Zpedia 

/ ¿Qué es un ataque de denegación de servicio (DoS)?

¿Qué es un ataque de denegación de servicio (DoS)?

Un ataque de denegación de servicio (DoS) es un ciberataque en el que los ciberdelincuentes interrumpen el servicio de un host conectado a Internet a sus usuarios previstos. Esto se hace enviando a la red o servidor de destino una avalancha constante de tráfico, como solicitudes fraudulentas, que sobrecargan el sistema y evitan que procese el tráfico legítimo.

Explore la protección frente a ciberamenazas de Zscaler

¿Cómo funciona un ataque DoS?

En un ataque de denegación de servicio, un pirata informático utiliza un programa para inundar un servidor con tráfico malicioso. Las solicitudes que componen este tráfico parecen provenir de usuarios legítimos, por lo que el servidor valida solicitud tras solicitud. De hecho, el “servicio” se “niega” a los usuarios legítimos debido a la pérdida resultante de ancho de banda y recursos de red.

El sistema o los datos atacados dejan de estar disponibles para los usuarios que los necesitan. Los ataques DoS a menudo se usan para la extorsión porque, por ejemplo, una empresa que no puede brindar su servicio a los clientes puede perder ingresos y sufrir daños a su reputación. En este sentido, DoS es similar al ransomware, pero el rehén es el servicio de la víctima, en lugar de sus datos.

¿Cuál es la diferencia entre un ataque DoS y un ataque DDoS?

Cuando un ataque DoS proviene de una sola fuente, un ataque distribuido de denegación de servicio o ataque DDoS transmite solicitudes fraudulentas de múltiples fuentes a la vez. Normalmente, un perpetrador aprovechará un grupo de dispositivos conectados a Internet, a veces a escala global, para inundar el servidor de destino, lo que puede saturarlo mucho más fácilmente que un ataque DoS.

Ese grupo de ordenadores infectados se denomina botnet. Las botnets funcionan de manera sincronizada, esperando instrucciones de un atacante en una sola dirección IP para lanzar un ataque de inundación. Estos ataques generalmente están programados para comenzar a una hora específica y pueden durar horas o incluso días.

Un servidor que se enfrenta a un ataque DoS puede simplemente cerrar la única conexión que realiza el ataque. Los ataques DDoS son mucho más peligrosos y difíciles de mitigar porque la afluencia de tráfico proviene de múltiples fuentes a la vez.

Es más, los delincuentes ahora están utilizando dispositivos de Internet de las cosas (IoT) para hacer que sus botnets sean aún más peligrosas al reducir los procesos naturales. Es decir, pueden utilizar dispositivos IoT para facilitar mucho la sincronización de sus dispositivos botnet, aumentando la eficacia de sus ataques.

¿Cuáles son algunos ataques DoS históricamente significativos?

Los ataques DDoS son mucho más habituales que los ataques DoS, principalmente porque los ataques DDoS son mucho más difíciles de bloquear y, por lo tanto, pueden llevarse a cabo durante un período de tiempo más largo.

Los proveedores de servicios en la nube suelen ser víctimas de DDoS debido a su vulnerabilidad inherente a dichas amenazas. Aquí hay algunos más recientes que aparecieron en los titulares:

  • Amazon: En febrero de 2020, Amazon sufrió uno de los mayores ataques DDoS jamás registrados. Utilizando la reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP), los atacantes arremetieron contra un cliente de Amazon Web Services (AWS) a una velocidad de 3,3 terabytes por segundo (TBps) durante tres días.
  • GitHub: en febrero de 2018, los atacantes introdujeron 1,35 terabytes por segundo en servidores de GitHub durante 20 minutos. "Decenas de miles de terminales únicos" albergaban "más de mil sistemas autónomos diferentes" que lanzaron el ataque.
  • Google: en octubre de 2020 Google sufrió un ataque de amplificación UDP de seis meses de duración que se montó en tres proveedores de servicios de Internet chinos (ISP), enviando más de 2,5 terabytes por segundo de datos basura a los servidores de Google.

¿Cómo se puede identificar un ataque DoS?

Los proveedores de infraestructura tienden a no filtrar los anuncios de ruta, que indican a la gente cómo ir de un lugar a otro en Internet. Más importante aún, tienden a no filtrar los paquetes para verificar la fuente del tráfico. Estas dos condiciones facilitan que los malhechores envíen tráfico de ataque a un objetivo.

Los atacantes generalmente están motivados por tres cosas: hostilidad hacia el objetivo (esta es la típica motivación de los ataques de los hacktivistas), extorsión y el deseo de robar a alguien mientras se le niega el servicio. Si bien no hay una señal de advertencia temprana de un ataque DoS, un profesional de seguridad experto puede detectar el tráfico que envía un ciberdelincuente para determinar si usted es un objetivo viable o no.

Los atacantes enviarán una gran cantidad de solicitudes, por ejemplo a diferentes partes de un sitio web, para ver si los servidores web son vulnerables a un ataque DoS. Estos primeros “temblores” de la red son una señal de que su organización puede estar siendo atacada.

Si se supervisa la seguridad de la red adecuadamente, su equipo de seguridad cibernética puede analizar el tráfico de la red y descubrir patrones en los paquetes que son signos claros de ataque. Para identificar si le están atacando en tiempo real, debe observar los metadatos de sus enrutadores y conmutadores, una tarea más fácil de realizar con una herramienta de supervisión de calidad.

Tipos de ataques DDoS

Hay cuatro tipos principales de ataques DoS que tienen como objetivo explotar o extorsionar sistemas y datos:

  • Redirección del navegador: un usuario solicita que se cargue una página, pero un pirata informático redirige al usuario a otra página maliciosa.
  • Cierre de conexión: un ciberdelincuente cierra un puerto abierto, negando al usuario el acceso a una base de datos.
  • Destrucción de datos: un pirata informático elimina archivos, lo que genera un error de "recurso no encontrado" cuando alguien solicita ese archivo o, si una aplicación contiene una vulnerabilidad que la deja abierta a ataques de inyección, el malhechor puede denegar el servicio eliminando la tabla de la base de datos.
  • Agotamiento de recursos: un delincuente solicitará repetidamente acceso a un recurso en particular, sobrecargando la aplicación web, provocando que se ralentice o bloquee al recargar repetidamente la página.

 

Tipos de ataques DDoS

Aquí hay algunos ejemplos de ataques DDoS específicos para recordar:

  • Inundación SYN:un atacante explota una comunicación TCP (SYN-ACK) enviando una gran cantidad de paquetes SYN, consumiendo los recursos del sistema objetivo
  • Suplantación de identidad: un atacante se hace pasar por un usuario o dispositivo y, después de ganarse la confianza,utiliza paquetes falsificados para lanzar un ciberataque
  • Ataque DDoS de capa de aplicación: Como sugiere el nombre, este ataque, una vez implementado, explotará una vulnerabilidad o una configuración incorrecta en una aplicación y negará a un usuario el acceso o el uso de la aplicación.
  • Inundación delsistema de nombres de dominio(DNS): También conocido como ataque de amplificación de DNS, un atacante interrumpe la resolución DNS de un nombre de dominio determinado mediante la inundación de sus servidores
  • Inundación de protocolo de mensajes de control de Internet (ICMP): también conocida como inundación de ping, un atacante falsifica una IP de origen y crea un ataque smurf. Este método también se puede utilizar para enviar un "ping de muerte", en el que un paquete grande provoca un desbordamiento del búfer
  • .
  • Inundación del protocolo de datagramas de usuario (UDP):un atacante inunda puertos aleatorios en su objetivo, que luego consume recursos y responde con paquetes de "destino inalcanzable"

Prevención de un ataque DoS

Los ataques DoS o DDoS pueden ocurrir en cualquier momento, pero con las mejores prácticas adecuadas, puede asegurarse de que su organización tenga todas las herramientas y protocolos necesarios para una defensa sólida.

Aquí hay cinco maneras de prevenir un ataque DoS:

  1. Cree un plan de respuesta DoS. Revise su sistema e identifique posibles fallas de seguridad, vulnerabilidades o brechas en la postura. Trace un plan de respuesta en caso de un ataque.
  2. Asegure su infraestructura. Las soluciones efectivas de cortafuegos, supervisión de tráfico e inteligencia de amenazas basadas en la nube, como la detección o prevención de intrusiones, aumentan en gran medida sus posibilidades de defenderse de los ataques DoS.
  3. Comprenda las señales de advertencia. Busque un rendimiento lento de la red, tiempo de inactividad del sitio web, una interrupción o un aumento repentino del spam. Todo esto requiere acción inmediata.
  4. Adopte servicios basados en la nube. Los recursos de la nube le brindan más ancho de banda que los locales y, debido a que sus servidores no están todos en las mismas ubicaciones, a los ciberdelincuentes les resultará más difícil atacarle.
  5. Supervise la actividad inusual. Esto permitirá a su equipo de seguridad detectar y mitigar un ataque DoS o DDoS en tiempo real. En la siguiente sección, cubriremos formas en que puede reducir por completo el riesgo de ataques DoS y DDoS.

¿Cómo puede reducir el riesgo de un ataque DoS?

Una mala postura de seguridad y visibilidad pueden abrir la puerta no solo a ataques DoS y DDoS, sino también a otras amenazas como malware, ransomware, spear phishing, etc. Para mantener segura su organización y maximizar sus posibilidades de mitigar eficazmente DoS y DDoS, necesita una protección adecuada contra DoS y DDoS. A continuación se muestran algunas formas en las que puede reducir sus posibilidades de sufrir un “DoS” o un “DDoS”:

  • Obtenga su seguridad desde la nube. La seguridad brindada en la nube le permite extender la política a todos sus usuarios, dondequiera que estén y sea cual sea su dispositivo, y le brinda visibilidad completa de su entorno. Además, con actualizaciones automáticas y sin necesidad de aplicar revisiones o ajustes manualmente, siempre estará listo para defenderse de las amenazas más recientes.
  • Adopte detección y respuesta extendidas (XDR). XDR es una evolución de la detección y respuesta de terminales (EDR) que le brinda visibilidad de amenazas en el terminal, así como información sobre los posibles riesgos de seguridad de los datos y la nube, todo con inteligencia integral sobre amenazas incluida. Esto detendrá la marea de falsos positivos que normalmente experimenta un equipo de seguridad, liberándolos para ser más productivos.
  • Considere un centro de operaciones de seguridad (SOC). Un SOC administrado en la nube le permite cubrir bases para las que su equipo de seguridad quizás no tenga el ancho de banda. Es decir, aprovisionamiento de políticas en la nube, detección y respuesta a amenazas, protección de datos e incluso cumplimiento, en algunos casos. Al igual que XDR, un SOC administrado les brinda a usted y a su equipo la libertad de concentrarse en asuntos más urgentes.
  • Implemente una arquitectura de confianza cero. Según Gartner, al menos el 70 % de las nuevas implementaciones de acceso remoto serán atendidas principalmente por ZTNA en lugar de servicios VPN en 2025, frente a menos del 10 % a finales de 2021. Esto se debe a que la seguridad de confianza cero solo otorga acceso en función del contexto (es decir, usuario, dispositivo, ubicación y aplicación), garantizando que los ciberdelincuentes queden alejados en todas las circunstancias.

Cuando se trata de confianza cero, sólo un proveedor ofrece confianza cero que nace en la nube. Da la casualidad de que es el mismo proveedor que se asocia con los mejores arquitectos XDR para que pueda detectar amenazas en todos sus terminales, nubes y datos. Ese proveedor es Zscaler.

Cómo puede ayudar Zscaler

Zscaler es el único proveedor de servicios de seguridad con una plataforma lo suficientemente sólida como para defenderse de las últimas amenazas actuales, incluidos los ataques DoS y DDoS. Zscaler Private Access™ (ZPA™) es parte de Zscaler Zero Trust Exchange™, la plataforma de perímetro de servicios de seguridad (SSE) mejor valorada y más implementada del mundo.

El diseño exclusivo de ZPA se basa en cuatro principios clave:

  • Conectar a los usuarios a las aplicaciones sin colocarlos en la red
  • Nunca exponer las aplicaciones a usuarios no autorizados
  • Habilitar la segmentación de aplicaciones sin segmentación de la red
  • Proporcionar acceso remoto seguro sin utilizar dispositivos VPN

ZPA proporciona una forma sencilla, segura y eficaz para acceder a aplicaciones internas. El acceso se basa en políticas creadas por el administrador de TI dentro del Portal de administración de ZPA y alojadas en la nube de Zscaler. En cada dispositivo de usuario, está instalado nuestro Zscaler Client Connector (conector de aplicación), que garantiza la postura del dispositivo del usuario y extiende un microtúnel seguro hacia la nube de Zscaler cuando un usuario intenta acceder a una aplicación interna.

Junto a una aplicación que se ejecuta en una nube pública o un centro de datos, ZPA coloca nuestro conector de aplicación, implementado como una máquina virtual, que se utiliza para extender un microtúnel a la nube de Zscaler. El Z-Connector establece una conexión saliente a la nube y no recibe ninguna solicitud de conexión entrante, evitando así ataques DDoS.

Dentro de la nube de Zscaler, un agente de seguridad de acceso a la nube, o CASB, aprueba el acceso y une la conexión del usuario a la aplicación. ZPA está 100 % definido por software, por lo que no requiere dispositivos y permite a los usuarios beneficiarse de la nube y la movilidad mientras mantienen la seguridad de sus aplicaciones, beneficios inalcanzables con los métodos tradicionales de conectividad de red y los cortafuegos locales heredados.

promotional background

Mejore su postura de seguridad y proteja a sus usuarios frente a los últimos ciberataques, incluidos DoS y DDoS, con Zscaler Private Access.

Recursos sugeridos

Perspectivas globales de Zscaler ThreatLabz
Nuestro panel de cumplimiento global
¿Qué es el movimiento lateral?
Lea el artículo
Zscaler Cloud Firewall
Proteja su tráfico
¿Qué es la seguridad de red?
Lea el artículo
01 / 02
Preguntas frecuentes