¿Qué es un ataque de denegación de servicio (DoS)?

¿Cómo funciona un ataque DoS?

En un ataque de denegación de servicio, un hacker usa un programa para inundar un servidor con tráfico malicioso. Las solicitudes que componen este tráfico parecen provenir de usuarios legítimos, por lo que el servidor valida solicitud tras solicitud. En efecto, el "servicio" se "niega" a los usuarios legítimos debido a la pérdida resultante de ancho de banda y recursos de red.

El sistema o los datos atacados dejan de estar disponibles para los usuarios que los necesitan. Los ataques DoS a menudo se usan para la extorsión porque, por ejemplo, una empresa que no puede brindar su servicio a los clientes puede perder ingresos y su reputación se puede ver dañada. En este sentido, un ataque DoS es similar al ransomware, pero el rehén es el servicio de la víctima, en lugar de sus datos.

¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?

Cuando un ataque DoS proviene de una sola fuente, un ataque de denegación de servicio distribuido o un ataque DDoS transmite solicitudes fraudulentas de múltiples fuentes a la vez. Por lo general, un perpetrador aprovechará un grupo de dispositivos conectados a Internet, a veces a escala global, para inundar el servidor de destino, lo que puede abrumarlo mucho más fácilmente que un ataque DoS.

Ese grupo de ordenadores infectados se denomina botnet. Las botnets funcionan de manera sincronizada, esperando instrucciones de un atacante en una sola dirección IP para lanzar un ataque de inundación. Estos ataques generalmente están programados para comenzar en un momento específico y pueden durar horas o incluso días.

Un servidor que se enfrenta a un ataque DoS puede simplemente cerrar la única conexión que realiza el ataque. Los ataques DDoS son mucho más peligrosos y difíciles de mitigar porque la afluencia de tráfico proviene de múltiples fuentes a la vez.

Además, los ciberdelincuentes ahora usan dispositivos de Internet de las cosas (IoT) para aumentar el peligro de sus botnets, al reducir los procesos manuales. Es decir, pueden usar dispositivos IoT para que sea mucho más fácil sincronizar sus dispositivos botnet, lo cual aumenta la efectividad de sus ataques.

¿Cuáles son algunos ataques DoS históricamente significativos?

Los ataques DDoS son mucho más comunes que los ataques DoS, principalmente porque los ataques DDoS son mucho más difíciles de bloquear y, por lo tanto, pueden llevarse a cabo durante un período de tiempo más largo.

Los proveedores de servicios en la nube a menudo son víctimas de DDoS debido a su vulnerabilidad inherente a tales amenazas. A continuación, enumeramos algunos de los ataques más recientes que llegaron a los titulares:

• Amazon: En febrero de 2020, Amazon sufrió uno de los mayores ataques DDoS jamás registrados. Utilizando la reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP), los atacantes atacaron a un cliente de Amazon Web Services (AWS) y generaron un tráfico de 3,3 terabytes por segundo durante tres días.
• GitHub: en febrero de 2018, los atacantes descargaron 1,35 terabytes por segundo en los servidores de GitHub durante 20 minutos. "Decenas de miles de puntos finales únicos" albergaban "más de mil sistemas autónomos diferentes" que lanzaron el ataque.
• Google: en octubre de 2020, Google sufrió un ataque de amplificación UDP de seis meses de duración procedente de tres proveedores de servicios de Internet (ISP) chinos, y envió más de 2,5 terabytes por segundo de datos basura a los servidores de Google.

¿Cómo se puede identificar un ataque DoS?

Los proveedores de infraestructura tienden a no filtrar los anuncios de ruta, que indican a la gente cómo ir de un lugar a otro en Internet. Más importante aún, tienden a no filtrar los paquetes para verificar la fuente del tráfico. Estas dos condiciones facilitan que los malhechores envíen tráfico de ataque a un objetivo.

Los atacantes generalmente están motivados por tres cosas: hostilidad hacia el objetivo (esta es la típica motivación de los ataques de los hacktivistas), extorsión y el deseo de robar a alguien mientras se le niega el servicio. Si bien no hay una señal de advertencia temprana de un ataque DoS, un profesional de seguridad experto puede detectar el tráfico que envía un actor malicioso para determinar si usted es un objetivo viable o no.

Los ciberdelincuentes enviarán una gran cantidad de solicitudes, por ejemplo a diferentes partes de un sitio web, para ver si los servidores web son vulnerables a un ataque DoS. Estas "sacudidas" tempranas en la web son una señal de que su organización puede estar a punto de recibir un ataque.

Si se supervisa la seguridad de la red adecuadamente, su equipo de seguridad cibernética puede analizar el tráfico de la red y descubrir patrones en los paquetes que son signos claros de ataque. Para identificar si le están atacando en tiempo real, debe observar los metadatos de sus dispositivos de red (es decir, sus enrutadores y conmutadores), y esa tarea es más fácil de realizar con una herramienta de supervisión de calidad.

Tipos de ataques DDoS

Hay cuatro tipos principales de ataques DoS que buscan explotar o extorsionar sistemas y datos:

• Redirección del navegador: un usuario solicita que se cargue una página, pero un pirata informático redirige al usuario a otra página maliciosa.
• Cierre de conexión: un ciberdelincuente cierra un puerto abierto y niega el acceso de un usuario a una base de datos.
• Destrucción de datos: un pirata informático elimina archivos, lo que genera un error de "recurso no encontrado" cuando alguien solicita ese archivo o, si una aplicación contiene una vulnerabilidad que la deja abierta a ataques de inyección, el atacante puede denegar el servicio eliminando la tabla de la base de datos.
• Agotamiento de recursos: un ciberdelincuente solicitará repetidamente acceso a un recurso en particular, por lo que sobrecargará la aplicación web y hará que se ralentice o se bloquee al recargar repetidamente la página.

Tipos de ataques DDoS

Aquí puede ver algunos ejemplos de ataques DDoS específicos que debe recordar:

• Inundación SYN: un atacante explota una comunicación TCP (SYN-ACK) enviando una gran cantidad de paquetes SYN para consumir los recursos del sistema objetivo.
• Suplantación de identidad: un atacante se hace pasar por un usuario o dispositivo y, después de ganarse la confianza, utiliza paquetes falsificados para lanzar un ciberataque.
• Ataque DDoSa la capa de aplicación : como sugiere el nombre, este ataque, una vez implementado, explotará una vulnerabilidad o una configuración incorrecta en una aplicación e impedirá al usuario acceder a esta o utilizarla.
• Inundación del sistemade nombres de dominio (DNS): también conocido como ataque de amplificación de DNS. En este ataque, el atacante interrumpe la resolución DNS de un nombre de dominio determinado inundando sus servidores.
• Inundacióndel protocolo de mensajes de control de Internet (ICMP): también conocido como ataque de inundación de ping. En este ataque, un atacante falsifica una IP de origen y crea un ataque "pitufo". Este método también se puede utilizar para enviar un ping "de la muerte", en el que un paquete de grandes dimensiones provoca un desbordamiento del almacenamiento intermedio.
• Inundación del protocolo de datagramas de usuario (UDP): un atacante inunda puertos aleatorios en su objetivo, que luego consume recursos y responde con paquetes de "destino inalcanzable".

Prevención de un ataque DoS

Los ataques DoS o DDoS pueden ocurrir en cualquier momento, pero con las mejores prácticas adecuadas, puede asegurarse de que su organización tenga todas las herramientas y protocolos necesarios para una defensa sólida.

Aquí hay cinco formas de prevenir un ataque DoS:

1. Crear un plan de respuesta DoS. Revise su sistema e identifique posibles fallas de seguridad, vulnerabilidades o brechas en la postura. Esboce un plan de respuesta en caso de un ataque.
2. Proteja a su infraestructura. Las soluciones efectivas de cortafuegos, supervisión de tráfico e información de amenazas basadas en la nube (como la detección o prevención de intrusiones) aumentan en gran medida sus posibilidades de defenderse de los ataques DoS.
3. Comprenda las señales de advertencia. Vigile los rendimientos lentos de la red, los tiempos de inactividad del sitio web, las interrupciones o los aumentos repentinos del spam. Todo esto requiere una acción inmediata.
4. Adoptar servicios basados en la nube. Los recursos de la nube le brindan más ancho de banda que los locales y, debido a que sus servidores no están todos en las mismas ubicaciones, los ciberdelincuentes tendrán más dificultades para atacarle.
5. Supervisar la actividad inusual. Esto permitirá que su equipo de seguridad detecte y mitigue un ataque DoS o DDoS en tiempo real. En la siguiente sección, hablaremos de las formas en que puede reducir el riesgo de ataques DoS y DDoS por completo.

¿Cómo puede reducir el riesgo de un ataque DoS?

Una postura de seguridad y visibilidad deficientes pueden abrir la puerta no solo a ataques DoS y DDoS, sino también a otras amenazas como el malware, el ransomware, el spear phishing, etc. Para mantener a su organización segura y maximizar sus posibilidades de mitigar con efectividad los ataques DoS y DDoS, necesita una protección adecuada contra ellos. Estas son algunas estrategias para reducir las posibilidades de sufrir ataques DoS o DDoS:

• Tenga una seguridad proporcionada por la nube La seguridad proporcionada por la nube le permite extender la política a todos sus usuarios, estén donde estén y sea cual sea su dispositivo, y le brinda una visibilidad completa de su entorno. Además, al tener actualizaciones automáticas y no tener necesidad de parchear o ajustar manualmente, siempre estará listo para defenderse frente a las amenazas más recientes.
• Adopte detección y respuesta extendidas (XDR). XDR es una evolución de la detección y respuesta de punto final (EDR) que le brinda visibilidad de amenazas en el punto final, así como información sobre posibles riesgos de datos y seguridad en la nube, y que cuenta con información global sobre las amenazas. Esto detendrá la marea de falsos positivos que normalmente experimentan los equipos de seguridad, lo que les permitirá estar menos ocupados y ser más productivos.
• Considere un centro de operaciones de seguridad (SOC) Un SOC administrado en la nube le permite cubrir las bases para las que su equipo de seguridad puede no tener el ancho de banda necesario. Entre otros, el aprovisionamiento de la política de la nube, la detección y respuesta de amenazas, la protección de datos e incluso el cumplimiento, en algunos casos. Al igual que XDR, un SOC administrado les brinda a usted y a su equipo la libertad de concentrarse en asuntos más urgentes.
• Implemente una arquitectura de confianza cero. Según Gartner, al menos el 70 % de los nuevos despliegues de acceso remoto se harán principalmente con ZTNA en lugar de con servicios VPN en 2025, frente a menos del 10 % de finales de 2021. Esto se debe a que la seguridad de confianza cero solo otorga acceso según el contexto (es decir, usuario, dispositivo, ubicación y aplicación), lo que garantiza que los ciberdelincuentes se mantengan alejados en todas las circunstancias.

Cuando se trata de confianza cero, sólo un proveedor ofrece confianza cero que nace en la nube. Da la casualidad de que es el mismo proveedor que se asocia con los mejores arquitectos XDR para que pueda detectar amenazas en todos sus puntos finales, nubes y datos. Ese proveedor es Zscaler.

Cómo puede ayudar Zscaler

Zscaler es el único proveedor de servicios de seguridad con una plataforma lo suficientemente sólida como para defenderse de las amenazas más recientes, incluidos los ataques DoS y DDoS. Zscaler Private Access™ (ZPA™) es parte de Zscaler Zero Trust Exchange™, la plataforma de perímetro de servicio de seguridad (SSE) mejor calificada y más implementada del mundo.

El diseño único de ZPA se basa en cuatro principios clave:

• Conecte a los usuarios a las aplicaciones sin ubicar a los usuarios en la red
• Nunca exponga las aplicaciones a usuarios no autorizados
• Habilite la segmentación de aplicaciones sin segmentación de red
• Proporcione acceso remoto seguro sin usar dispositivos VPN

ZPA proporciona una forma simple, segura y efectiva de acceder a las aplicaciones internas. El acceso se basa en políticas creadas por el administrador de TI dentro del ZPA Admin Portal y alojadas en la nube de Zscaler. En cada dispositivo de usuario, se instala nuestro Zscaler Client Connector, que garantiza la postura del dispositivo del usuario y extiende un microtúnel seguro a la nube de Zscaler cuando un usuario intenta acceder a una aplicación interna.

Junto a una aplicación que se ejecuta en una nube pública o centro de datos, ZPA coloca nuestro App Connector, implementado como una VM, que se usa para extender un microtúnel a la nube Zscaler. El Z-Connector establece una conexión saliente a la nube y no recibe ninguna solicitud de conexión entrante, lo que evita los ataques DDoS.

Dentro de la nube de Zscaler, un agente de seguridad de acceso a la nube o CASB aprueba el acceso y une la conexión del usuario a la aplicación. ZPA está 100 % definido por software, por lo que no requiere dispositivos y permite a los usuarios beneficiarse de la nube y la movilidad mientras sus aplicaciones siguen siendo seguras, beneficios que no se pueden lograr con métodos de conectividad de red tradicionales y cortafuegos heredados en las instalaciones.