¿Qué es un ataque DDOS y cómo puede bloquear un sitio web o un juego?

Aranzulla de Los Pobres

Si ha estado en línea en los últimos años, probablemente haya escuchado que los servicios se vieron obligados a desconectarse durante un ataque DDoS. Sin previo aviso, su sitio web o videojuego favorito ya no está en línea porque alguien o algo lo está haciendo "DDoSing".

Si bien el término DDoS parece críptico, ahora es parte del léxico común de Internet. Pero si aún no está seguro de qué es un ataque DDoS y cómo un DDoS puede bloquear un videojuego, siga leyendo.

¿Qué es un ataque DDoS?

DDoS son las siglas de Distributed Denial of Service, y es el nombre que se le da a un ataque que abruma un servicio con solicitudes y lo obliga a desconectarse.

Cuando escuchas que un sitio web o un videojuego está siendo eliminado por piratas informáticos, muchas veces, eso significa que están sufriendo un ataque DDoS. Los atacantes se dirigen a un sitio web, servicio o videojuego específico e inundan los servidores que se ejecutan con solicitudes de datos. La cantidad de solicitudes puede abrumar rápidamente la infraestructura del servidor que aloja el servicio, obligándolo a estar fuera de línea.

Un ataque DDoS a veces se denomina DDoSing.

¿Cómo funciona un ataque DDoS?

En un ataque DDoS, los datos no tienen que ser varios archivos grandes solicitados para su descarga. De hecho, a menudo ocurre lo contrario, donde miles de máquinas realizan pequeñas solicitudes de datos simultáneamente. Aunque cada solicitud individual es pequeña, la cantidad de solicitudes amplifica el efecto en miles de dispositivos.

Entonces, ¿quién controla miles de computadoras que pueden usar para enviar solicitudes a un solo servidor?

En su mayor parte, los ataques DDoS provienen de grandes botnets , grupos de computadoras comprometidas bajo el control de un atacante. El atacante puede apuntar el poder de su botnet a un objetivo, inundando el sitio web o los servidores de videojuegos con solicitudes, dejándolos fuera de línea.

Dirigir un gran volumen de tráfico a la víctima detiene cualquier tráfico regular que acceda al sitio web o al videojuego, provocando una denegación de servicio. El hecho de que el tráfico provenga de numerosas fuentes significa que el ataque se distribuye, de ahí el ataque de denegación de servicio distribuido.

En cualquier momento, pueden producirse varios ataques DDoS en todo el mundo. Es más probable que escuche sobre ellos cuando desconectan un servicio importante, pero puede usar el Mapa de ataque digital como una aproximación de lo que está sucediendo.

Como ocurre con la mayoría de los tipos de ciberataques, existen muchos tipos diferentes de ataques DDoS. DDoS es el término general que se le da al estilo de ataque, pero hay muchas opciones diferentes para los atacantes .

Ataque de capa de aplicación

Un ataque DDoS en la capa de aplicación tiene como objetivo las solicitudes de sitios web y realiza una cantidad sustancial de solicitudes de datos simultáneamente. Por ejemplo, el atacante puede realizar miles de solicitudes para descargar un archivo específico, lo que hace que el servidor se ralentice.

Estas solicitudes son casi indistinguibles de las solicitudes de los usuarios habituales, lo que dificulta la mitigación de un ataque DDoS en la capa de aplicación.

Los ataques DDoS en la capa de aplicación se centran principalmente en perturbar el tráfico HTTP. Un tipo de ataque DDoS de capa de aplicación común es el HTTP Flood, donde un atacante crea tantas solicitudes HTTP lo más rápido posible. Piense en ello como presionar el botón de actualización de su navegador miles de veces, pero miles de otros navegadores también se actualizan simultáneamente.

Ataque de protocolo

Un ataque de protocolo DDoS tiene como objetivo la red de la víctima y tiene como objetivo los recursos del servidor de diferente naturaleza. Por ejemplo, un ataque de protocolo podría sobrecargar un firewall o un equilibrador de carga, provocando que dejen de funcionar.

Un ataque SYN Flood DDoS es un ejemplo útil. Cuando realiza una solicitud en Internet, suceden tres cosas. Primero, la solicitud de datos, conocida como SYN (abreviatura de Sincronización). En segundo lugar, la respuesta a la solicitud de datos, conocida como ACK (abreviatura de Acknowledgment). Finalmente, el SYN-ACK, que es esencialmente el solicitante que confirma que los datos han llegado. Suena confuso pero ocurre en un abrir y cerrar de ojos.

El SYN Flood básicamente envía montones de paquetes SYN falsos desde direcciones IP falsas, lo que significa que el ACK responde a una dirección falsa, que a su vez nunca responde. La solicitud se queda allí mientras se acumulan más, lo que provoca una denegación de servicio.

Ataque volumétrico

Un ataque DDoS volumétrico puede funcionar de manera similar a un ataque a la capa de aplicación, inundando el servidor de destino con solicitudes, pero con un modificador que puede amplificar la cantidad de solicitudes simultáneas.

La amplificación de DNS es uno de los tipos más comunes de ataque DDoS y es un excelente ejemplo de ataque volumétrico. Cuando el atacante realiza una solicitud al servidor, incluye una dirección falsificada, a menudo la dirección IP del propio objetivo. Cada solicitud vuelve a la dirección IP de destino, lo que amplifica el número de solicitudes.

¿Por qué utilizar un ataque DDoS?

Hay muchas razones por las que un atacante optará por DDoS a un objetivo, como cubrir un vector de ataque diferente o causar un daño financiero a la víctima.

  • Interrupción del servicio: en la raíz del DDoS hay una interrupción del servicio. Si inunda los servidores con solicitudes, los usuarios normales no pueden acceder al servicio. En algunos casos, los ataques DDoS se han utilizado para dejar fuera de línea a los competidores, lo que obliga a los usuarios del servicio a recurrir al competidor en línea.
  • Hacktivismo y política: algunos grupos hacktivistas, como Anonymous, son bien conocidos por usar ataques DDoS para desconectar a sus objetivos durante períodos prolongados. Un ataque DDoS puede costarle a una empresa u otra organización sustancialmente en términos de tiempo de inactividad, costos del servidor, tarifas de datos, ingenieros y más. De manera similar, desconectar sitios gubernamentales mediante un DDoS puede obligar a un gobierno a actuar o es una muestra de protesta.
  • Cobertura para un ataque más grande: la actividad DDoS en realidad puede ser una cobertura para un vector de ataque diferente, ejecutando interferencias para mantener ocupado a un equipo de respuesta informática o cibernética. Al mismo tiempo, el verdadero ataque tiene lugar en otro lugar. Ha habido múltiples ejemplos de empresas delictivas que utilizan esta técnica de distracción DDoS para cometer otros delitos.
  • Mucking Around / Exploration / Testing: A veces, un DDoS ocurre porque alguien, en algún lugar, está probando una nueva técnica o script y sale mal (¡o funciona perfectamente!).

Estas son solo cuatro razones por las que un atacante podría hacer DDoS en un videojuego o un sitio web. Hay más razones por ahí.

¿Es ilegal un ataque DDoS?

Sí, en una palabra. Un ataque DDoS es ilegal bajo la Ley de Abuso y Fraude Informático en los EE. UU., La Ley de Uso Indebido de Computadoras en el Reino Unido, y conlleva una sentencia máxima de 10 años de prisión en Canadá.

Las leyes y las interpretaciones varían en todo el mundo, pero la mayoría de los países con políticas de ciberseguridad y abuso informático en funcionamiento definen un ataque DDoS como actividad ilegal.

DDoS como servicio

Ha oído hablar de Software-as-a-Service (SaaS) y tal vez Infrastructure-as-a-Service (IaaS), pero ¿qué pasa con DDoSaaS? Así es, los kits y plataformas de "Denegación de servicio distribuida como servicio" están disponibles en los foros de piratería de la web oscura.

En lugar de tomarse el tiempo para construir una botnet, un posible atacante puede pagarle al propietario de una botnet existente para que apunte su red a un objetivo. Estos servicios suelen llevar el nombre de "factor de estrés", lo que implica que puede utilizarlos para realizar pruebas de estrés en su red contra un atacante teórico.

Sin embargo, sin una investigación de antecedentes de los clientes y sin tomar medidas para garantizar la propiedad del servidor, estas plataformas DDoSaaS están abiertas al abuso.

Ejemplos de ataques DDoS

Para terminar, aquí hay algunos ejemplos principales de ataques DDoS de los últimos años. Según el Informe de tendencias y amenazas cibernéticas de Neustar para el primer y segundo trimestre de 2020 [PDF, se requiere registro], la cantidad de ataques que entregan una carga de datos sostenida de más de 100 Gbps aumentó en más del 250 por ciento en un período de 12 meses.

La siguiente lista ayuda a ilustrar el tamaño variable entre los ataques DDoS y cómo ese tamaño ha crecido en los últimos años.

  1. Septiembre de 2016. La botnet Mirai, recientemente descubierta, ataca el sitio web del periodista de seguridad Brian Krebs con 620 Gbps, interrumpiendo masivamente su sitio web pero finalmente fallando debido a la protección DDoS de Akamai. La botnet Mirai aprovecha los dispositivos de Internet de las cosas para aumentar sus capacidades.
  2. Septiembre de 2016. La botnet Mirai ataca al servidor web francés OVH, fortaleciéndose a alrededor de 1Tbps.
  3. Octubre de 2016. Un enorme ataque destruyó la mayoría de los servicios de Internet en la costa este de EE. UU. El ataque estaba dirigido al proveedor de DNS Dyn, con sus servicios recibiendo un tráfico estimado de 1.2Tbps, cerrando temporalmente sitios web como Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa y Xbox Live.
  4. Noviembre de 2016. Mirai ataca a los ISP y proveedores de servicios móviles en Liberia, derribando la mayoría de los canales de comunicación en todo el país.
  5. Marzo de 2018. GitHub sufre el mayor DDoS registrado en ese momento, registrando unos 1,35 Tbps en tráfico sostenido.
  6. Marzo de 2018. La empresa de seguridad de red Arbor Networks afirma que su sistema de monitoreo de tráfico global y DDoS ATLAS registra 1.7Tbps.
  7. Febrero de 2020. Amazon Web Services (AWS) sufrió un ataque de 2,3 Tbps, aunque Amazon no reveló el objetivo real del ataque DDoS.

Ha habido muchos más ataques DDoS fuera de estos siete, y ocurrirán muchos más, probablemente aumentando en capacidad.

Los ataques DDoS no se detendrán

Si bien los ataques DDoS continúan derribando servidores, sitios web y servicios de videojuegos con éxito, los atacantes lo verán como una opción viable.