Ataques DDoS: qué es y cómo debemos protegernos

Un ataque reciente a un importante medio de comunicación activó la alarma y el Centro de Respuestas ante Incidentes Cibernéticos - CERT-PY, dependiente de la SENATICs, lanzó esta guía para reconocer el ciberataque y proteger la información en caso de ser víctimas.

Image description

Muchos nos preguntan: ¿qué es un ataque de denegación de servicio? Un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés), es un ataque a un sistema que provoca que éste quede inaccesible para los usuarios legítimos, debido a una sobrecarga, por lo general, a causa de un exceso de peticiones.

Si por ejemplo tenemos un servidor web que está preparado para recibir 500 peticiones, y empezamos a enviar 10.000 peticiones por segundo, el mismo colapsará.

Existen muchos tipos de ataques de denegación de servicio. Uno de ellos es el tipo volumétrico, que es aquel que busca colapsar el enlace de Internet de un sistema, agotando su ancho de banda.

Por ejemplo, si tenemos un enlace con un ancho de banda disponible de 10MB y recibimos una enorme cantidad de tráfico de 1GB (aprox. 1.000MB), el enlace se saturará y ya no podrá recibir peticiones, por lo que el sistema quedará inaccesible.

Este tipo de ataques es especialmente difícil de combatir, ya que los equipos de seguridad perimetral tradicionales (Firewall, IDS/IPS, etc.) no lo pueden mitigar, por ser el enlace con el proveedor de internet el que se satura.

Los proveedores de servicio de Internet (ISPs), y muchas veces los demás clientes de éste, se ven afectados por la enorme cantidad de tráfico “basura” que debe procesarse.

Si bien, el filtrado de tráfico a nivel de los ISP sería teóricamente posible, en la práctica no es una buena estrategia, no solo por el costo computacional elevado que supone para el ISP, sino porque en muchos casos, no se trata de una única IP que genera este ataque, sino de millones de IPs de todo el mundo, es decir, estamos hablando de ataques de denegación de servicio distribuido (DDoS).

¿Cómo ocurre eso? Significa que una enorme cantidad de personas de todo el mundo están atacando? Por lo general, no se trata de “personas”, sino de botnets: enormes redes de computadoras infectadas (bots o zombies). Estas computadoras infectadas son controladas remotamente por una persona que es el “artífice” detrás del ataque.

Los ataques DDoS mediante botnets no son algo nuevo, sin embargo, éste tipo de ataque es cada vez más frecuente, especialmente debido a que cada vez es más fácil y barato de realizar: existen “servicios” de DDoS (incluido de tipo volumétrico) que se pueden contratar desde apenas 5 ~ 10 USD, por lo general, el delincuente simplemente debe indicar la IP o la dirección de la web de la víctima y elegir el tipo de ataque. Además, debido a que el delincuente se oculta detrás de estas redes de botnets "alquiladas" es difícil determinar el origen real de los ataques.

Por ejemplo, en octubre del año pasado, ocurrió un ataques DDoS que afectó a múltiples empresas mediante una botnet conocida como Mirai; en la que 300 000 dispositivos enlazados al IoT (cámaras, routers, SmartTVs y otros), generaron el mayor ataque DDoS conocido actualmente, con picos de tráfico superiores a 1 Tbps (aprox. 1.000GB). Los ataques observados recientemente tienen magnitudes mucho menores (del orden de 10~15GB), sin embargo, son suficientes para saturar los enlaces internacionales de nuestro país.
 

¿Cómo protegernos?

Si bien, los equipos de seguridad perimetral tradicionales (firewall, IDS/IPS, etc.) permiten prevenir y/o mitigar algunos tipos de ataques de denegación de servicios (incluso distribuidos), no son suficientes para un ataque de denegación de servicio volumétrico, de inundación de enlace.

Para este tipo de ataques existen servicios de protección anti-DDoS tales como Cloudflare, Arbor, Prolexis, Akamai, Amazon Cloudfront, y otros, que se basan principalmente en redes CDN (Content Delivery Networks).

¿Cómo funcionan estas soluciones para proteger un sistema, por ejemplo, una página web? Básicamente, estas empresas cuentan con una gran cantidad de centros de datos distribuidos por todo el mundo y “distribuyen” el contenido de esa web en esos centros de datos, creando una gran de “espejos” de la página.

Cuando se está bajo un ataque DDoS, por más que el enlace de internet de la víctima se sature, como los “espejos” están distribuidos por todo el mundo, la página seguirá funcionando.

Por ejemplo, la red global Anycast de 10 Tbps de Cloudflare es 10 veces mayor que el mayor ataque DDoS jamás registrado, pudiendo absorber una gran cantidad de tráfico sin que los “espejos” sean afectados.

Algunas de estas empresas ofrecen planes desde 200 USD mensuales, dependiendo muchas veces del tipo de sistema a proteger así como del tráfico esperado.

Muchas veces, la pérdida generada por este tipo de ataques puede ser mucho mayor, sobre todo, atendiendo que, mientras el ataque no para, el servicio seguirá interrumpido o degradado, si no contamos con mecanismos de protección adecuados.

En caso de ser víctima de un ataque de denegación de servicio u otro tipo de incidentes cibernéticos, siempre puedes recurrir al CERT-PY para reportarlo, de modo que puedas recibir asesoramiento en la gestión del incidente.

Tu opinión enriquece este artículo:

Sin descanso: debate sobre la regulación de Airbnb se intensifica por la final de la Sudamericana

La llegada masiva de turistas a Paraguay para la final de la Copa Sudamericana entre Racing Club de Argentina y Cruzeiro de Brasil, el próximo 23 de noviembre, puso sobre la mesa la necesidad de regular las plataformas de alquiler temporario como Airbnb. Este evento, que promete reunir miles de personas, está generando una demanda extraordinaria de hospedaje, llevando al sector hotelero a cuestionar la falta de regulación en este mercado. 

Paraguay se prepara para recibir a miles de hinchas (hoteles llenos, incremento de vuelos y nuevas experiencias)

El próximo 23 de noviembre, Asunción será el epicentro del fútbol sudamericano cuando Racing Club de Argentina y Cruzeiro de Brasil se enfrenten en la final de la Copa Sudamericana en la Nueva Olla Azulgrana. Este evento no solo tiene un atractivo deportivo, sino que también representa un importante impacto económico para el país, con la llegada de miles de aficionados que dinamizarán sectores clave como el turismo, la hotelería y los servicios.

La frontera se activa: Black Friday y nuevos proyectos impulsan el comercio en Ciudad del Este

(Por BR) El comercio fronterizo busca recuperar su dinamismo con una serie de eventos de descuentos, como el Black Friday, organizado por la Cámara de Comercio y Servicios de Ciudad del Este. Están orientados a atraer a compradores locales y de países vecinos, ofreciendo ofertas atractivas en productos de alta demanda como electrónica, perfumes, cosméticos, celulares y ropa deportiva.