¿Qué es un ataque de denegación de servicio (DoS)?

¿Cómo funciona un ataque DoS?

En un ataque de denegación de servicio, el hacker utiliza un programa para inundar un servidor con tráfico malicioso. Las solicitudes que componen este tráfico parecen provenir de usuarios legítimos, por lo que el servidor valida solicitud tras solicitud. De hecho, el “servicio” se “niega” a los usuarios legítimos debido a la pérdida resultante de ancho de banda y recursos de red.

El sistema o los datos que sufren el ataque se vuelven inaccesibles para los usuarios que los necesitan. Los ataques DoS a menudo se utilizan para la extorsión porque, por ejemplo, una empresa que no puede brindar su servicio a los clientes puede perder ingresos y sufrir daños a la reputación. En este sentido, DoS es similar al ransomware, pero el rehén es el servicio de la víctima, en lugar de sus datos.

¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?

Cuando el ataque DoS proviene de una sola fuente, el ataque distribuido de denegación de servicio o ataque DDoS transmite solicitudes fraudulentas de múltiples fuentes a la vez. Normalmente, un perpetrador aprovechará un grupo de dispositivos conectados a Internet, a veces a escala global, para inundar el servidor de destino, lo que puede saturarlo mucho más fácilmente que un ataque DoS.

Ese grupo de computadoras infectadas se denomina botnet. Las botnets operan de manera sincronizada, a la espera de instrucciones de un atacante en una sola dirección IP para lanzar un ataque de inundación. Estos ataques suelen estar programados para comenzar en un momento específico y pueden durar horas o incluso días.

Un servidor que se enfrenta a un ataque DoS puede simplemente cortar la única conexión que realiza el ataque. Los ataques DDoS son mucho más peligrosos y difíciles de mitigar porque la afluencia de tráfico proviene de múltiples fuentes a la vez.

Es más, los delincuentes ahora están utilizando dispositivos de Internet de las cosas (IoT) para hacer que sus botnets sean aún más peligrosas al reducir los procesos manuales. Es decir, pueden utilizar dispositivos IoT para facilitar enormemente la sincronización de sus dispositivos botnet, aumentando la eficacia de sus ataques.

¿Cuáles son algunos ataques DoS históricamente significativos?

Los ataques DDoS son mucho más comunes que los ataques DoS, principalmente porque los ataques DDoS son mucho más difíciles de bloquear y, por lo tanto, pueden realizarse durante un período de tiempo más largo.

Los proveedores de servicios en la nube suelen ser víctimas de DDoS debido a su vulnerabilidad inherente a dichas amenazas. Estos son algunos más recientes que aparecieron en las noticias:

Amazon: 

• En febrero de 2020, Amazon sufrió uno de los mayores ataques DDoS jamás registrados. Utilizando la reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP), los atacantes atacaron a un cliente de Amazon Web Services (AWS) a una velocidad de 3.3 terabytes por segundo (TBps) durante tres días.
• GitHub: en febrero de 2018, los atacantes introdujeron 1.35 terabytes por segundo en servidores de GitHub durante 20 minutos. "Decenas de miles de puntos finales únicos" albergaban "más de mil sistemas autónomos diferentes" que lanzaron el ataque.
• Google: en octubre de 2020, Google sufrió un ataque de amplificación UDP de seis meses de duración que se dirigió a tres proveedores de servicios de Internet (ISP) chinos
, enviando más de 2.5 terabytes por segundo de datos basura a los servidores de Google.

¿Cómo se puede identificar un ataque DoS?

Los proveedores de infraestructura tienden a no filtrar los anuncios de ruta, que indican a las personas cómo ir de un lugar a otro en Internet. Más importante aún, también tienden a no filtrar los paquetes para verificar el origen del tráfico. Estas dos condiciones permiten que los malintencionados envíen tráfico de ataque a un objetivo fácilmente.

Los atacantes generalmente están motivados por tres cosas: hostilidad hacia el objetivo (esta es la típica motivación de los ataques de los "hacktivistas"), extorsión y el deseo de robar a alguien mientras se le niega el servicio. Si bien no existe una señal de alerta temprana de un ataque DoS, un profesional de seguridad con experiencia puede detectar el tráfico que envía un atacante para determinar si usted es un objetivo viable o no.

Los delincuentes enviarán una gran cantidad de solicitudes, por ejemplo, a diferentes partes de un sitio web, para ver si los servidores web son vulnerables a un ataque DoS. Estos primeros "temblores" en la web son una señal de que su organización puede sufrir un ataque.

Con una supervisión adecuada de la seguridad de la red, su equipo de ciberseguridad puede analizar el tráfico de la red y descubrir patrones en paquetes que son señales claras de un ataque. Para identificar en tiempo real si está sufriendo un ataque, debe observar los metadatos de sus dispositivos de red, tales como enrutadores y conmutadores, una tarea que se realiza más fácilmente con una herramienta de supervisión de calidad.

Tipos de ataques DoS

Hay cuatro tipos principales de ataques DoS que tienen como objetivo explotar o extorsionar sistemas y datos:

• Redirección del navegador: un usuario solicita que se cargue una página, pero un hacker redirige al usuario a otra página maliciosa.
• Corte de conexión: Un malintencionado cierra un puerto abierto, negando al usuario el acceso a una base de datos.
• Destrucción de datos: Un hacker elimina archivos, lo que genera un error de "recurso no encontrado" cuando alguien solicita ese archivo o, si una aplicación contiene una vulnerabilidad que la deja abierta a ataques de inyección, el malintencionado puede denegar el servicio eliminando la tabla de la base de datos.
• Agotamiento de recursos: Un malintencionado solicita repetidamente acceso a un recurso en particular, sobrecargando la aplicación web y provocando que se ralentice o bloquee al recargar repetidamente la página.

 

Tipos de ataques DDoS

Aquí hay algunos ejemplos de ataques DDoS específicos a tener en cuenta:

• Inundación SYN

: Un atacante explota una comunicación TCP (SYN-ACK) enviando una gran cantidad de paquetes SYN, consumiendo los recursos del sistema objetivo

. Suplantación de identidad: Un atacante se hace pasar por un usuario o dispositivo y, después de ganarse la confianza, utiliza paquetes falsificados para lanzar un ciberataque

. Ataque DDoS de capa de aplicación

: Como sugiere el nombre, este ataque, una vez implementado, explotará una vulnerabilidad o una configuración errónea en una aplicación y negará a un usuario el acceso o el uso de la aplicación.

Inundación del sistema de nombres de dominio(DNS): También conocido como ataque de amplificación DNS, un atacante interrumpe la resolución DNS de un nombre de dominio determinado inundando sus servidores.

Inundación del protocolo de mensajes de control de Internet (ICMP): También conocida como inundación de ping, un atacante falsifica una IP de origen y crea un ataque "smurf". Este método también se puede utilizar para enviar un "ping de la muerte", en el que un paquete grande provoca un desbordamiento del búfer.

Inundación del protocolo de datagramas de usuario (UDP): Un atacante inunda puertos aleatorios en su objetivo, que luego consume recursos y responde con paquetes de "destino inalcanzable".

Prevención de ataques DoS

Los ataques DoS o DDoS pueden ocurrir en cualquier momento, pero implementando las mejores prácticas, puede asegurarse de que su organización tenga todas las herramientas y protocolos necesarios para una defensa sólida.

Aquí hay cinco maneras de prevenir un ataque DoS:

1. Cree un plan de respuesta DoS. Revise su sistema e identifique posibles fallas de seguridad, vulnerabilidades o brechas en la postura. Delinee un plan de respuesta en caso de un ataque.
2. Asegure su infraestructura. Las soluciones efectivas de firewall, supervisión de tráfico e inteligencia de amenazas basadas en la nube, como la detección o prevención de intrusiones, aumentan en gran medida sus posibilidades de defenderse de los ataques DoS.
3. Comprenda las señales de advertencia. Compruebe la velocidad de la red en busca de un rendimiento lento, el tiempo de inactividad del sitio web, una interrupción o un aumento repentino del spam. Todo esto requiere acción inmediata.
4. Adopte servicios basados en la nube. Los recursos en la nube le brindan más ancho de banda que los locales y, debido a que sus servidores no están todos en las mismas ubicaciones, a los malintencionados les resultará más difícil atacarlo.
5. Supervise la actividad inusual. Esto permitirá a su equipo de seguridad detectar y mitigar un ataque DoS o DDoS en tiempo real. En la siguiente sección, hablaremos sobre las maneras en que puede reducir por completo el riesgo de ataques DoS y DDoS.

¿Cómo se puede reducir el riesgo de un ataque DoS?

Una mala postura de seguridad y visibilidad pueden abrir la puerta no solo a ataques DoS y DDoS, sino también a otras amenazas como malware, ransomware, spear phishingy más. Para mantener segura su organización y maximizar sus posibilidades de mitigar eficazmente DoS y DDoS, necesita una protección adecuada. A continuación se muestran algunas maneras en las que puede reducir sus posibilidades de sufrir un DoS o un DDoS:

• Base su seguridad en la nube. La seguridad brindada en la nube le permite extender la política a todos sus usuarios, dondequiera que estén y cualquiera que sea su dispositivo, y le brinda visibilidad completa de su entorno. Además, con actualizaciones automáticas y sin necesidad de aplicar parches o ajustes manualmente, siempre estará listo para defenderse de las amenazas más recientes.
• Adopte detección y respuesta extendidas (XDR). XDR es una evolución de la detección y respuesta de puntos finales (EDR) que le brinda visibilidad de amenazas en el punto final, así como información sobre los posibles riesgos de seguridad de los datos y la nube, todo con inteligencia integral sobre amenazas incluida. Esto detendrá la marea de falsos positivos que normalmente experimenta un equipo de seguridad, liberándolos y permiténdoles ser más productivos.
• Considere establecer un centro de operaciones de seguridad (SOC). Un SOC administrado en la nube le permite cubrir bases para las que su equipo de seguridad quizás no tenga el ancho de banda. Es decir, aprovisionamiento de políticas en la nube, detección y respuesta a amenazas, protección de datos e incluso cumplimiento, en algunos casos. Al igual que XDR, un SOC administrado les brinda a usted y a su equipo la libertad de concentrarse en asuntos más urgentes.
• Implementar una arquitectura Zero Trust. Según Gartner®, al menos el 70 % de las nuevas implementaciones de acceso remoto serán atendidas principalmente por ZTNA en lugar de servicios VPN para 2025, frente a menos del 10 % a finales de 2021. Esto se debe a que la seguridad Zero Trust solo otorga acceso en función del contexto (es decir, usuario, dispositivo, ubicación y aplicación), garantizando que los malintencionados queden fuera en todas las circunstancias.

Cuando se trata de Zero Trust, solo un proveedor ofrece una plataforma Zero Trust nativa de la nube. Resulta que es el mismo proveedor que se asocia con los mejores arquitectos de XDR para que pueda detectar amenazas en todos sus puntos finales, nubes y datos. Ese proveedor es Zscaler.

Cómo puede ayudar Zscaler

Zscaler es el único proveedor de servicios de seguridad con una plataforma lo suficientemente sólida como para defenderse de las últimas amenazas actuales, incluidos los ataques DoS y DDoS. Zscaler Private Access™ (ZPA™) es parte de Zscaler Zero Trust Exchange™, la plataforma de perímetro de servicio de seguridad (SSE) mejor valorada y más implementada del mundo.

El diseño exclusivo de ZPA se basa en cuatro principios clave:

• Conectar a los usuarios a las aplicaciones sin colocarlos en la red
• Nunca exponer las aplicaciones a usuarios no autorizados
• Habilitar la segmentación de aplicaciones sin segmentación de la red
• Proporcionar acceso remoto seguro sin utilizar dispositivos VPN

ZPA ofrece una manera sencilla, segura y eficaz para acceder a aplicaciones internas. El acceso se basa en políticas creadas por el administrador de TI dentro del Portal de administración de ZPA y alojadas en la nube de Zscaler. Nuestro Zscaler Client Connector está instalado en cada dispositivo de usuario, lo que asegura la postura del dispositivo y extiende un microtúnel seguro hacia la nube de Zscaler cuando un usuario intenta acceder a una aplicación interna.

Junto a una aplicación que se ejecuta en una nube pública o centro de datos, ZPA coloca nuestro App Connector, implementado como una máquina virtual, que se utiliza para extender un microtúnel a la nube de Zscaler. El Z-Connector establece una conexión saliente a la nube y no recibe ninguna solicitud de conexión entrante para evitar los ataques DDoS.

Dentro de la nube de Zscaler, un agente de seguridad de acceso a la nube, o CASB, aprueba el acceso y une la conexión del usuario a la aplicación. ZPA está 100 % definido por software, por lo que no requiere dispositivos y permite a los usuarios beneficiarse de la nube y la movilidad mientras mantienen la seguridad de sus aplicaciones, que son ventajas impensables con los métodos tradicionales de conectividad de red y los firewalls locales heredados.