actuales peligros para servidores, hoy en día se recomienda, en el caso de presencias en Internet de carácter empresarial o comercial, emplear para la defensa contra DDoS una protección adicional del proveedor de hosting o de proveedores profesionales como, por ejemplo, Cloudflare o Akamai. Estos cuentan tanto con el conocimiento especializado como con la infraestructura necesaria para diagnosticar tempranamente este tipo de ataques y bloquearlos de inmediato.

Foto: Iván Tamás de Pixabay