¿Qué es un ataque DDoS (denegación de servicio distribuida)?

Un ataque de denegación de servicio distribuido (DDoS) deja un sistema inoperativo, dejándolo no disponible para usuarios legítimos.

¿Qué es DDoS? DDoS es un ataque malicioso en el que un sistema se degrada y queda inutilizable para usuarios legítimos. En muchos casos, DDoS es una campaña coordinada durante la cual se utilizan múltiples dispositivos comprometidos para saturar un objetivo con volúmenes masivos de tráfico, volviendo sus servicios inaccesibles para los usuarios previstos.

¿Cómo funciona un ataque DDoS?

Un ataque DDoS degrada la infraestructura al inundar el recurso objetivo con tráfico, sobrecargándolo hasta el punto de dejarlo inoperable o enviando un mensaje específicamente diseñado que perjudica el rendimiento de la aplicação . Los ataques DDoS pueden tener como objetivo la infraestructura de red, como las tablas de estado del firewall, así como recursos de aplicação , como servidores y CPU. Los ataques DDoS pueden tener graves consecuencias, comprometer la disponibilidad e integridad de los servicios en línea y causar interrupciones significativas, con el potencial de provocar pérdidas financieras y daños a la reputación. Estos ataques también pueden usarse como cortina de humo para distraer a los equipos de seguridad y riesgo de la exfiltración de datos. 

Un ataque DDoS es como si miles de personas intentaran atravesar una puerta al mismo tiempo. El resultado es que nadie puede atravesar la puerta, incluidas aquellas personas que tienen un motivo legítimo para pasar al otro lado. O bien, el ataque puede ser como el de una sola persona con una llave que cierra la puerta después de pasar, impidiendo que entre cualquier otra persona. 

Ataques como este suelen estar coordinados entre una gran cantidad de computadoras cliente y otros dispositivos conectados a la red. Es posible que estos recursos controlados por los atacantes hayan sido configurados para este propósito expreso o, más probablemente, hayan sido infectados con malware que permite al atacante controlar de forma remota el dispositivo y reclutarlo en ataques.

Debido a que el ataque proviene de tantas fuentes diferentes, puede ser extremadamente difícil bloquearlo. Imaginemos, de nuevo, la multitud apiñada en la puerta. Simplemente bloquear el paso de una persona ilegítima (o una fuente de tráfico maliciosa) no servirá de nada, ya que hay miles de otras que pueden ocupar su lugar. Los avances en los marcos de automatización permiten ataques para falsificar direcciones IP, números de sistemas autónomos (ASN), agentes de usuario del navegador y otros datos telemétricos para eludir los controles de seguridad tradicionales. 

Es importante distinguir entre ataques de denegación de servicio distribuido (DDoS) y ataques de denegación de servicio (DoS) . Ambos son tipos de ciberataques cuyo objetivo es interrumpir la disponibilidad de un sistema o red objetivo, pero difieren en cómo se llevan a cabo los ataques. 

Un ataque DoS generalmente se lanza desde una única fuente o un número pequeño de fuentes, y el atacante satura el sistema o red de destino con una inundación de tráfico o solicitudes, excediendo su capacidad para manejarlas.

Los ataques DDoS, por otro lado, involucran múltiples fuentes o una botnet, que es una red de computadoras o dispositivos comprometidos bajo el control del atacante. El atacante coordina estas múltiples fuentes para lanzar simultáneamente el ataque contra el objetivo. Los ataques DDoS generalmente son más difíciles de mitigar que los ataques DoS porque provienen de múltiples fuentes, lo que hace que sea un desafío distinguir el tráfico legítimo del tráfico malicioso.

Tipos comunes de ataques DDoS

Si bien el panorama de amenazas DDoS está en constante evolución, F5 ha descubierto que la mayoría de los ataques caen dentro de las siguientes categorías generales. 

Los ataques volumétricos se encuentran entre los tipos más comunes de ataques DDoS. Estos ataques tienen como objetivo saturar el ancho de banda de la red objetivo inundándolo con un volumen masivo de datos o tráfico. Estas técnicas incluyen inundaciones de UDP (Protocolo de datagramas de usuario), inundaciones de ICMP (Protocolo de mensajes de control de Internet) y ataques de reflexión que aprovechan protocolos como NTP (Protocolo de tiempo de red), Memcached y DNS para amplificar la cantidad de tráfico que recibe el objetivo. La gran magnitud del tráfico satura la infraestructura de red del objetivo, provocando que no esté disponible para los usuarios legítimos. Los ataques basados ​​en inundaciones generalmente apuntan a las capas 3, 4 o 7, siendo la inundación SYN un ataque muy común que puede saturar los firewalls de red y otras infraestructura de red críticas. 

  • Como ejemplo de un ataque DDoS volumétrico, en 2018 GitHub, la plataforma de desarrollo de software, experimentó un ataque DDoS volumétrico masivo que interrumpió sus servicios. El ataque alcanzó un ritmo sin precedentes de 1,35 TBps, lo que lo convirtió en uno de los ataques DDoS más grandes jamás registrados en ese momento. Como resultado, el sitio web y los servicios de GitHub experimentaron interrupciones intermitentes y degradación del rendimiento.  

Ataques de protocolo , como aquellos que apuntan a debilidades en la pila de protocolos TCP/IP, que es la base de la comunicación por Internet. Estos ataques apuntan específicamente a la capacidad de la infraestructura de red para rastrear y gestionar el tráfico. Por ejemplo, los ataques de inundación SYN inundan el objetivo con una andanada de paquetes TCP SYN, abrumando la capacidad del objetivo para establecer conexiones legítimas. Estos también se conocen como ataques “computacionales”, ya que a menudo sobrecargan la capacidad de cómputo de los dispositivos de red, como enrutadores y firewalls.

  • En noviembre de 2021, F5 observó y mitigó el mayor ataque de protocolo que la empresa había visto jamás. El ataque, dirigido contra un cliente de servicios financieros, duró solo cuatro minutos y alcanzó su ancho de banda de ataque máximo de casi 1,4 TBps en solo 1,5 minutos. 

Los ataques de vulnerabilidad de aplicação , también conocidos como ataques de capa 7 , apuntan específicamente a la capa de aplicação de la pila de red . Estos ataques se centran en explotar vulnerabilidades de software en las aplicações o servicios que se ejecutan en el servidor objetivo para agotar los recursos del servidor, como CPU, memoria o conexiones de base de datos. Algunos ejemplos de ataques de capa de aplicação incluyen inundaciones HTTP GET (envío de una gran cantidad de solicitudes HTTP), ataques slowloris (mantener abiertas las conexiones con solicitudes parciales), inundaciones HTTP POST, renegociación de TLS y consultas DNS.

  • Un destacado grupo hacktivista prorruso conocido como Killnet lanzó un sofisticado ataque DDoS L7 contra una gran organización europea en febrero de 2023. El ataque tenía como objetivo saturar los servidores de la empresa con cantidades masivas de tráfico, dificultando a los usuarios el acceso al sitio web con un tráfico de ataque que alcanzaba un máximo de 120.000 solicitudes por segundo. Este ataque DDoS específico se distribuyó en 35 direcciones IP diferentes y 19 países y se centró en la capa de aplicação . 

Los ataques asimétricos , también conocidos como ataques reflexivos o de amplificación, explotan la funcionalidad de ciertos protocolos de red para amplificar el volumen del tráfico de ataque. En un ataque DDoS asimétrico, el atacante envía una pequeña cantidad de paquetes de red especialmente diseñados a una red o servicio vulnerable, generalmente utilizando una dirección IP de origen falsificada. Estos paquetes desencadenan la generación de respuestas mucho mayores del sistema o red de destino, lo que produce un efecto de amplificación significativo.  

  • En febrero de 2021, los actores de amenazas amenazaron a una empresa de tecnología que brinda servicios de seguridad de la información para organizaciones de juegos y apuestas con un ataque DDoS si la empresa no pagaba un rescate. Los atacantes lanzaron inmediatamente un ataque de inundación SYN de 4 Gbps como disparo de advertencia; cinco días después de esto, comenzó el asedio DDoS. Durante casi un mes entero, los ataques siguieron sucediéndose y los actores de amenazas agregaron cada vez más vectores. Finalmente, los ataques alcanzaron un máximo de 500 Gbps e incluyeron un bombardeo multivectorial de UDP volumétrico, reflexión LDAP, reflexión DNS, reflexión NTP y ataques de fragmentación UDP.

Los ataques multivectoriales , que aprovechan más de uno de los métodos mencionados anteriormente, son cada vez más comunes. Al emplear más de una técnica de ataque, los atacantes pueden amplificar el impacto y aumentar la dificultad de defenderse contra múltiples vectores de ataque simultáneamente.

  • En octubre de 2016, Dyn, un proveedor de DNS que administra y dirige el tráfico de Internet, sufrió un ataque DDoS masivo que interrumpió numerosos sitios web y servicios populares, incluidos Twitter, Reddit, Netflix y Spotify. Los atacantes emplearon una combinación de diferentes técnicas DDoS, incluidos ataques de reflexión y amplificación de DNS, así como botnets. El ataque explotó dispositivos IoT vulnerables, como cámaras web y enrutadores, que tenían medidas de seguridad débiles o credenciales de inició de sesión predeterminadas. Al comprometer estos dispositivos, los atacantes crearon una red de botnets masiva capaz de generar enormes volúmenes de tráfico.
Conceptos clave sobre ataques DDoS

A continuación se presentan varios conceptos y definiciones clave relacionados con los ataques DDoS, su mitigación y prevención.

  • Las botnets son redes de computadoras, servidores o dispositivos comprometidos que están bajo el control de un atacante. Estos dispositivos comprometidos, a menudo denominados bots o zombies , se utilizan para lanzar ataques DDoS de forma colectiva. El atacante puede ordenar de forma remota a la botnet que inunde el objetivo con tráfico o solicitudes, amplificando el impacto del ataque.
  • La suplantación de identidad implica falsificar o disfrazar la verdadera fuente o identidad de los paquetes o comunicaciones de red. En los ataques DDoS, a menudo se utiliza la suplantación de identidad para ocultar el origen del tráfico del ataque. 
  • La inundación SYN es un ataque DDoS que explota el proceso de protocolo de enlace de tres vías del TCP para saturar los recursos del objetivo. El atacante envía un gran volumen de paquetes SYN al objetivo, pero no responde a los paquetes SYN-ACK o falsifica las direcciones IP de origen. Esto hace que el sistema de destino espere paquetes ACK que nunca llegan, lo que limita sus recursos e impide que se establezcan conexiones legítimas.
  • La inundación UDP (Protocolo de datagramas de usuario) es un tipo de ataque DDoS que tiene como objetivo el protocolo UDP, que no tiene conexión y no requiere un protocolo de enlace. En este ataque, el atacante envía un gran volumen de paquetes UDP a la red o los servicios del objetivo, abrumando sus recursos. 
  • La amplificación de DNS (sistema de nombres de dominio) es un tipo de ataque DDoS que explota vulnerabilidades en los servidores DNS para generar un volumen significativo de tráfico de ataque. El atacante envía pequeñas consultas DNS con direcciones IP de origen falsificadas a solucionadores DNS abiertos vulnerables. Estos resolutores, sin darse cuenta de la suplantación, responden con respuestas DNS más grandes, amplificando el volumen de tráfico dirigido al objetivo, abrumando los recursos del objetivo y potencialmente causando interrupciones del servicio. 
  • La mitigación de DDoS se refiere a las estrategias y técnicas empleadas para defenderse y minimizar el impacto de los ataques DDoS. Las soluciones de mitigación pueden implicar una combinación de actualizaciones de la infraestructura de red , filtrado de tráfico, limitación de velocidad, detección de anomalías y desvío de tráfico para absorber y mitigar el tráfico de ataque. Las soluciones de mitigación de DDoS entregadas en la nube son particularmente efectivas para detectar y mitigar ataques antes de que lleguen a la infraestructura de red y las aplicações. Sin embargo, dados los recientes aumentos en los ataques DoS de aplicação/L7, también es necesario implementar controles de seguridad cerca de los recursos protegidos. 
  • La respuesta a incidentes se refiere al proceso de detectar, analizar y responder a ataques DDoS. Implica identificar señales de un ataque en curso, investigar el origen y la naturaleza del ataque, implementar medidas de mitigación y restaurar las operaciones normales. Los planes de respuesta a incidentes ayudan a las organizaciones a gestionar eficazmente los ataques DDoS y minimizar su impacto.
Figura 1. Las soluciones de mitigación de DDoS basadas en la nube pueden gestionar los ataques DDoS más grandes y complejos de la actualidad, incluidos los ataques de capa 3-4 y los ataques avanzados de capa 7.
El impacto de los ataques DDoS

Los ataques DDoS pueden tener graves consecuencias para empresas, organizaciones e individuos. 

Los ataques DDoS pueden provocar pérdidas financieras importantes . Cuando los servicios se interrumpen o son inaccesibles, las empresas pueden experimentar un impacto en sus ingresos debido a transacciones interrumpidas, menor participación del cliente o oportunidades perdidas. Además, las organizaciones pueden incurrir en costos asociados con la mitigación del ataque, la realización de actividades de respuesta y recuperación ante incidentes y posibles sanciones regulatorias.

Los ataques DDoS exitosos pueden dañar la reputación de una organización y erosionar la confianza de los clientes. Si los servicios de una empresa se interrumpen o no están disponibles repetidamente, los clientes pueden perder la confianza en la capacidad de la organización para brindar servicios confiables. Reconstruir la confianza y restaurar una reputación dañada puede ser un proceso desafiante y que requiere mucho tiempo.

Los ataques DDoS pueden provocar graves interrupciones operativas . Las organizaciones que dependen en gran medida de los servicios en línea pueden enfrentar pérdidas de productividad, ya que los empleados no pueden acceder a sistemas críticos ni colaborar de manera efectiva. Las interrupciones del servicio pueden afectar las cadenas de suministro, la atención al cliente y las operaciones comerciales generales, lo que genera demoras, ineficiencias y mayores costos operativos.

Al invertir en estrategias sólidas de mitigación de DDoS y contratar profesionales de ciberseguridad para diseñar e implementar medidas de seguridad, las organizaciones pueden reducir significativamente el riesgo y el impacto de ataques DDoS exitosos, salvaguardar su estabilidad financiera y reputación, y garantizar la continuidad de sus operaciones.

Mitigación y prevención de DDoS

A continuación se presentan algunas técnicas comunes de mitigación de DDoS que se utilizan para defenderse de los ataques. Las organizaciones a menudo emplean una combinación de estas metodologías para crear una estrategia de defensa en capas que pueda mitigar eficazmente el impacto de los ataques DDoS . La detección temprana también es clave para iniciar respuestas rápidas a incidentes y medidas de mitigación, permitiendo a las organizaciones contener el impacto antes de que se intensifique.

El filtrado de tráfico implica examinar el tráfico de red entrante y aplicar filtros para bloquear o permitir tipos específicos de tráfico. Esta técnica se puede emplear en diferentes niveles, como enrutadores de borde de red, firewalls o dispositivos dedicados de mitigación de DDoS. Al filtrar el tráfico malicioso o no deseado, las organizaciones pueden reducir el impacto de los ataques DDoS y ayudar a garantizar que el tráfico legítimo llegue al destino previsto.

La limitación de velocidad restringe la cantidad de solicitudes o paquetes entrantes de una fuente particular o dentro de un período de tiempo específico. Al imponer límites de velocidad, las organizaciones pueden mitigar el impacto de los ataques DDoS al evitar una afluencia abrumadora de tráfico. 

La detección de anomalías implica monitorear los patrones y el comportamiento del tráfico de la red para identificar desviaciones de los patrones normales. Utiliza análisis estadístico y algoritmos de aprendizaje automático para establecer un comportamiento de referencia y detectar actividades anómalas que puedan indicar un ataque DDoS. Los sistemas de detección de anomalías pueden identificar picos de tráfico inusuales, inundaciones de paquetes u otros patrones que son indicativos de un ataque en curso. 

El análisis del comportamiento se centra en monitorear el comportamiento de los usuarios, sistemas o entidades de red para detectar e identificar actividades sospechosas o maliciosas . Las técnicas de análisis del comportamiento pueden ayudar a diferenciar entre el tráfico legítimo y el tráfico de ataque, lo que permite a las organizaciones responder eficazmente a los ataques DDoS y minimizar los falsos positivos. Este análisis se puede realizar tanto en el lado del cliente como en el lado del servidor a través de servidores proxy inteligentes que detectan el estrés del sistema que puede ser indicativo de un ataque de denegación de servicio. 

La implementación de una red de distribución de contenido (CDN) puede ayudar a mitigar el impacto de los ataques volumétricos y proporcionar una mejor disponibilidad y rendimiento. Las CDN pueden utilizar su infraestructura de red distribuida para identificar y bloquear el tráfico malicioso, garantizando que las solicitudes legítimas lleguen al destino.

Los balanceadores de carga y los controladores de entrega de aplicação (ADC) también pueden actuar como un mecanismo de defensa contra ataques DDoS al distribuir y administrar el tráfico de manera inteligente. Los balanceadores de carga pueden detectar y mitigar ataques DDoS mediante la aplicación de diversas técnicas, como limitación de velocidad, modelado de tráfico o redirección del tráfico a soluciones de protección DDoS especializadas. 

La implementación de servicios de protección DDoS basados en la nube puede ayudar a proporcionar capacidades de mitigación dedicadas y escalables para defenderse de ataques DDoS. Al redirigir el tráfico a través de estos servicios, las organizaciones pueden beneficiarse de técnicas de mitigación avanzadas, inteligencia de amenazas en tiempo real y la experiencia de proveedores especializados.

Otras prácticas recomendadas para protegerse contra ataques DDoS incluyen habilitar la gestión de solicitudes del Protocolo de control de transmisión (TCP) y del Protocolo de datagramas de usuario (UDP) para garantizar que solo se procesen las solicitudes legítimas. El monitoreo y el registro regulares ayudan a detectar ataques de manera temprana y pueden mitigar cualquier impacto negativo. Los patrones de aumento de tráfico, errores o actividad inusual pueden activar alertas para una mayor investigación. Cifrar el tráfico entre aplicações y clientes puede dificultar que un atacante intercepte y modifique el tráfico. Las actualizaciones de software periódicas garantizan que sus sistemas estén protegidos por las últimas funciones y parches de seguridad para mitigar las amenazas conocidas, incluidos los ataques DDoS.

Casos prácticos de DDoS

A medida que los ataques DDoS continúan creciendo en escala y complejidad, las organizaciones necesitan múltiples capas de protección para detener estos ataques antes de que lleguen a la red empresarial. A menudo, estos ataques combinan tráfico de gran volumen con técnicas de ataque sigilosas, lentas y dirigidas a aplicaciones, impulsadas por botnets automatizadas o herramientas controladas por humanos. A medida que la frecuencia de estos ataques y el costo de las interrupciones continúan aumentando, la importancia de una defensa integral y en capas para mitigar estos ataques es ahora una misión crítica.

Aprenda sobre ataques DDoS reales y cómo se mitigaron viendo o leyendo los siguientes estudios de caso.

Tendencias emergentes en ataques DDoS

A medida que los ataques DDoS continúan evolucionando , las organizaciones necesitan mantenerse actualizadas sobre las últimas tendencias y desarrollos. 

Una tendencia reciente ha sido la creciente prevalencia de botnets de Internet de las cosas (IoT) . Los dispositivos IoT, como cámaras inteligentes, enrutadores y electrodomésticos conectados, a menudo tienen medidas de seguridad débiles y son susceptibles de verse comprometidos. Los atacantes aprovechan las vulnerabilidades de estos dispositivos para infectarlos con malware y convertirlos en parte de una botnet. La potencia informática combinada de miles de dispositivos IoT comprometidos puede generar volúmenes masivos de tráfico de ataques DDoS. 

Los ataques a la capa de aplicación , que buscan agotar los recursos del servidor o explotar vulnerabilidades en aplicações específicas, a menudo imitan el comportamiento legítimo del usuario, lo que los hace más difíciles de detectar y mitigar. Los ataques a la capa de aplicación son particularmente difíciles de defender porque requieren una comprensión más profunda del comportamiento de la aplicação y requieren mecanismos de protección especializados.

La aparición de plataformas DDoS como servicio ha hecho que el lanzamiento de ataques DDoS sea más accesible para personas con menos habilidades técnicas. Estas plataformas se encuentran en la Dark Web y ofrecen interfaces fáciles de usar que permiten a los usuarios alquilar e implementar recursos para ataques DDoS, a menudo utilizando botnets de alquiler. 

Cómo puede ayudar F5

Las amenazas DDoS avanzadas requieren protección DDoS avanzada, y los servicios y soluciones de F5 están aquí para ayudar. La mejor manera de defenderse de un ataque DDoS es prevenirlo. Las soluciones de F5 mitigan los ataques de denegación de servicio multivectorial que saturan la infraestructura crítica, apuntan a protocolos clave y explotan vulnerabilidades en sus aplicações o servicios. Las soluciones de F5 también protegen contra ataques de amplificación de DNS y otras vulnerabilidades de inundación al validar solicitudes de consulta, mitigar comunicaciones maliciosas y brindar visibilidad del DNS y las aplicações para que se pueda maximizar su estado, optimización y protección. Las soluciones de mitigación de DDoS de F5 brindan defensas de múltiples capas que brindan mayor profundidad de defensa contra ataques de red combinados y exploits de aplicação sofisticadas, y pueden detectar y eliminar amenazas casi en tiempo real.

Además, F5 NGINX Plus es un proxy inverso, balanceador de carga y puerta de enlace API nativo de la nube y fácil de usar. Proporciona protección DDoS a través de sus capacidades de limitación de velocidad integradas, así como gestión de solicitudes TCP y UDP. F5 NGINX App Protect DoS es un módulo de seguridad de software dinámico diseñado para entornos DevOps que se ejecuta de forma nativa en NGINX Plus y utiliza tecnología eBPF para acelerar la mitigación de ataques DDoS a API y aplicaciones modernas en la capa 7. F5 NGINX App Protect WAF es una solución de seguridad de API y aplicação liviana y moderna diseñada para entornos DevOps que se ejecuta de forma nativa en NGINX Plus y va más allá de la protección básica OWASP Top 10 al brindar seguridad avanzada que incluye más de 7500 firmas de amenazas, firmas de bots y protección contra campañas de amenazas.