Glosario: Términos y definiciones de ciberseguridad

¿Qué es la mitigación de DDoS?

Los ataques distribuidos de denegación de servicio (DDoS) pueden amenazar la disponibilidad de las aplicaciones, por lo que es fundamental contar con una solución de mitigación de DDoS.

Los ataques de denegación de servicio distribuido (DDoS) son un tipo de ciberataque que se dirige a aplicações o sitios web específicos con el objetivo de agotar los recursos del sistema de destino, dejándolo inalcanzable o inaccesible para usuarios legítimos. En 2023, los ataques a la capa de aplicação aumentaron un 165% , y el sector tecnológico ocupó el primer lugar como el más atacado de todas las verticales. Por eso es fundamental contar con una solución integral de mitigación de DDoS para mantener el tiempo de actividad y la resiliencia.  

Conceptos clave de los ataques de DDoS

Antes de profundizar en los métodos y soluciones de mitigación de DDoS, es importante comprender en profundidad las amenazas DDoS actuales. Un ataque de denegación de servicio distribuido (DDoS) degrada la infraestructura al inundar el recurso objetivo con tráfico y sobrecargándolo hasta el punto de dejarlo inoperable. Un ataque DDoS también puede enviar un mensaje específicamente diseñado que afecte el rendimiento de la aplicação . Los ataques DDoS pueden tener como objetivo la infraestructura de red, como las tablas de estado del firewall, así como recursos de aplicação , como servidores y CPU. 

Los ataques de DDoS pueden tener graves consecuencias, ya que comprometen la disponibilidad e integridad de los servicios en línea y causan importantes perturbaciones, con el consiguiente riesgo de pérdidas financieras y daños a la reputación. Estos ataques también pueden utilizarse como distracción para que los agentes malintencionados puedan acceder a datos importantes

Los ataques DDoS son un tipo de ataques de denegación de servicio (DoS) que buscan interrumpir el funcionamiento normal de una red, servidor o sitio web al sobrecargarlo con tráfico. Por otro lado, un ataque DDoS utiliza múltiples dispositivos para inundar el objetivo con tráfico. Debido a que un ataque DDoS involucra varios sistemas que atacan a un solo sistema, representan una amenaza mucho mayor y más complicada de frustrar. 

Estos son los tipos comunes de ataques de DDoS que se observan en el modelo de interconexión de sistemas abiertos (OSI) de siete capas:

  • Los ataques volumétricos están diseñados para saturar una red con un volumen de tráfico tan grande que la red se vuelve inoperable. Estos ataques generalmente se ejecutan mediante una botnet, que es una red de dispositivos comprometidos controlados por un solo atacante.
  • Los ataques de protocolo apuntan a la capa de red del modelo OSI y explotan vulnerabilidades en protocolos de red como TCP/IP, ICMP y UDP. Estos ataques están diseñados para sobrecargar los recursos de los dispositivos de red, como firewalls, enrutadores y balanceadores de carga, causando así la interrupción del servicio. Estos también se conocen como ataques “computacionales”.
  • Los ataques a la capa de aplicação tienen como objetivo la capa de aplicação del modelo OSI y explotan vulnerabilidades en aplicações web como HTTP, HTTPS y DNS. Estos ataques están diseñados para agotar los recursos de los servidores web, provocando así la interrupción del servicio.

Vectores de ataque habituales en los ataques DDoS:

  1. Inundación UDP: Este ataque inunda el servidor de destino con paquetes de Protocolo de datagramas de usuario (UDP), lo que puede provocar que el servidor se bloquee o deje de responder. 
  2. Inundación TCP SYN: Este ataque explota el proceso de protocolo de enlace de tres vías utilizado por el Protocolo de Control de Transmisión (TCP) para establecer una conexión entre dos dispositivos. El atacante envía una gran cantidad de paquetes SYN al servidor de destino, lo que puede provocar que deje de responder.
  3. Inundación HTTP: Este ataque tiene como objetivo servidores web enviando una gran cantidad de solicitudes HTTP al servidor de destino, lo que puede provocar que deje de responder.
  4. Amplificación de DNS: Este ataque explota el Sistema de nombres de dominio (DNS) para inundar el servidor de destino con paquetes de respuesta DNS, lo que puede provocar que deje de responder. 
  5. Amplificación de NTP: Este ataque explota el Protocolo de tiempo de red (NTP) para inundar el servidor de destino con paquetes de respuesta NTP, lo que puede provocar que deje de responder. 
  6. Amplificación SSDP: Este ataque explota el Protocolo simple de descubrimiento de servicios (SSDP) para inundar el servidor de destino con paquetes de respuesta SSDP, lo que puede provocar que deje de responder. 
  7. Inundación SYN-ACK: Este ataque explota el proceso de protocolo de enlace de tres vías TCP enviando una gran cantidad de paquetes SYN-ACK al servidor de destino, lo que puede provocar que deje de responder. 
  8. Lectura lenta HTTP: Este ataque envía solicitudes HTTP al servidor de destino, pero lee la respuesta lentamente, lo que puede provocar que el servidor deje de responder. 
  9. Ping de la muerte: Este ataque envía un paquete de ping de gran tamaño al servidor de destino, lo que puede provocar que se bloquee o deje de responder. 
  10. Ataque de los pitufos: Este ataque explota el Protocolo de mensajes de control de Internet (ICMP) para inundar el servidor de destino con solicitudes de ping de múltiples fuentes, lo que puede provocar que deje de responder. 
  11. URL pesada: Durante la fase de reconocimiento de la planificación del ataque, un atacante busca las URL computacionalmente más costosas de un sitio web y las utiliza como parte de un ataque DDoS. Estas se conocen como URL “pesadas” porque suponen una mayor carga para el servidor cuando se solicitan.  
  12. Bajo y lento: El objetivo de estos ataques DDoS es reducir los recursos de las aplicação de forma silenciosa y sigilosa, y hacerlo utilizando muy poco ancho de banda. Por eso, son difíciles de detectar y, como ocurren en la capa de aplicação , donde ya está establecida una conexión TCP, las solicitudes HTTP parecen legítimas.
Gráfico de protección de DDoS

Por lo tanto, la amenaza de los ataques DDoS es enorme, lo que potencialmente deja a las empresas más vulnerables a los ciberataques. Eso significa que es esencial comprender cómo ocurren los ataques DDoS, para poder tomar medidas para mitigarlos.

Por qué es crucial implementar la mitigación de DDoS en la disponibilidad de una política de ciberseguridad

Los ataques de DDoS pueden causar importantes periodos de inactividad e interrumpir la disponibilidad de los servicios, lo que provoca pérdidas económicas y daños a la reputación.

Protección: Al incorporar medidas de mitigación de DDoS, su empresa reduce el riesgo de que tráfico malicioso llegue a su infraestructura de red, al tiempo que garantiza que los usuarios legítimos puedan acceder a sus sitios web y aplicações web. Los ataques DDoS a veces se utilizan como cortina de humo para distraer a los equipos de seguridad de una campaña de ataque coordinada que puede conducir a una violación de datos. Y algunos tipos de ataques simplemente no se pueden “codificar” .

Resiliencia: Invertir en tecnología eficaz de mitigación de DDoS mejora la resiliencia de una organización frente a adversarios de estados nacionales y otros actores maliciosos, lo que la convierte en un objetivo menos atractivo.

Ahorro de costes: Mitigar rápidamente los ataques DDoS puede ahorrarles a las organizaciones tiempo y dinero.

Al incluir la mitigación de DDoS en una política de ciberseguridad, las organizaciones pueden proteger de forma proactiva sus recursos , mantener la disponibilidad del servicio y minimizar el impacto de posibles ataques DDoS.

Técnicas de mitigación de DDoS

Ahora entendemos qué es lo que está en riesgo de ser vulnerable a ataques DDoS, incluidos datos y aplicações críticos para el negocio, y por qué es fundamental implementar una solución de mitigación de DDoS. Ahora podemos revisar los tipos de mitigación de DDoS para que pueda determinar la mejor solución para sus necesidades.

Mitigación de DDoS en la infraestructura local

Existen varios tipos de soluciones y medidas locales que una organización puede aplicar para reducir el riesgo de ataques de DDoS. Algunas de ellas pueden utilizarse además de las basadas en la nube para crear una postura de defensa general más sólida.

  • Fortalecimiento de la infraestructura de red : Esta solución implica reforzar la infraestructura de red para resistir ataques DDoS. Incluye aumentar el ancho de banda, agregar enlaces redundantes y actualizar los dispositivos de red. 
  • Limitación de velocidad y modelado del tráfico: Esta solución implica limitar la cantidad de tráfico que puede ingresar a la red. Se puede implementar estableciendo límites de velocidad en los dispositivos de red o utilizando técnicas de modelado de tráfico para priorizar el tráfico.
  • Cortafuegos y sistemas de prevención de intrusiones (IPS): Esta solución implica el uso de firewalls y dispositivos IPS para filtrar el tráfico malicioso. Los firewalls pueden bloquear el tráfico según direcciones IP, puertos y protocolos, mientras que los dispositivos IPS pueden detectar y bloquear ataques según sus firmas.

Protección de DDoS basada en la nube

Trasladar los esfuerzos de mitigación de DDoS a la nube o a una solución híbrida ayuda a aumentar la eficiencia, la escalabilidad y la eficacia. Algunas soluciones basadas en la nube se pueden integrar con soluciones locales. Las soluciones de mitigación de DDoS basadas en la nube operan en redes de distribución en la nube, o CDN

  • El enrutamiento anycast distribuye el tráfico al centro de datos más cercano que pueda manejarlo. Funciona anunciando la misma red en diferentes partes de la red, para reducir el “tiempo de viaje” para llegar a ella. Cuando una red CDN utiliza enrutamiento anycast , distribuye el tráfico de forma más estratégica, lo que aumenta la superficie de la red receptora y ayuda a redirigir grandes volúmenes de tráfico a más centros de datos.
  • Los centros de depuración de tráfico son centros de datos diseñados para filtrar el tráfico malicioso del tráfico legítimo. Se utilizan para mitigar ataques DDoS filtrando el tráfico de ataque y reenviando tráfico limpio a los servidores del cliente. Cuando se produce un ataque DDoS, el tráfico se enruta a través del centro de depuración , donde se analiza y se filtra. Luego, el tráfico limpio se reenvía a los servidores del cliente.

Mitigación de DDoS basado en la nube híbrida

Trasladar los esfuerzos de mitigación de DDoS a una solución híbrida puede aportar lo mejor de la seguridad de la nube pública y la nube privada o la gestión local. Un modelo híbrido puede permitir a las empresas adaptar aún más su postura de seguridad a sus necesidades de datos únicas.

Mitigación de DDoS en aplicaciones

Las aplicaciones son el motor de las empresas modernas, pero cada vez son más el blanco de ataques DDoS. La mitigación de DDoS tradicional es estática y centralizada, pero como las aplicaciones están distribuidas por nubes y arquitecturas, necesitan una solución de mitigación de DDoS que sea escalable y flexible para ofrecer la máxima protección.

Componentes de la mitigación de DDoS

Una estrategia integral de mitigación de DDoS suele incluir varios componentes clave.

Análisis y control del tráfico

El primer paso en la mitigación de DDoS es detectar problemas o riesgos potenciales. Los dos métodos principales para identificar y alertar sobre amenazas son la detección basada en firmas y la detección basada en anomalías.

La detección basada en firmas se basa en una lista preprogramada de indicadores de compromiso (IOC) conocidos para identificar amenazas. Estos IOC podrían incluir comportamiento de ataque de red malicioso , contenido de líneas de asunto de correo electrónico, hashes de archivos, secuencias de bytes conocidas o dominios maliciosos, entre otros problemas. La detección basada en firmas tiene una alta velocidad de procesamiento para ataques conocidos y bajas tasas de falsos positivos, pero no puede detectar exploits de día cero.

La detección basada en anomalías , por otro lado, es capaz de alertar sobre comportamiento sospechoso desconocido. La detección basada en anomalías implica primero entrenar el sistema con una línea de base normalizada y luego comparar la actividad con esa línea de base; una vez que detecta algo fuera de lo normal, se activa una alerta. La detección basada en anomalías puede tener tasas más elevadas de falsos positivos. 

Desvío de tráfico en tiempo real

Proteger los recursos DNS es fundamental para la empresa. Dos soluciones de desvío de tráfico en tiempo real pueden ayudarle.

  • La redirección de DNS implica redirigir las consultas DNS de un nombre de dominio a otro. Esto puede ser útil en situaciones en las que un sitio web se ha mudado a un nuevo nombre de dominio o cuando una empresa desea redirigir el tráfico de un nombre de dominio a otro. La redirección de DNS se puede implementar utilizando un registro CNAME en el archivo de zona DNS. Cuando se recibe una consulta DNS para el nombre de dominio original, el servidor DNS responde con un registro CNAME que apunta al nuevo nombre de dominio. Luego, el cliente envía una nueva consulta DNS para el nuevo nombre de dominio.
  • BGP Anycast implica anunciar la misma dirección IP desde múltiples ubicaciones en Internet. En BGP Anycast, el Protocolo de puerta de enlace de borde (BGP) se utiliza para anunciar la dirección IP desde múltiples ubicaciones. Cuando un cliente envía una consulta DNS a una dirección IP Anycast, la consulta se enruta a la ubicación más cercana que anuncia la dirección IP. Esto puede ayudar a mejorar el rendimiento y la disponibilidad de los servicios DNS al reducir la latencia. BGP Anycast normalmente lo utilizan grandes organizaciones que tienen múltiples centros de datos ubicados en diferentes regiones geográficas.

Filtrado y limpieza de ataques

A medida que el tráfico circula hacia y a través de su red, es necesario contar con una solución de mitigación DDoS que lo supervise de forma continua para detectar cualquier actividad malintencionada.

  • La identificación de tráfico malicioso funciona examinando el tráfico que proviene del cliente antes de enviarlo al nivel de aplicação , lo que garantiza que el tráfico malicioso nunca pase la barrera del proxy. El tráfico que regresa desde el servidor se puede examinar por completo antes de considerar que es aceptable volver al cliente. Esto ayuda a garantizar que datos confidenciales como números de tarjetas de crédito o información personal identificable nunca pasen a través de la barrera del proxy.
  • Se utilizan algoritmos y técnicas de depuración para encontrar y eliminar el tráfico malicioso que ingresa a su red. Los centros de depuración son la primera parada del tráfico; en los centros, el tráfico se clasifica en función de sus características y posibles metodologías de ataque. Se continúa verificando el tráfico a medida que atraviesa el centro de depuración para confirmar que el tráfico malicioso se ha eliminado por completo. Este control de seguridad es fundamental porque los ataques DDoS pueden saturar fácilmente las vías de ingreso al entorno del cliente.

Factores de mitigación de DDoS para tener en cuenta al elegir un proveedor

Cuando considere la solución de mitigación de DDoS adecuada para las necesidades de su organización, querrá sopesar los siguientes factores teniendo en cuenta la trayectoria de crecimiento de su empresa y la posible superficie de riesgo. Y cuando y si está considerando un servicio en la nube, ahora tiene la opción de elegir entre varias nubes públicas (AWS, Google Cloud, Microsoft Azure y Alibaba Cloud), así como empresas de nube privada.

Factores para tener en cuenta al elegir un proveedor de mitigación de DDoS

 

Buenas prácticas para la mitigación de DDoS

Una solución integral de mitigación de DDoS ayuda a cubrir su red de forma preventiva, con respuesta a incidentes en tiempo real y pruebas y revisiones continuas para garantizar el máximo rendimiento.

Medidas proactivas

Diseño de arquitectura de red: Una arquitectura de red bien diseñada puede ayudar a prevenir ataques DDoS al garantizar que la red sea resistente y pueda soportar grandes volúmenes de tráfico. Por ejemplo, una red diseñada con múltiples capas de seguridad, incluidos firewalls, sistemas de detección de intrusiones y otras medidas de seguridad, puede ayudar a evitar que los ataques DDoS penetren en la red. Además, la segmentación de la red puede ayudar a limitar el impacto de un ataque al aislar las áreas afectadas de la red. 

Equilibrio de carga: El equilibrio de carga puede ayudar a prevenir ataques DDoS al distribuir el tráfico entre múltiples servidores, lo que puede ayudar a evitar que un servidor se sature. Esto puede ayudar a garantizar que la red permanezca disponible incluso durante un ataque DDoS. Los balanceadores de carga también pueden ayudar a detectar y bloquear tráfico malicioso, lo que puede ayudar a prevenir que los ataques DDoS tengan éxito. 

SLA detallados del proveedor: Al considerar a un tercero para la protección contra ataques DDoS, es fundamental comprender las capacidades del proveedor en cada escenario de DDoS y tener protocolos, acciones y respuestas incorporados en el SLA.

Respuesta a incidentes

Pasos para el manejo de incidentes DDoS: Hay seis pasos clave involucrados en la respuesta rápida y efectiva a un incidente DDoS, aunque es importante señalar que estos pasos no ocurren de manera lineal, sino más bien en un bucle. 

  1. Preparación : Establecer contactos, definir procedimientos y reunir herramientas para ahorrar tiempo durante un ataque. 
  2. Detección : Detectar el incidente, determinar su alcance e involucrar a las partes apropiadas. 
  3. Análisis : Analizar el tráfico de ataque para determinar sus características e identificar el objetivo. 
  4. Contención : Contenga el ataque filtrando el tráfico y bloqueando el tráfico malicioso. 
  5. Erradicación : Erradicar el ataque eliminando el tráfico malicioso de la red. 
  6. Recuperación : Recupérese del ataque restaurando los servicios y revisando el incidente. 

Protocolos de comunicación con el proveedor de mitigación durante un incidente DDoS: Desde el principio, es clave que una empresa y su proveedor de mitigación sigan un protocolo de comunicación estricto. Estas son las mejores prácticas recomendadas para la comunicación durante un incidente: 

  • Establecer un plan de comunicación: Establezca un plan de comunicación con su proveedor de mitigación de DDoS antes de que se produzca un ataque. Este plan debe incluir información de contacto del personal clave, procedimientos de escalada y canales de comunicación.
  • Proporcionar información detallada: Proporcione a su proveedor de mitigación de DDoS información detallada sobre el ataque, incluido el tipo de ataque, el objetivo y la duración del ataque. Esta información puede ayudar a su proveedor a desarrollar una estrategia de mitigación eficaz.
  • Colabora con tu proveedor: Trabaje en estrecha colaboración con su proveedor de mitigación de DDoS para desarrollar una estrategia de mitigación adaptada a las necesidades de su organización. Esto puede incluir ajustar el enrutamiento del tráfico, filtrar el tráfico o bloquear el tráfico malicioso. 
  • Supervisar la situación: Supervise la situación de cerca y proporcione actualizaciones periódicas a su proveedor de mitigación de DDoS. Esto puede ayudar a su proveedor a ajustar su estrategia de mitigación según sea necesario.
  • Revisar el incidente: Una vez mitigado el ataque, revise el incidente con su proveedor de mitigación DDoS para determinar áreas de mejora y actualizar su plan de respuesta a incidentes según sea necesario.

Pruebas y revisiones periódicas

Los equipos de TI y seguridad deben realizar análisis y pruebas periódicamente. Un tipo de prueba es la prueba de equipo rojo , que implica simular las tácticas y técnicas de atacantes del mundo real. En este caso, los evaluadores del equipo rojo probarían una variedad de ataques DDoS para monitorear las respuestas de la solución de mitigación.  

También es fundamental mantenerse actualizado sobre las tendencias en ciberataques, especialmente porque los actores maliciosos de todo el mundo continúan cambiando sus métodos. Una solución de mitigación debe ser escalable y adaptable a cualquier nuevo tipo de interrupción. 

Casos prácticos de mitigación de ataques de DDoS

Las organizaciones de cualquier sector, tamaño o ubicación pueden beneficiarse de contar con una solución confiable de mitigación de DDoS. Los casos prácticos evidencian la efectividad de estas soluciones en diversos escenarios. Empresas similares a la suya han obtenido resultados cuantificables al enfrentar los riesgos asociados con los ataques de DDoS.

  • Estudio de caso : Descubra cómo una compañía de seguros líder frustró un intento de ataque DDoS, al tiempo que ayudó a proteger sus aplicações y usuarios. 
  • Video : Descubra cómo F5 ayudó a un proveedor de correo electrónico a detener una consolidación de sus equipos de red para reducir la superficie de ataque potencial y mejorar la seguridad operativa. 

Tendencias futuras en la mitigación de DDoS

Si bien los ataques DDoS existen desde hace décadas, los actores maliciosos que los llevan a cabo son cada vez más sofisticados y agresivos. Es importante estar al tanto de las tendencias actuales y futuras en el área de ciberseguridad DDoS

A alto nivel, F5 ha encontrado estas tendencias en 2023:

  • Los ataques a la capa de aplicación aumentan un 165 %.
  • El sector tecnológico ocupa el primer puesto como el más atacado respecto a 2022.
  • El total de sucesos observados desciende un 9,7 %.
  • El ancho de banda máximo aumenta un 216 % desde 2020
  • Todos los sectores verticales deberían esperar ver más DDoS multivectoriales y de aplicaciones

Además, hay tres áreas en auge que los expertos en ciberseguridad no pierden de vista:

Inteligencia artificial y aprendizaje automático : A medida que más empresas implementan IA y ML en otras partes de sus negocios, como la fabricación o el servicio al cliente, hay funciones que pueden desempeñar en la detección y mitigación de ataques DDoS.  Un estudio reciente mostró que el uso de un método de inteligencia artificial para detectar ataques DDoS resultó en una precisión de más del 96 por ciento.  

Internet de las cosas (IoT) : La IoT está creciendo, pero proteger las superficies informáticas adicionales involucradas puede dejar estas soluciones más vulnerables a los ataques. Los expertos sugieren adoptar prácticas de seguridad más robustas, protección con contraseña y uso de firewalls o VPS, todo para reducir la cantidad de dispositivos en riesgo de ser atacados.  

Tecnología blockchain : La tecnología Blockchain presenta una opción interesante para la mitigación de DDoS porque, por su naturaleza, Blockchain está descentralizada y tiene almacenamiento distribuido seguro. Esto puede ayudar especialmente en el caso de ataques geográficos, en los que la seguridad también puede estar orientada geográficamente. 

Aunque los ataques de DDoS no van a desaparecer, existen más herramientas para ayudar a mitigarlos, tanto ahora como en los próximos años.

Cómo puede ayudar F5

Los ataques de denegación de servicio distribuido (DDoS) existen desde hace décadas, y no van a desaparecer. Por eso, las empresas deben pensar en el futuro para sus soluciones de mitigación de DDoS. En F5, la ciberseguridad es el centro de prácticamente todo lo que hacemos. Nuestras soluciones de mitigación de DDoS y nuestro soporte estelar dan a su organización la ventaja que necesita para mitigar los riesgos de posibles ataques de DDoS. También es importante asegurarse de que su solución de mitigación de DDoS puede escalar y adaptarse a las necesidades de su empresa, y a la amenaza adaptable de los actores malintencionados de DDoS.

Deje que F5 le ayude en todas las formas en que usted y su red puedan necesitar protección contra ataques DDoS . Contamos con amplia experiencia en la implementación del tipo adecuado de mitigación de DDoS para las necesidades de su organización.