Un ataque DDoS es una forma de ciberataque en la que los autores buscan interrumpir o colapsar un sitio web, una red u otro servicio en línea sobrecargándolo con un alto volumen de peticiones falsas o no deseadas.
Hay varias motivaciones para un ataque DDoS. Para los ciberdelincuentes, estas motivaciones suelen ser ganar dinero vendiendo ataques DDoS como un servicio, chantajear a los objetivos potenciales para que paguen un rescate, hacer hacktivismo y obtener una ventaja competitiva.
Se sabe que los grupos de amenazas más sofisticados utilizan los ataques DDoS sobre todo como parte o distracción de otras actividades más graves, como el ciberespionaje y el cibersabotaje.
Los autores de los ataques DDoS utilizan redes de dispositivos distribuidos y comprometidos para interrumpir los sistemas apuntando a uno o más de los componentes necesarios para establecer una conexión (ver el modelo OSI) a un recurso de red.
Los ataques volumétricos son uno de los tipos más antiguos de ataques DDoS. Utilizan grandes volúmenes de tráfico para llenar la capacidad de ancho de banda entre la red de la víctima e Internet o la capacidad dentro de la red de la víctima. Los mayores ataques volumétricos se miden (actualmente) en Terabits por segundo (Tbps), lo que equivale a unas 9.000 conexiones medias a Internet. Por ejemplo, durante un ataque de inundación del Protocolo de Datagramas de Usuario (UDP), los atacantes sobrecargan el servidor remoto objetivo solicitando información de una aplicación que escucha en un puerto específico. El servidor comprueba y/o responde a cada una de estas peticiones, y finalmente se queda sin banda ancha y se vuelve inalcanzable.
Ataques de protocolo. Por su nombre, los ataques de protocolo utilizan indebidamente el diseño del protocolo de comunicación subyacente (capas 3 y 4 del modelo OSI) para agotar los recursos del sistema objetivo. Un ejemplo de ataque de protocolo es la inundación SYN, que envía un gran número de peticiones específicas al servidor objetivo pero deja las respuestas a esas peticiones sin más, manteniendo el "apretón de manos a tres bandas" incompleto. Cuando el número de conexiones inacabadas agota la capacidad del servidor, éste se vuelve inalcanzable para las conexiones legítimas. Los ataques de protocolo utilizan paquetes específicamente diseñados para lograr sus objetivos maliciosos y, por tanto, se miden en paquetes por segundo (PPS). Los mayores ataques registrados han alcanzado cientos de millones.
Ataques a la capa de aplicación (capa 7 del modelo OSI) se dirigen a las aplicaciones de cara al público a través de un gran volumen de tráfico falsificado. Un ejemplo de ataque DDoS en la capa de aplicación es una inundación HTTP, que inunda un servidor web específico con peticiones HTTP GET y HTTP POST que, por lo demás, son legítimas. Aunque el servidor tenga suficiente banda ancha, se ve obligado a procesar un gran número de peticiones falsas en lugar de las legítimas, agotando así su capacidad de procesamiento. Los ataques a la capa de aplicación se miden en decenas de millones de peticiones por segundo (RPS).
4. Las organizaciones no tienen que ser el objetivo principal para sentir el impacto de un ataque DDoS, especialmente si interrumpe partes vitales de la infraestructura de Internet, como los ISP locales o regionales. En 2016, los delincuentes inundaron los servidores del principal proveedor de DNS Dyn . Otros importantes servicios en línea dejaron de estar disponibles debido a este ataque DDoS, incluyendo Twitter, Reddit, Netflix y Spotify.
5. Algunos actores cibercriminales amenazan con utilizar sus redes de bots para un ataque DDoS contra una organización específica a menos que se realice un pago. Estos ataques se llaman ataques de rescate DDoS y no requieren que el atacante obtenga acceso a las redes de sus objetivos.
6. Desde 2020, los ataques DDoS contra los sitios web de las víctimas también se convirtieron en una parte del esquema de "triple extorsión" utilizado por las bandas de ransomware de alto perfil, agregando DDoS además de robar y cifrar los datos de los objetivos.
7. Existen servicios de DDoS de alquiler en la web oscura que permiten organizar un ataque DDoS incluso a los actores sin experiencia que tienen el dinero y la motivación, como ganar una ventaja sobre un competidor.
Como su nombre indica, la diferencia radica principalmente en el número de equipos atacantes. En el caso del DoS, el ataque suele utilizar un script o una herramienta, se origina en un único dispositivo y se dirige a un servidor o punto final específico. En cambio, los ataques DDoS son ejecutados por una gran red de dispositivos comprometidos controlados por el atacante, también conocidos como botnet, y pueden utilizarse para sobrecargar dispositivos, aplicaciones, sitios web, servicios o incluso redes completas de las víctimas.
El signo más evidente de un ataque DDoS es el bajo rendimiento o la indisponibilidad del sistema o servicio atacado. En el caso de un sitio web, esto puede traducirse en largos tiempos de carga o en la inaccesibilidad para las personas dentro y fuera de la organización. También existen servicios públicos de monitorización de ataques DDoS como downforeveryoneorjustme.com o downdetector.com
Un ataque DDoS también puede identificarse a través de la monitorización y el análisis del tráfico de red que identifica solicitudes falsas o basura que sobrecargan uno o más sistemas de la empresa. En algunos casos, un mensaje de extorsión también puede apuntar a un ataque DDoS posible o en curso, exigiendo un rescate para eliminar a su organización de la lista de futuros objetivos o para cesar un ataque en curso.
4. Las organizaciones no tienen que ser el objetivo principal para sentir el impacto de un ataque DDoS, especialmente si interrumpe las partes vitales de la infraestructura de Internet, como los ISP locales o regionales. En 2016, los delincuentes inundaron los servidores del principal proveedor de DNS, Dyn. Otros importantes servicios en línea dejaron de estar disponibles debido a este ataque DDoS, como Twitter, Reddit, Netflix y Spotify.
5. Algunos actores cibercriminales amenazan con utilizar sus redes de bots para un ataque DDoS contra una empresa específica a menos que se realice un pago. Estos ataques se denominan ataques de rescate DDoS y no requieren que el atacante obtenga acceso a las redes de sus objetivos.
6. Desde 2020, los ataques DDoS contra los sitios web de las víctimas también se han convertido en una parte del esquema de "triple extorsión" utilizado por las bandas de ransomware de alto perfil, añadiendo DDoS además de robar y cifrar los datos de los objetivos.
7. Existen servicios de alquiler de DDoS en la red oscura que permiten organizar un ataque DDoS incluso a actores inexpertos que tienen el dinero y la motivación, por ejemplo, para obtener una ventaja sobre un competidor.
Los ataques DDoS pueden ser difíciles de reducir para las empresas que no disponen de los recursos adecuados, como el hardware o la banda ancha suficiente. Sin embargo, hay cosas que incluso las pequeñas y medianas empresas pueden hacer para aumentar su protección:
Obtén una protección eficaz con las capacidades para reducir los riesgos relacionados con los ataques DDoS. Las soluciones de seguridad multicapa para endpoints de ESET utilizan una sofisticada tecnología de protección contra ataques a la red con filtrado avanzado e inspección de paquetes para evitar interrupciones.
