¿Qué es un ataque de denegación de servicio (DoS)?

¿Cómo funciona un ataque DoS?

En un ataque de denegación de servicio, un hacker usa un programa para inundar un servidor con tráfico malicioso. Las solicitudes que componen este tráfico parecen provenir de usuarios legítimos, por lo que el servidor valida solicitud tras solicitud. En efecto, el "servicio" se "niega" a los usuarios legítimos debido a la pérdida resultante de ancho de banda y recursos de red.

El sistema o los datos atacados dejan de estar disponibles para los usuarios que los necesitan. Los ataques DoS a menudo se usan para la extorsión porque, por ejemplo, una empresa que no puede brindar su servicio a los clientes puede perder ingresos y sufrir daños a su reputación. En este sentido, DoS es similar al ransomware, pero el rehén es el servicio de la víctima, en lugar de sus datos.

¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?

Cuando un ataque DoS proviene de una sola fuente, un ataque de denegación de servicio distribuido o un ataque DDoS transmite solicitudes fraudulentas de múltiples fuentes a la vez. Por lo general, un perpetrador aprovechará un grupo de dispositivos conectados a Internet, a veces a escala global, para inundar el servidor de destino, lo que puede abrumarlo mucho más fácilmente que un ataque DoS.

Ese grupo de ordenadores infectados se denomina botnet. Las botnets funcionan de manera sincronizada, esperando instrucciones de un atacante en una sola dirección IP para lanzar un ataque de inundación. Estos ataques generalmente están programados para comenzar en un momento específico y pueden durar horas o incluso días.

Un servidor que se enfrenta a un ataque DoS puede simplemente cerrar la única conexión que realiza el ataque. Los ataques DDoS son mucho más peligrosos y difíciles de mitigar porque la afluencia de tráfico proviene de múltiples fuentes a la vez.

Además, los ciberdelincuentes ahora usan dispositivos de Internet de las cosas (IoT) para hacer que sus botnets sean aún más peligrosas al reducir los procesos manuales. Es decir, pueden usar dispositivos IoT para que sea mucho más fácil sincronizar sus dispositivos botnet, lo cual aumenta la efectividad de sus ataques.

¿Cuáles son algunos ataques DoS históricamente significativos?

Los ataques DDoS son mucho más comunes que los ataques DoS, principalmente porque los ataques DDoS son mucho más difíciles de bloquear y, por lo tanto, pueden llevarse a cabo durante un período de tiempo más largo.

Los proveedores de servicios en la nube a menudo son víctimas de DDoS debido a su vulnerabilidad inherente a tales amenazas. A continuación, enumeramos algunos de los ataques más recientes que llegaron a los titulares:

• Amazon: en febrero de 2020, Amazon sufrió uno de los mayores ataques DDoS jamás registrados. Utilizando la reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP), los atacantes siguieron a un cliente de AWS a una velocidad de 3,3 terabytes por segundo durante tres días.
• GitHub: en febrero de 2018, los atacantes descargaron 1,35 terabytes por segundo en los servidores de GitHub durante 20 minutos. "Decenas de miles de puntos finales únicos" albergaban "más de mil sistemas autónomos diferentes" que lanzaron el ataque.
• Google: en octubre de 2020, Google sufrió un ataque de amplificación UDP de seis meses de duración procedente de tres proveedores de servicios de Internet (ISP) chinos, y envió más de 2,5 terabytes por segundo de datos basura a los servidores de Google.

¿Cómo se puede identificar un ataque DoS?

Los proveedores de infraestructura tienden a no filtrar los anuncios de ruta, que indican a la gente cómo ir de un lugar a otro en Internet. Más importante aún, tienden a no filtrar los paquetes para verificar la fuente del tráfico. Estas dos condiciones facilitan que los malhechores envíen tráfico de ataque a un objetivo.

Los atacantes generalmente están motivados por tres cosas: hostilidad hacia el objetivo, extorsión y el deseo de robar a alguien mientras se les niega el servicio. Si bien no hay una señal de advertencia temprana de un ataque DoS, un profesional de seguridad experto puede detectar el tráfico que envía un actor malicioso para determinar si usted es un objetivo viable o no.

Los ciberdelincuentes enviarán una gran cantidad de solicitudes, por ejemplo a diferentes partes de un sitio web, para ver si los servidores web son vulnerables a un ataque DoS. Estas "sacudidas" tempranas en la web son una señal de que su organización puede estar a punto de recibir un ataque.

Si se supervisa la seguridad de la red adecuadamente, su equipo de seguridad cibernética puede analizar el tráfico de la red y descubrir patrones en los paquetes que son signos claros de ataque. Para identificar si le están atacando en tiempo real, debe observar los metadatos de sus enrutadores y conmutadores, una tarea más fácil de realizar con una herramienta de supervisión de calidad.

Tipos de ataques DDoS

Hay cuatro tipos principales de ataques DoS que buscan explotar o extorsionar sistemas y datos:

• Redirección del navegador: un usuario solicita que se cargue una página, pero un pirata informático redirige al usuario a otra página maliciosa.
• Cierre de conexión: un ciberdelincuente cierra un puerto abierto y niega el acceso de un usuario a una base de datos.
• Destrucción de datos: un pirata informático elimina archivos, lo que genera un error de "recurso no encontrado" cuando alguien solicita ese archivo o, si una aplicación contiene una vulnerabilidad que la deja abierta a ataques de inyección, el atacante puede denegar el servicio eliminando la tabla de la base de datos.
• Agotamiento de recursos: un ciberdelincuente solicitará repetidamente acceso a un recurso en particular, por lo que sobrecargará la aplicación web y hará que se ralentice o se bloquee al recargar repetidamente la página.

Tipos de ataques DDoS

Aquí puede ver algunos ejemplos de ataques DDoS específicos que debe recordar:

• Inundación SYN: un atacante explota una comunicación TCP (SYN-ACK) enviando una gran cantidad de paquetes SYN, consumiendo los recursos del sistema objetivo.
• Suplantación de identidad: un atacante se hace pasar por un usuario o dispositivo y, después de ganarse la confianza, utiliza paquetes falsificados para lanzar un ciberataque.
• Inundación del sistema de nombres de dominio (DNS): también conocido como ataque de amplificación de DNS, un atacante interrumpe la resolución de DNS de un nombre de dominio determinado al inundar sus servidores.
• Inundación del protocolo de mensajes de control de Internet (ICMP): también conocida como inundación de ping, un atacante falsifica una IP de origen y crea un ataque "pitufo". Este método también se puede utilizar para enviar un "ping de la muerte", en el que un paquete grande provoca un desbordamiento del búfer.
• Inundación del protocolo de datagramas de usuario (UDP): un atacante inunda puertos aleatorios en su objetivo, que luego consume recursos y responde con paquetes de "destino inalcanzable".

Prevención de un ataque DoS

Los ataques DoS o DDoS pueden ocurrir en cualquier momento, pero con las mejores prácticas adecuadas, puede asegurarse de que su organización tenga todas las herramientas y protocolos necesarios para una defensa sólida.

Aquí hay cinco formas de prevenir un ataque DoS:

1. Crear un plan de respuesta DoS. Revise su sistema e identifique posibles fallas de seguridad, vulnerabilidades o brechas en la postura. Esboce un plan de respuesta en caso de un ataque.
2. Asegurar su infraestructura. Las soluciones efectivas de cortafuegos, supervisión de tráfico e inteligencia de amenazas basadas en la nube aumentan en gran medida sus posibilidades de defenderse de los ataques DoS.
3. Comprender las señales de advertencia. Esté atento a las caídas sospechosas en el rendimiento de la red, el tiempo de inactividad del sitio web o un aumento repentino del correo no deseado. Todo esto requiere una acción inmediata.
4. Adoptar servicios basados en la nube. Los recursos de la nube le brindan más ancho de banda que los locales y, debido a que sus servidores no están todos en las mismas ubicaciones, los ciberdelincuentes tendrán más dificultades para atacarle.
5. Supervisar la actividad inusual. Esto permitirá que su equipo de seguridad detecte y mitigue un ataque DoS o DDoS en tiempo real. En la siguiente sección, hablaremos de las formas en que puede reducir el riesgo de ataques DoS y DDoS por completo.

¿Cómo puede reducir el riesgo de un ataque DoS?

Una postura de seguridad y visibilidad deficientes pueden abrir la puerta no sólo a ataques DoS y DDoS, sino también a otras amenazas como malware, ransomware, spear phishing y más. Para mantener la seguridad de su organización y maximizar sus posibilidades de mitigación efectiva de DoS y DDoS, necesita una protección adecuada contra DoS y DDoS. Estas son algunas formas en las que puede reducir sus posibilidades de recibir DoS o DDoS:

• Tenga una seguridad proporcionada por la nube La seguridad proporcionada por la nube le permite extender la política a todos sus usuarios, estén donde estén y sea cual sea su dispositivo, y le brinda una visibilidad completa de su entorno. Además, al tener actualizaciones automáticas y no tener necesidad de parchear o ajustar manualmente, siempre estará listo para defenderse frente a las amenazas más recientes.
• Adopte detección y respuesta extendidas (XDR) XDR es una evolución de la detección y respuesta de punto final (EDR) que le brinda visibilidad de amenazas en el punto final, así como información sobre posibles riesgos de datos y nube, todo con inteligencia global de amenazas incluida. Esto detendrá la marea de falsos positivos que normalmente experimenta un equipo de seguridad y los liberará para que sean más productivos.
• Considere un centro de operaciones de seguridad (SOC) Un SOC administrado en la nube le permite cubrir las bases para las que su equipo de seguridad puede no tener el ancho de banda necesario. Entre otros, el aprovisionamiento de la política de la nube, la detección y respuesta de amenazas, la protección de datos e incluso el cumplimiento, en algunos casos. Al igual que XDR, un SOC administrado les brinda a usted y a su equipo la libertad de concentrarse en asuntos más urgentes.
• Implemente una arquitectura de confianza cero Según Gartner, al menos el 70 % de los nuevos despliegues de acceso remoto serán atendidos principalmente por ZTNA en lugar de servicios VPN en 2025, frente a menos del 10 % a finales de 2021. Esto se debe a que la seguridad de confianza cero sólo otorga acceso según el contexto (es decir, usuario, dispositivo, ubicación y aplicación), lo que garantiza que los ciberdelincuentes se mantengan alejados en todas las circunstancias.

Cuando se trata de confianza cero, sólo un proveedor ofrece confianza cero que nace en la nube. Da la casualidad de que es el mismo proveedor que se asocia con los mejores arquitectos XDR para que pueda detectar amenazas en todos sus puntos finales, nubes y datos. Ese proveedor es Zscaler.

Cómo puede ayudar Zscaler

Zscaler es el único proveedor de servicios de seguridad con una plataforma lo suficientemente sólida como para defenderse de las amenazas más recientes, incluidos los ataques DoS y DDoS. Zscaler Private Access™ (ZPA™) es parte de Zscaler Zero Trust Exchange™, la plataforma de perímetro de servicio de seguridad (SSE) mejor calificada y más implementada del mundo.

El diseño único de ZPA se basa en cuatro principios clave:

• Conecte a los usuarios a las aplicaciones sin ubicar a los usuarios en la red
• Nunca exponga las aplicaciones a usuarios no autorizados
• Habilite la segmentación de aplicaciones sin segmentación de red
• Proporcione acceso remoto seguro sin usar dispositivos VPN

ZPA proporciona una forma simple, segura y efectiva de acceder a las aplicaciones internas. El acceso se basa en políticas creadas por el administrador de TI dentro del ZPA Admin Portal y alojadas en la nube de Zscaler. En cada dispositivo de usuario, se instala nuestro Zscaler Client Connector, que garantiza la postura del dispositivo del usuario y extiende un microtúnel seguro a la nube de Zscaler cuando un usuario intenta acceder a una aplicación interna.

Junto a una aplicación que se ejecuta en una nube pública o centro de datos, ZPA coloca nuestro App Connector, implementado como una VM, que se usa para extender un microtúnel a la nube Zscaler. El Z-Connector establece una conexión saliente a la nube y no recibe ninguna solicitud de conexión entrante, lo que evita los ataques DDoS.

Dentro de la nube de Zscaler, un agente de seguridad de acceso a la nube o CASB aprueba el acceso y une la conexión entre el usuario y la aplicación. ZPA está 100 % definido por software, por lo que no requiere dispositivos y permite a los usuarios beneficiarse de la nube y la movilidad mientras mantienen la seguridad de sus aplicaciones, beneficios que no se pueden lograr con cortafuegos heredados en las instalaciones.