¿Qué es un ataque de denegación de servicio (DoS)?

¿Cómo funciona un ataque DoS?

En un ataque de denegación de servicio, un hacker utiliza un programa para inundar un servidor con tráfico malicioso. Las solicitudes que componen este tráfico parecen provenir de usuarios legítimos, por lo que el servidor valida todas las solicitudes. En efecto, el "servicio" se "niega" a los usuarios legítimos debido a la pérdida resultante de ancho de banda y recursos de red.

El sistema o los datos que sufren el ataque se vuelven inaccesibles para los usuarios que los necesitan. Los ataques DoS a menudo se utilizan para la extorsión porque, por ejemplo, una empresa que no puede brindar su servicio a los clientes puede perder ingresos y sufrir daños a la reputación. En este sentido, el DoS es similar al ransomware, pero el rehén es el servicio de la víctima, en lugar de sus datos.

¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?

Cuando un ataque DoS proviene de una sola fuente, un ataque distribuido de denegación de servicio o un ataque DDoS transmite solicitudes fraudulentas de múltiples fuentes simultáneamente. Por lo general, un atacante aprovechará un grupo de dispositivos conectados a Internet, a veces a escala global, para inundar el servidor de destino, lo que puede abrumarlo mucho más fácilmente que un ataque DoS.

Ese grupo de computadoras infectadas se denomina botnet. Las botnets operan de manera sincronizada, a la espera de instrucciones de un atacante en una sola dirección IP para lanzar un ataque de inundación. Estos ataques suelen estar programados para comenzar en un momento específico y pueden durar horas o incluso días.

Un servidor que se enfrenta a un ataque DoS puede simplemente cerrar la conexión única que distribuye el ataque. Los ataques DDoS son mucho más peligrosos y difíciles de mitigar porque la afluencia de tráfico proviene de múltiples fuentes a la vez.

Además, los atacantes ahora están usando dispositivos de Internet de las cosas (IoT) para hacer que sus botnets sean aún más peligrosas al reducir los procesos manuales. Es decir, pueden usar dispositivos IoT para facilitar la sincronización de sus dispositivos botnet, aumentando la efectividad de sus ataques.

¿Cuáles son algunos ataques DoS históricamente significativos?

Los ataques DDoS son mucho más comunes que los ataques DoS, principalmente porque los ataques DDoS son mucho más difíciles de bloquear y, por lo tanto, pueden realizarse durante un período de tiempo más largo.

Los proveedores de servicios en la nube a menudo son víctimas de DDoS debido a su vulnerabilidad inherente a tales amenazas. Aquí mencionamos algunos ataques más recientes que llegaron a los titulares:

• Amazon:  En febrero de 2020, Amazon sufrió uno de los mayores ataques DDoS jamás registrados. Utilizando los reflectores del protocolo ligero de acceso a directorios sin conexión (CLDAP), los atacantes asaltaron a un cliente de AWS a una velocidad de 3.3 terabytes por segundo durante tres días.
• GitHub: En febrero de 2018, los atacantes lanzaron una ráfaga de 1.35 terabytes por segundo a los servidores GitHub durante 20 minutos. "Decenas de miles de puntos finales únicos" albergaban "más de mil sistemas autónomos diferentes" que lanzaron el ataque.
• Google: En octubre de 2020, Google sufrió un ataque de amplificación UDP de seis meses de duración que se montó en tres proveedores chinos de servicios de Internet (ISP), enviando más de 2.5 terabytes por segundo de datos basura a los servidores de Google.

¿Cómo se puede identificar un ataque DoS?

Los proveedores de infraestructura tienden a no filtrar los anuncios de ruta, que indican a la gente cómo ir de un lugar a otro en Internet. Más importante aún, también tienden a no filtrar los paquetes para verificar el origen del tráfico. Estas dos condiciones permiten que los malintencionados envíen tráfico de ataque a un objetivo fácilmente.

Los atacantes generalmente están motivados por tres cosas: hostilidad hacia el objetivo (esta es la típica motivación de los ataques de los hacktivistas), extorsión y el deseo de robar a alguien mientras se le niega el servicio. Si bien no existe una señal de alerta temprana de un ataque DoS, un profesional de seguridad con experiencia puede detectar el tráfico que envía un atacante para determinar si usted es un objetivo viable o no.

Los delincuentes enviarán una gran cantidad de solicitudes, por ejemplo, a diferentes partes de un sitio web, para ver si los servidores web son vulnerables a un ataque DoS. Estos primeros "temblores" en la web son una señal de que su organización puede sufrir un ataque.

Con la supervisión adecuada de la seguridad de la red, su equipo de ciberseguridad puede analizar el tráfico de la red y descubrir patrones en paquetes que son señales claras de un ataque. Para identificar si está siendo atacado en tiempo real, necesita observar los metadatos de sus dispositivos de red, es decir, enrutadores y conmutadores, una tarea más fácil de realizar con una herramienta de supervisión de alta calidad.

Tipos de ataques DoS

Existen cuatro tipos principales de ataques DoS que tienen como objetivo aprovechar o extorsionar sistemas y datos:

• Redirección del navegador: Un usuario solicita que se cargue una página, pero un hacker redirige al usuario a otra página maliciosa.
• Cierre de conexión: Un malintencionado cierra un puerto abierto, negando a un usuario el acceso a una base de datos.
• Destrucción de datos: Un hacker elimina archivos, lo que lleva a un error de "recurso no encontrado" cuando alguien solicita ese archivo, o, si una aplicación contiene una vulnerabilidad que la deja expuesta a ataques de inyección, el malintencionado puede denegar el servicio eliminando la tabla de la base de datos.
• Agotamiento de recursos: Un malintencionado solicitará repetidamente el acceso a un recurso en particular, sobrecargando la aplicación web para que se ralentice o se bloquee al volver a cargar repetidamente la página.

Tipos de ataque DDoS

He aquí algunos ejemplos específicos de ataques DDoS para recordar:

• inundación SYN: Un atacante explota una comunicación TCP (SYN-ACK) enviando una gran cantidad de paquetes SYN que consumen los recursos del sistema objetivo.
• Suplantación de identidad (Spoofing): Un atacante se hace pasar por un usuario o dispositivo y, después de ganarse la confianza, utiliza paquetes que suplantan la identidad para lanzar un ciberataque.
• Ataque DDoSen la capa de aplicación : Como su nombre lo sugiere, este ataque, una vez implementado, explotará una vulnerabilidad o una configuración incorrecta en una aplicación y negará al usuario el acceso o el uso de la aplicación.
• Inundación del sistemade nombres de dominio (DNS): También conocido como ataque de amplificación de DNS, un atacante interrumpe la resolución DNS de un nombre de dominio determinado inundando sus servidores.
• Inundacióndel protocolo de mensajes de control de Internet (ICMP):También conocida como inundación de ping, un atacante falsifica una IP de origen y crea un ataque smurf. Este método también se puede usar para enviar un "ping de la muerte", en el que un paquete grande causa un desbordamiento de búfer
• Inundacióndel protocolo de datagramas de usuario (UDP): Un atacante inunda puertos aleatorios en su objetivo, que luego consume recursos y responde con paquetes de "destino inalcanzable".

Prevención de ataques DoS

Los ataques DoS o DDoS pueden ocurrir en cualquier momento, pero con las mejores prácticas adecuadas, puede asegurarse de que su organización tenga todas las herramientas y protocolos necesarios para una defensa sólida.

He aquí cinco maneras de prevenir un ataque DoS:

1. Cree un plan de respuesta para DoS. Revise su sistema e identifique posibles fallas de seguridad, vulnerabilidades o deficiencias en la postura. Diseñe un plan de respuesta en caso de un ataque.
2. Proteja su infraestructura. Un firewall eficaz basado en la nube, la supervisión del tráfico y las soluciones de inteligencia de amenazas, como la detección o prevención de intrusiones, aumentan en gran medida sus posibilidades de defenderse de los ataques DoS.
3. Conozca las señales de advertencia. Busque un rendimiento lento de la red, tiempo de inactividad del sitio web, una interrupción o un aumento repentino del spam. Todo esto requiere de una acción inmediata.
4. Adopte servicios basados en la nube. Los recursos en la nube le brindan más ancho de banda que los locales, y debido a que sus servidores no están todos en las mismas ubicaciones, los atacantes tendrán más dificultades para atacarlo.
5. Supervise la actividad inusual. Esto permitirá a su equipo de seguridad detectar y mitigar un ataque DoS o DDoS en tiempo real. En la siguiente sección, veremos algunas formas de reducir el riesgo de ataques DoS y DDoS por completo.

¿Cómo se puede reducir el riesgo de un ataque DoS?

Una postura de seguridad y visibilidad deficientes puede abrir la puerta no solo a los ataques DoS y DDoS, sino también a otras amenazas como malware, ransomware, spear phishing y más. Para mantener su organización segura y maximizar sus posibilidades de mitigar eficientemente los ataques DoS y DDoS, se necesita una protección DoS y DDoS adecuada. Estas son algunas formas en las que puede reducir la probabilidad de recibir ataques DoS o DDoS:

• Obtenga su seguridad desde la nube. La seguridad distribuida en la nube le permite extender las políticas a todos sus usuarios, dondequiera que estén y sea cual sea su dispositivo, y le brinda una visibilidad completa de su entorno. Además, con actualizaciones automáticas y sin necesidad de aplicar parches o realizar ajustes manualmente, siempre estará preparado para defenderse de las últimas amenazas.
• Adopte detección y respuesta ampliadas (XDR). XDR es una evolución de la detección y respuesta de puntos finales (EDR) que le ofrece visibilidad de las amenazas en el punto final, así como información sobre los posibles riesgos para la seguridad de los datos y la nube, todo ello con inteligencia integral sobre amenazas incluida. Esto frenará la oleada de falsos positivos que suele experimentar un equipo de seguridad y le permitirá ser más productivo.
• Considere un centro de operaciones de seguridad (SOC). Un SOC administrado en la nube le permite cubrir lugares en los que su equipo de seguridad puede no tener el ancho de banda. Por ejemplo, aprovisionamiento de políticas en la nube, detección y respuesta a amenazas, protección de datos y hasta en algunos casos, cumplimiento. Al igual que XDR, un SOC administrado le brinda a usted y a su equipo la libertad de poner su atención en los asuntos más urgentes.
• Implemente una arquitectura de confianza cero. Según Gartner, al menos el 70 % de las nuevas implementaciones de acceso remoto se realizarán principalmente mediante ZTNA en lugar de servicios VPN para 2025, un porcentaje que debe compararse con menos del 10 % a finales de 2021. Esto se debe a que la seguridad de confianza cero solo concede acceso en función del contexto (es decir, el usuario, el dispositivo, la ubicación y la aplicación), lo que garantiza que los actores maliciosos se mantengan al margen en cualquier circunstancia.

Cuando se trata de zero trust, solo un proveedor entrega zero trust con origen en la nube. Y resulta que se trata del mismo proveedor asociado con los mejores arquitectos XDR para permitirle detectar amenazas en todos sus puntos finales, nubes y datos. Ese proveedor es Zscaler.

Cómo puede ayudar Zscaler

Zscaler es el único proveedor de servicios de seguridad con una plataforma lo suficientemente sólida para defenderse de las últimas amenazas actuales, incluidos los ataques DoS y DDoS. Zscaler Private Access™ (ZPA™) forma parte de Zscaler Zero Trust Exchange™ la plataforma Security Service Edge (SSE) mejor calificada y más implementada del mundo.

El diseño exclusivo de ZPA se basa en cuatro principios clave:

• Conectar los usuarios a las aplicaciones, sin colocar a los usuarios en la red
• Nunca exponer las aplicaciones a usuarios no autorizados
• Habilitar la segmentación de aplicaciones sin segmentación de red
• Proporcionar acceso remoto seguro sin dispositivos VPN

ZPA proporciona una manera simple, segura y eficiente de acceder a las aplicaciones internas. El acceso se basa en políticas creadas por el administrador de TI dentro del portal de administración de ZPA que están alojadas dentro de la nube de Zscaler. En cada dispositivo de usuario se instala nuestro Zscaler Client Connector que garantiza la postura del dispositivo del usuario y extiende un microtúnel seguro a la nube de Zscaler cuando un usuario intenta acceder a una aplicación interna.

Junto a una aplicación que se ejecuta en una nube pública o centro de datos, ZPA coloca nuestro App Connector, implementado como una máquina virtual, que se utiliza para extender un microtúnel a la nube de Zscaler. El Z-Connector establece una conexión saliente a la nube y no recibe ninguna solicitud de conexión entrante para evitar los ataques DDoS.

Dentro de la nube de Zscaler, un el agente de seguridad de acceso a la nube, o CASB, aprueba el acceso y une la conexión del usuario a la aplicación. La ZPA está 100 % definida por software, por lo que no requiere dispositivos y permite a los usuarios beneficiarse de la nube y la movilidad al tiempo que mantiene la seguridad de sus aplicaciones. Estas son ventajas inalcanzables con los métodos tradicionales de conectividad de red y los firewalls locales heredados.