Ataque DoS (Denial of Service)

Hoy en día, en internet es extremadamente importante estar preparado para cualquier peligro. De lo contrario, hay agentes maliciosos que pueden entrar en tu sistema, manipularlo o inutilizarlo. Una de las estrategias clásicas es el ataque DoS. Pero ¿qué es exactamente y cómo puedes protegerte de él?

En sus orígenes, denial of service o DoS se empleaba cuando algunos servicios de internet dejaban de estar disponibles temporalmente en un sistema de TI, como un servidor. Esto ocurre cuando los servidores correspondientes se sobrecargan, por ejemplo, por un número excesivo de solicitudes de los usuarios. Los servicios de internet incluyen sitios web, servicios de correo electrónico o funciones de chat.

En un ataque DoS, el atacante causa esta “negación de servicio” deliberadamente. Para esto, “bombardea” las conexiones de red del sistema informático responsable del intercambio de datos externos con multitud de solicitudes, con el fin de sobrecargarlas. Si el número de solicitudes supera la capacidad del sistema, este se ralentiza o se paraliza por completo, de modo que ya no se pueda acceder a sitios web, funciones de correo electrónico o tiendas en línea.

Un ataque DoS se puede comparar a una situación en una tienda real en la que entran cientos de personas que distraen al personal de ventas con preguntas engañosas, bloquean recursos y no realizan ninguna compra. El personal se sobrecarga hasta que no puede atender a nadie más y los clientes reales no pueden entrar en la tienda o no se les puede atender.

Los ataques DoS puros son, en principio, relativamente fáciles de realizar, sobre todo porque para realizarlos no es necesario penetrar en las medidas de seguridad de un sistema informático. Incluso es posible llevar a cabo este ataque ilegal con un presupuesto relativamente reducido y sin conocimientos técnicos. Se pueden encontrar ciberdelincuentes dispuestos a realizar este tipo de ataques por pocos cientos de euros en la darknet. Si las empresas y organizaciones no están preparadas para los ataques DoS, quedan expuestas a enormes daños con un mínimo esfuerzo por parte de los malhechores.

Un posible indicio de que estás pasando por un ataque DoS es el rendimiento inusualmente lento de toda la red, lo que se nota especialmente al abrir archivos o los propios sitios web. Un ataque DoS exitoso es también fácil de apreciar desde el exterior: los sitios web atacados cargan muy lentamente. Además, algunas funciones, como por ejemplo las de tienda en línea, dejan de funcionar por completo. En el punto álgido del ataque, muchos sitios web dejan de estar accesibles.

Puedes determinar si has sido víctima de un ataque DoS supervisando y analizando el tráfico de red con ayuda de un cortafuegos o con otro sistema de detección de ataques (Intrusion Detection System). Los administradores de la red tienen la capacidad de establecer criterios para detectar el tráfico anormal. Si el número de solicitudes sospechosas al sistema aumenta, se activa automáticamente una alarma. Esto permite tomar contramedidas lo antes posible.

En la actualidad existen muchos tipos diferentes de ataques DoS, que pueden distinguirse a grandes rasgos en ataques contra el ancho de banda, ataques contra los recursos del sistema y ataques que aprovechan las vulnerabilidades de seguridad y los errores de software. Para entender cómo proceden los malhechores en un ataque DoS y qué medidas pueden tomarse para contrarrestarlo, se puede tomar como ejemplo el ataque pitufo o smurf attack.

Este es un tipo específico de ataque DoS dirigido al sistema operativo o la conexión a internet de un sistema o red informática. El atacante envía pings, paquetes de datos ICMP del tipo Echo Request o “solicitud de eco”, a la dirección de emisión de una red. En estos paquetes de datos, el malhechor introduce la dirección del sistema que ataca. Entonces, todos los ordenadores de la red envían una respuesta a este sistema, asumiendo erróneamente que las solicitudes provienen de este. Cuantos más ordenadores formen parte de la red utilizada por el atacante, mayor será el número de supuestas respuestas y más devastador será el ataque.

Para evitar los ataques pitufos, los sistemas ya no responden a los paquetes de tipo “solicitud de eco” de la ICMP y los enrutadores ya no reenvían los paquetes dirigidos a las direcciones de difusión de forma predeterminada. Esta medida de seguridad general ha hecho que los ataques pitufos raras veces tengan éxito.

Existen varias medidas para proteger tu infraestructura contra los ataques de negación de servicio, que puedes combinar entre ellas para reforzarlas. En particular, debes configurar correctamente tus enrutadores y protegerlos con contraseñas fuertes. Con instalar medidas de protección en estos nodos, ya se pueden evitar muchos ataques DoS. De este modo, los paquetes de ataque ya no se admiten en la estructura interna. Un buen cortafuego proporciona seguridad adicional.

Después de determinar el objetivo de un ataque, puedes dedicarle recursos adicionales. La distribución de carga, por ejemplo, permite solicitar capacidad adicional al proveedor de alojamiento con poca antelación para así frustrar ataques DoS antes de que se produzcan.

Nuestro artículo contiene una descripción más precisa de la diferencia entre DDoS y DoS.

La mayoría de los ataques DoS de hoy en día toman la forma de ataques Distributed Denial of Service, que se identifican con las siglas DDoS. Los ataques DoS y DDoS se diferencian porque, mientras que los ataques DoS tienen un origen único (por ejemplo, un ordenador o una red), los ataques DDoS se llevan a cabo de manera indirecta a través de una red de bots, a menudo ampliamente distribuida (de ahí el término distributed).

Una botnet consiste en un grupo de ordenadores pirateados, llamados zombis. Se trata, en general, de ordenadores mal mantenidos, cuyos propietarios raras veces se dan cuenta del software malicioso instalado en ellos o de que los están utilizando para actividades delictivas. El operador de una red de bots puede utilizar este ejército de ordenadores zombis para atacar otros sistemas informáticos.

Existen botnets compuestos por varios millones de ordenadores. Cuando se usan todos en un ataque DDoS, el número de “solicitudes ilegítimas” a una red puede aumentar enormemente. Esta es una de las razones por la que incluso portales con enormes recursos, como Facebook, no están cien por cien seguros contra un ataque DDoS a gran escala.