Este es un titular muy común en todo el mundo: «Una página web destacada ha sido hackeada». El origen de esta creciente amenaza es el ataque distribuido de denegación de servicios a las empresas (DDoS, por sus siglas en inglés). Es importante que las empresas sean conscientes de esto y lleven a cabo acciones proactivas para prevenir ser víctimas de este tipo de ataques.
El objetivo de este artículo es explicar en qué consisten este tipo de ofensivas y ofrecer algunas indicaciones sobre cómo minimizarlas o, idealmente, prevenirlas completamente:
Riesgo real, cada vez más peligroso
Si piensas que eres demasiado pequeño o demasiado irrelevante para ser una víctima interesante para un hacker, piénsalo de nuevo. Cualquier organización es una posible víctima y la mayoría de nosotros somos vulnerables a los ataques DDoS. Tanto si se trata de una empresa global dentro de las Fortune 500, una agencia gubernamental o una pyme, todas ellas están dentro de la lista de objetivos de los ciberdelincuentes actuales. Incluso las compañías más seguras, con una gran inversión de recursos y expertos en seguridad han sido víctimas de estas amenazas. Ejemplo de ello sería firmas como Amazon, Visa, Sony, Monsanto, PostFinance, Paypal o Bank of America.
Recientemente, el número de incidentes por DDoS se ha incrementado significativamente. Los ataques además han aumentado en escala, incluso excediendo el volumen del tráfico de 100 Gbps.
DDoS, en sabores variados
En el nivel más básico, un ataque DDoS es un intento de hacer que una máquina o recurso de red quede inutilizada o no disponible para sus usuarios. Aunque las motivaciones para llevarlo a cabo son muy variadas, normalmente consiste en los esfuerzos de una o más personas que, de forma temporal o indefinida, interrumpen o suspenden los servicios de un host conectado a Internet.
Como es costumbre, esto se lleva a cabo mediante los esfuerzos coordinados de botnets distribuidos, que pueden emplear hasta cientos de miles de ordenadores zombies, máquinas que han sido infectadas previamente y son controladas de forma remota, simplemente esperando órdenes. Los ataques DDoS trabajan tanto desde los flujos de inicio del tráfico hasta los recursos del servidor, interrumpidos por fuerza bruta, o explotando vulnerabilidades inherentes para echar abajo los servidores target.
Los ataques por flujo incluyen Internet Control Message Protocol (ICMP), SYN y otros flujos por nivel de aplicación. Los ataques por flujo DDoS a menudo provocan energía asimétrica de grandes botnets distribuidos. Estos pueden crear múltiples formas para enviar cantidades gigantescas de peticiones a servidores web deseados.
Los crash attacks a menudo mandan paquetes deformados que se aprovechan de los errores de los sistemas operativos. Se trata de intentos de ataques DDoS por nivel de aplicación para hacer fallar el sistema mediante exploits en las aplicaciones del servidor. Los ataques DDoS nacidos como malware pueden comprometer potencialmente los sistemas botnet con troyanos, que a cambio hacen estallar la descarga de un agente zombie.
Más aún, los ataques son cada vez más sofisticados. Por ejemplo, los botnets no solo fluyen en paquetes de emisión en un servidor objetivo, sino que además establecen conexiones con servidores para iniciar volúmenes aplastantes de transacciones de aplicaciones falsas desde el interior.
¿Por qué DDoS?
Los criminales utilizan DDoS ya que es barato, difícil de detectar y altamente efectivo. En primer lugar: son baratos por que pueden proporcionar redes distribuidas de cientos de ordenadores zombies infectados con gusanos u otro tipo de métodos automáticos. Por ejemplo, los ataques DDoS de MyDoom utilizaron un gusano para distribuir el lanzamiento de un ataque por flujos. Debido a que estas botnets se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de una botnet por menos de 100 dólares para un flujo de ataques, o contratar ataques específicos por tan solo cinco dólares la hora.
Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e imitan el tráfico autorizado normal. Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda.
Motivos económicos o ideología
Los ataques DDoS por motivos económicos tienen su base normalmente tanto en la extorsión como en la competencia. El esquema de la extorsión habitualmente se beneficia de la demanda de importantes rescates a las organizaciones víctimas con el objetivo de prevenir la denegación de servicio.
Por otro lado, los ataques sin escrúpulos de las empresas competidoras prevalecen más de lo esperado. Un informe de la industria encontró que más de la mitad de los ataques por DDoS del Reino Unido se llevó a cabo por competidores que buscaban una ventaja desleal de su negocio.
Los ataques ideológicos se pueden lanzar por entidades gubernamentales o hacktivistas. Éstos tienden a buscar publicidad atacando organizaciones de alto nivel o sitios que simbolicen prácticas políticas conflictivas. Tal vez, uno de los ejemplos más notorios de hacktivistas es el grupo Anonymous, que ha reclamado la responsabilidad (y publicidad) de haber hackeado las páginas web de organizaciones de gran nivel como el FBI o la CIA, y han atacado páginas web en 25 países en seis continentes.
¿Quién es el siguiente?
Desde que las agendas de los hacktivistas son volátiles y poco predecibles, cualquier empresa puede ser objetivo de sus acciones como símbolo del último cause du jour. Empresas de gran prestigio como Facebook, o grandes eventos como los Juegos Olímpicos, la Copa de Europa o las elecciones de Estados Unidos, son particularmente target de estas organizaciones.
En el caso de ataques DDoS por guerras cibernéticas lanzadas por el gobierno, no solo las .gov son vulnerables. Dichos ataques pueden además apuntar a fabricantes afiliados que proveen infraestructura clave o servicios de comunicaciones y transporte o, incluso, buscan dejar inutilizado negocios clave o servidores de transacciones financieras.
Los servicios basados en cloud pueden ser especialmente vulnerables a ataques. Debido a que los sitios que necesitan una gran cantidad de transacciones o cálculos tienen una gran cantidad de recursos, también son los preferidos para ataques por denegación de servicio.
¿Qué puede hacer TI?
Claramente, los departamentos de Tecnologías de la Información (TI) necesitan estar alerta y dar pasos preventivos contra los ataques DDoS. La firma analista Gartner afirma que la mitigación de los ataques DDoS debería ser «una parte estándar de la planificación en la recuperación de desastres y la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio depende de la disponibilidad de la conectividad a Internet». Para hacer esto efectivo, un negocio debe ser preventivo, estar preparado y ser fuerte contra los ataques DDoS.
Necesitan ser prevenidos
Hablando claro, los departamentos de TI deberían saber su ISP. Deberían colaborar en proporcionar un plan de respuesta más efectivo con sus proveedores de servicios. En muchos casos, los ISP pueden ser la primera línea de defensa frente a los DDoS.
Los departamentos de TI deberían saber cuáles son sus cuellos de botella. Una organización TI bien preparada debería identificar las partes de la red más propensas a ser atacadas por DDoS, como el ancho de banda a internet, firewalls, prevención de intrusiones (IPS), balanceador de cargas o servidores. Más aún, las TI necesitan monitorizar de cerca estos potenciales puntos de fallo, y evaluar si actualizar u optimizar su rendimiento y resistencia.
Finalmente, los responsables TI deberían conocer su tráfico. Las TI no pueden controlar lo que se puede y lo que no se puede ver. Por tanto, las TI deberían escanear y monitorizar tanto el tráfico de entrada como el de salida para ganar visibilidad en volúmenes poco usuales o diseños que puedan identificar sitios target o revelar botnets dentro de la red. Para los más preparados, las TI requieren además visibilidad en el tráfico de capa 7 con el objetivo de identificar y controlar ataques DDoS por capas de aplicación.
Se requiere preparación
Las organizaciones TI deberían invertir en evaluar e implementar productos y servicios apropiados. Por ejemplo, algunos firewalls de próxima generación ponen de relieve las contramedidas de prevención y detección de intrusiones contra ataques DDoS conocidos, que pueden ser actualizados automáticamente con nuevas firmas.
De forma ideal, los departamentos de TI necesitarán un firewall para analizar en profundidad tanto el tráfico de entrada como el de salida –incluyendo visibilidad en las aplicaciones– y monitorizar y alertar en caso de diseños sospechosos. Las TI deberían asegurar que la solución de firewall remedie los ataques DDoS bloqueando, filtrando o redireccionando el tráfico basado en diseños, volúmenes o características identificadas.
Para una inteligencia de tráfico mejorada, los departamentos TI deben además considerar la implementación de un software que analice el flujo de tráfico que pueda examinar el uso de datos por aplicación o usuarios, mirar los datos sobre diferentes periodos de tiempo y los datos del tráfico correlativo desde múltiples fuentes como NetFlow e IPFIX.
Más aún, los departamentos de TI líderes deberían evaluar las tecnologías emergentes para añadir al arsenal, como geolocalización IP, que podría ayudar a identificar fuentes geográficas sospechosas.
Fuerza y flexibilidad
Como hemos descrito, los ataques por denegación de servicio normalmente se producen a través sistemas de desbordados y con cuellos de botella. Siempre que sea posible, las TI debería mejorar la fuerza y flexibilidad de la red con componentes de alto rendimiento y altamente redundantes, así como gestión de ancho de banda basado en políticas.
Por ejemplo, algunos firewalls de nueva generación pueden combinar un diseño multicore escalable masivamente con tecnología de escáner de paquetes en profundidad para permitir el escaneo de aplicaciones y amenazas de forma simultánea así como el análisis de archivos de todos los tamaños y conexiones a velocidades gigabit. Este tipo de firewalls puede ser configurado para un rendimiento y flexibilidad óptima bajo ataques, con alta disponibilidad de failover activo/activo, control e inteligencia de aplicación, así como priorización de ancho de banda.
Conclusiones
Si una organización lleva a cabo su trabajo desde cualquier lugar a través de Internet, no es una cuestión de «si…» sino de «cuándo…» será objetivo de un ataque DDoS. Todavía hay muchas cosas que los departamentos de TI pueden hacer para minimizar su impacto. La organización de TI debería colaborar de cerca con empresas líderes para prevenir los puntos vulnerables, para estar preparados con las contramedidas apropiadas y para fortalecerse con alto rendimiento y componentes de seguridad de red altamente redundantes.
