Ataque DoS (Denial of Service)

Hoy en día, en internet es ex­tre­ma­da­me­n­te im­po­r­ta­n­te estar preparado para cualquier peligro. De lo contrario, hay agentes ma­li­cio­sos que pueden entrar en tu sistema, ma­ni­pu­lar­lo o inu­ti­li­zar­lo. Una de las es­tra­te­gias clásicas es el ataque DoS. Pero ¿qué es exac­ta­me­n­te y cómo puedes pro­te­ge­r­te de él?

En sus orígenes, denial of service o DoS se empleaba cuando algunos servicios de internet dejaban de estar di­s­po­ni­bles te­m­po­ra­l­me­n­te en un sistema de TI, como un servidor. Esto ocurre cuando los se­r­vi­do­res co­rre­s­po­n­die­n­tes se so­bre­ca­r­gan, por ejemplo, por un número excesivo de so­li­ci­tu­des de los usuarios. Los servicios de internet incluyen sitios web, servicios de correo ele­c­tró­ni­co o funciones de chat.

En un ataque DoS, el atacante causa esta “negación de servicio” de­li­be­ra­da­me­n­te. Para esto, “bombardea” las co­ne­xio­nes de red del sistema in­fo­r­má­ti­co re­s­po­n­sa­ble del in­te­r­ca­m­bio de datos externos con multitud de so­li­ci­tu­des, con el fin de so­bre­ca­r­gar­las. Si el número de so­li­ci­tu­des supera la capacidad del sistema, este se ralentiza o se paraliza por completo, de modo que ya no se pueda acceder a sitios web, funciones de correo ele­c­tró­ni­co o tiendas en línea.

Un ataque DoS se puede comparar a una situación en una tienda real en la que entran cientos de personas que distraen al personal de ventas con preguntas engañosas, bloquean recursos y no realizan ninguna compra. El personal se so­bre­ca­r­ga hasta que no puede atender a nadie más y los clientes reales no pueden entrar en la tienda o no se les puede atender.

Los ataques DoS puros son, en principio, re­la­ti­va­me­n­te fáciles de realizar, sobre todo porque para rea­li­zar­los no es necesario penetrar en las medidas de seguridad de un sistema in­fo­r­má­ti­co. Incluso es posible llevar a cabo este ataque ilegal con un pre­su­pue­s­to re­la­ti­va­me­n­te reducido y sin co­no­ci­mie­n­tos técnicos. Se pueden encontrar ci­be­r­de­li­n­cue­n­tes di­s­pue­s­tos a realizar este tipo de ataques por pocos cientos de euros en la darknet. Si las empresas y or­ga­ni­za­cio­nes no están pre­pa­ra­das para los ataques DoS, quedan expuestas a enormes daños con un mínimo esfuerzo por parte de los mal­he­cho­res.

Un posible indicio de que estás pasando por un ataque DoS es el re­n­di­mie­n­to inu­sua­l­me­n­te lento de toda la red, lo que se nota es­pe­cia­l­me­n­te al abrir archivos o los propios sitios web. Un ataque DoS exitoso es también fácil de apreciar desde el exterior: los sitios web atacados cargan muy le­n­ta­me­n­te. Además, algunas funciones, como por ejemplo las de tienda en línea, dejan de funcionar por completo. En el punto álgido del ataque, muchos sitios web dejan de estar ac­ce­si­bles.

Puedes de­te­r­mi­nar si has sido víctima de un ataque DoS su­pe­r­vi­sa­n­do y ana­li­za­n­do el tráfico de red con ayuda de un co­r­ta­fue­gos o con otro sistema de detección de ataques (Intrusion Detection System). Los ad­mi­ni­s­tra­do­res de la red tienen la capacidad de es­ta­ble­cer criterios para detectar el tráfico anormal. Si el número de so­li­ci­tu­des so­s­pe­cho­sas al sistema aumenta, se activa au­to­má­ti­ca­me­n­te una alarma. Esto permite tomar co­n­tra­me­di­das lo antes posible.

En la ac­tua­li­dad existen muchos tipos di­fe­re­n­tes de ataques DoS, que pueden di­s­ti­n­gui­r­se a grandes rasgos en ataques contra el ancho de banda, ataques contra los recursos del sistema y ataques que apro­ve­chan las vu­l­ne­ra­bi­li­da­des de seguridad y los errores de software. Para entender cómo proceden los mal­he­cho­res en un ataque DoS y qué medidas pueden tomarse para co­n­tra­rre­s­tar­lo, se puede tomar como ejemplo el ataque pitufo o smurf attack.

Este es un tipo es­pe­cí­fi­co de ataque DoS dirigido al sistema operativo o la conexión a internet de un sistema o red in­fo­r­má­ti­ca. El atacante envía pings, paquetes de datos ICMP del tipo Echo Request o “solicitud de eco”, a la dirección de emisión de una red. En estos paquetes de datos, el malhechor introduce la dirección del sistema que ataca. Entonces, todos los or­de­na­do­res de la red envían una respuesta a este sistema, asumiendo erró­nea­me­n­te que las so­li­ci­tu­des provienen de este. Cuantos más or­de­na­do­res formen parte de la red utilizada por el atacante, mayor será el número de supuestas re­s­pue­s­tas y más de­va­s­ta­dor será el ataque.

Para evitar los ataques pitufos, los sistemas ya no responden a los paquetes de tipo “solicitud de eco” de la ICMP y los en­ru­ta­do­res ya no reenvían los paquetes dirigidos a las di­re­c­cio­nes de difusión de forma pre­de­te­r­mi­na­da. Esta medida de seguridad general ha hecho que los ataques pitufos raras veces tengan éxito.

Existen varias medidas para proteger tu in­frae­s­tru­c­tu­ra contra los ataques de negación de servicio, que puedes combinar entre ellas para re­fo­r­zar­las. En pa­r­ti­cu­lar, debes co­n­fi­gu­rar co­rre­c­ta­me­n­te tus en­ru­ta­do­res y pro­te­ge­r­los con co­n­tra­se­ñas fuertes. Con instalar medidas de pro­te­c­ción en estos nodos, ya se pueden evitar muchos ataques DoS. De este modo, los paquetes de ataque ya no se admiten en la es­tru­c­tu­ra interna. Un buen co­r­ta­fue­go pro­po­r­cio­na seguridad adicional.

Después de de­te­r­mi­nar el objetivo de un ataque, puedes dedicarle recursos adi­cio­na­les. La di­s­tri­bu­ción de carga, por ejemplo, permite solicitar capacidad adicional al proveedor de alo­ja­mie­n­to con poca an­te­la­ción para así frustrar ataques DoS antes de que se produzcan.

Nuestro artículo contiene una de­s­cri­p­ción más precisa de la di­fe­re­n­cia entre DDoS y DoS.

La mayoría de los ataques DoS de hoy en día toman la forma de ataques Di­s­tri­bu­ted Denial of Service, que se ide­n­ti­fi­can con las siglas DDoS. Los ataques DoS y DDoS se di­fe­re­n­cian porque, mientras que los ataques DoS tienen un origen único (por ejemplo, un ordenador o una red), los ataques DDoS se llevan a cabo de manera indirecta a través de una red de bots, a menudo am­plia­me­n­te di­s­tri­bui­da (de ahí el término di­s­tri­bu­ted).

Una botnet consiste en un grupo de or­de­na­do­res pi­ra­tea­dos, llamados zombis. Se trata, en general, de or­de­na­do­res mal ma­n­te­ni­dos, cuyos pro­pie­ta­rios raras veces se dan cuenta del software malicioso instalado en ellos o de que los están uti­li­za­n­do para ac­ti­vi­da­des de­li­c­ti­vas. El operador de una red de bots puede utilizar este ejército de or­de­na­do­res zombis para atacar otros sistemas in­fo­r­má­ti­cos.

Existen botnets co­m­pue­s­tos por varios millones de or­de­na­do­res. Cuando se usan todos en un ataque DDoS, el número de “so­li­ci­tu­des ile­gí­ti­mas” a una red puede aumentar eno­r­me­me­n­te. Esta es una de las razones por la que incluso portales con enormes recursos, como Facebook, no están cien por cien seguros contra un ataque DDoS a gran escala.