¿Qué es un ataque de denegación de servicio?

La caída de un sistema en línea («downtime«, en inglés), equivale a una gran pérdida para las compañías. Por un lado, porque el tiempo durante el cual el servicio está fuera de línea es una pérdida inmediata y literal de dinero. Por otro lado, resulta un grave golpe a la imagen de la compañía ante sus clientes, y a la imagen del proveedor del servicio.

La caída de uno de estos sistemas puede deberse a una serie de contingencias: fallas en la infraestructura de las tecnologías de la información (TI), accidentes o desastres naturales, pero también, y en una medida creciente, a ataques informáticos.

Un ataque de denegación de servicio (DoS, sigla en inglés) es un tipo de ataque que busca impedir que un servidor funcione, dejando sin acceso a los usuarios legítimos de un servicio o red, para lo cual se lo inunda con requerimientos que superan su capacidad de procesamiento, el ancho de banda o el almacenamiento.

Este tipo de ataque se genera cuando terceros hacen una saturación de la carga, del tráfico o de la demanda, sobre uno o más servidores u otros recursos de la red, provocando una caída del sistema.

La denegación de servicios distribuida (DDoS, sigla en inglés) es un tipo de ataque similar, pero generado a través de la coordinación de miles o millones de computadoras “esclavas”, que son infectadas con troyanos o código malicioso, para posteriormente ser manipuladas por los cibercriminales, sin que las víctimas se den cuenta.

Estas redes de computadoras «esclavas» se denominan «botnets«, y generan una demanda simultánea capaz de provocar grandes caídas, que resultan muy difíciles de detectar preventivamente, ya que se trata de actividades normales de la red, pero que en conjunto, y dirigidas sobre un único nodo de la red, resultan dañinas.

En términos más simples, podríamos decir que equivale a mantener las líneas telefónicas ocupadas, para que nadie más pueda comunicarse a ese número.

De hecho, cuando las conexiones de Internet viajaban a través del canal telefónico, esto era exactamente lo que sucedía.

El primer ataque con las características de un DoS distribuido (DDoS) del que se tiene registro data del 1999, y la víctima fue la Universidad de Minnesota.

Ya a comienzos de 2000, los ataques comenzaron a dirigirse contra las grandes empresas de Internet que comenzaban a formarse, como Yahoo, eBay, CNN y Amazon.

Los ataques DDoS más conocidos son los ataques volumétricos, que consisten en el envío masivo de paquetes a los servidores, que consumen el ancho de banda.

Sin embargo, existe otro tipo de ataques, enfocados directamente sobre las aplicaciones, que se aprovechan de vulnerabilidades específicas de las mismas, y que, según Stratecast, son un tipo de ataque muy difícil de anticipar, y que está creciendo entre un 20 por ciento y un 45 por ciento cada año.

De la misma forma en que ha evolucionado la infraestructura de las telecomunicaciones, también los ataques -y los atacantes- se han vueltos más sofisticados.

Algo a tener en cuenta es que, como mencioné antes, los ataques de DDoS datan desde el año 2000. Sin embargo, no han sido una preocupación central hasta ahora.

¿Por qué recién ahora se habla de DDoS, y es una preocupación crítica?

Algo cambió en el ecosistema de negocios, y en la manera en que estos ataques impactan sobre él.

¿En qué consisten los cambios?

En primer lugar, la presencia de las empresas en la web, tanto del sector público como privado, se ha intensificado.

Hace 10 o 15 años era impensable que un director de informática (CIO, sigla en inglés) decidiera trasladar sus operaciones a la nube.

Hoy, la gran mayoría de las grandes compañías tiene base en la nube, y es un modelo muy difundido y consolidado.

Esto es consecuencia, por un lado, de un incremento de las capacidades de conectividad y de procesamiento, y por otro lado, del advenimiento de la Internet de las cosas (IoT, sigla en inglés), que produjo un aumento de la cantidad de dispositivos conectados a Internet.

De este modo, se instaura un círculo virtuoso: a medida que crecen las capacidades de conectividad y procesamiento de datos, se profundiza la transición hacia el modelo «cloud«.

Este desarrollo, junto con la multiplicación de la cantidad de dispositivos inteligentes, genera una demanda de capacidades de conectividad aún mayores.

La tensión aparece en este modelo como una puja entre la seguridad y la accesibilidad.

Cuanto más seguro es un sistema o una red, menos accesible se vuelve; y por supuesto, cuando más accesible, menos seguro.

Al mismo tiempo, los sistemas más accesibles atraen un mayor número de usuarios y estadísticamente eso significa que habrá un mayor porcentaje de usuarios con menos consciencia de las buenas prácticas para la seguridad en línea.

Eso hace que sucedan dos cosas: por un lado, esa red o sistema se vuelve un blanco más tentador para los atacantes, y por otro lado, la responsabilidad de la seguridad de los usuarios recae sobre sus administradores o proveedores.

Muchos gerentes tienden a pensar que los ataques de ciberdelincuentes son muy poco probables o que sus organizaciones no son un blanco potencial, y se conforman con las medidas de seguridad tradicionales.

Sin embargo, la realidad de los últimos años demuestra que los ataques de denegación de servicios vienen aumentando en forma sostenida en todo el mundo.

En 2013, la consultora IDC advirtió que los ataques conocidos como “DDoS” (por el inglés Distributed Denial of Service) experimentaron un fuerte aumento en términos de frecuencia, ancho de banda utilizado y en su orientación a las aplicaciones.

La consultora señaló que los atacantes estaban empleando herramientas cada vez más sofisticadas.

Hoy podemos agregar que los cibercriminales mismos están cada vez más capacitados, educados y al día con las últimas tendencias e innovaciones.

Los diferentes tipos de ataques de DDoS evolucionan permanentemente y logran eludir las soluciones de seguridad tradicionales de las empresas.

Operan con mecanismos sutiles que disfrazan su objetivo, por lo que se requiere un nuevo enfoque para detectarlos y mitigarlos.

Las organizaciones deben interiorizarse y mantenerse actualizadas sobre estos ataques, ya que están aumentando en frecuencia, volumen y complejidad.

Pablo Dubois

Manager regional de producto y servicios de seguridad en Level 3 Communications.

Deja un comentario