Muchos nos preguntan: ¿qué es un ataque de denegación de servicio? Un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés), es un ataque a un sistema que provoca que éste quede inaccesible para los usuarios legítimos, debido a una sobrecarga, por lo general, a causa de un exceso de peticiones.
Si por ejemplo tenemos un servidor web que está preparado para recibir 500 peticiones, y empezamos a enviar 10.000 peticiones por segundo, el mismo colapsará.
Existen muchos tipos de ataques de denegación de servicio. Uno de ellos es el tipo volumétrico, que es aquel que busca colapsar el enlace de Internet de un sistema, agotando su ancho de banda.
Por ejemplo, si tenemos un enlace con un ancho de banda disponible de 10MB y recibimos una enorme cantidad de tráfico de 1GB (aprox. 1.000MB), el enlace se saturará y ya no podrá recibir peticiones, por lo que el sistema quedará inaccesible.
Este tipo de ataques es especialmente difícil de combatir, ya que los equipos de seguridad perimetral tradicionales (Firewall, IDS/IPS, etc.) no lo pueden mitigar, por ser el enlace con el proveedor de internet el que se satura.
Los proveedores de servicio de Internet (ISPs), y muchas veces los demás clientes de éste, se ven afectados por la enorme cantidad de tráfico “basura” que debe procesarse.
Si bien, el filtrado de tráfico a nivel de los ISP sería teóricamente posible, en la práctica no es una buena estrategia, no solo por el costo computacional elevado que supone para el ISP, sino porque en muchos casos, no se trata de una única IP que genera este ataque, sino de millones de IPs de todo el mundo, es decir, estamos hablando de ataques de denegación de servicio distribuido (DDoS).
¿Cómo ocurre eso? Significa que una enorme cantidad de personas de todo el mundo están atacando? Por lo general, no se trata de “personas”, sino de botnets: enormes redes de computadoras infectadas (bots o zombies). Estas computadoras infectadas son controladas remotamente por una persona que es el “artífice” detrás del ataque.
Los ataques DDoS mediante botnets no son algo nuevo, sin embargo, éste tipo de ataque es cada vez más frecuente, especialmente debido a que cada vez es más fácil y barato de realizar: existen “servicios” de DDoS (incluido de tipo volumétrico) que se pueden contratar desde apenas 5 ~ 10 USD, por lo general, el delincuente simplemente debe indicar la IP o la dirección de la web de la víctima y elegir el tipo de ataque. Además, debido a que el delincuente se oculta detrás de estas redes de botnets "alquiladas" es difícil determinar el origen real de los ataques.
Por ejemplo, en octubre del año pasado, ocurrió un ataques DDoS que afectó a múltiples empresas mediante una botnet conocida como Mirai; en la que 300 000 dispositivos enlazados al IoT (cámaras, routers, SmartTVs y otros), generaron el mayor ataque DDoS conocido actualmente, con picos de tráfico superiores a 1 Tbps (aprox. 1.000GB). Los ataques observados recientemente tienen magnitudes mucho menores (del orden de 10~15GB), sin embargo, son suficientes para saturar los enlaces internacionales de nuestro país.
¿Cómo protegernos?
Si bien, los equipos de seguridad perimetral tradicionales (firewall, IDS/IPS, etc.) permiten prevenir y/o mitigar algunos tipos de ataques de denegación de servicios (incluso distribuidos), no son suficientes para un ataque de denegación de servicio volumétrico, de inundación de enlace.
Para este tipo de ataques existen servicios de protección anti-DDoS tales como Cloudflare, Arbor, Prolexis, Akamai, Amazon Cloudfront, y otros, que se basan principalmente en redes CDN (Content Delivery Networks).
¿Cómo funcionan estas soluciones para proteger un sistema, por ejemplo, una página web? Básicamente, estas empresas cuentan con una gran cantidad de centros de datos distribuidos por todo el mundo y “distribuyen” el contenido de esa web en esos centros de datos, creando una gran de “espejos” de la página.
Cuando se está bajo un ataque DDoS, por más que el enlace de internet de la víctima se sature, como los “espejos” están distribuidos por todo el mundo, la página seguirá funcionando.
Por ejemplo, la red global Anycast de 10 Tbps de Cloudflare es 10 veces mayor que el mayor ataque DDoS jamás registrado, pudiendo absorber una gran cantidad de tráfico sin que los “espejos” sean afectados.
Algunas de estas empresas ofrecen planes desde 200 USD mensuales, dependiendo muchas veces del tipo de sistema a proteger así como del tráfico esperado.
Muchas veces, la pérdida generada por este tipo de ataques puede ser mucho mayor, sobre todo, atendiendo que, mientras el ataque no para, el servicio seguirá interrumpido o degradado, si no contamos con mecanismos de protección adecuados.
En caso de ser víctima de un ataque de denegación de servicio u otro tipo de incidentes cibernéticos, siempre puedes recurrir al CERT-PY para reportarlo, de modo que puedas recibir asesoramiento en la gestión del incidente.