Ataque DDoS: qué significa, tipos y cómo protegerse

¿Qué es un ataque DDoS?

Para terminar de comprender qué es un ataque DDoS y por qué es tan peligroso, veamos un ejemplo cotidiano: el tráfico de Ciudad de México.

En el mundo de la informática, los causantes de los atascos en la capital mexicana serían los hackers. Ellos hacen que todos los vehículos salgan a la misma hora y bloquean las carreteras principales. Nadie puede llegar a la oficina, ni dejar a los niños en la escuela. Solo pueden esperar. Esto es exactamente lo que hacen los ataques DDoS en los canales interconectados de los dispositivos: agotan los recursos, los frenan y todo deja de funcionar como debería.

Una vez explicado qué significa un ataque DDoS de manera sencilla, pasemos a ver cómo funciona y por qué termina infectando los sistemas operativos de instituciones latinoamericanas y particulares. Durante las elecciones mexicanas celebradas en junio, se registraron 32 ataques DDoS por segundo. El Consejo de Seguridad de Información y Ciberseguridad (Consejociac), meses antes, advertía del peligro, y este es solo un ejemplo.

¿Cómo funciona un ataque DDoS?

Los DDoS funcionan de la siguiente manera:

• Los hackers configuran múltiples computadoras para lanzar simultáneamente los ataques.
• Los avances en tecnología han permitido que los ataques se automaticen, así que se utilizan bots para reproducir más rápido las infecciones.
• En el punto de mira está una dirección IP específica. Los golpes llegarán de varios frentes, gracias a la potente red fraudulenta que los hackers habrán creado, por lo que es difícil defenderse.
• De tener éxito el ciberataque, lo que ocurrirá a continuación es que caerá el servicio. El sistema está infectado de código manipulado que, como en el ejemplo anterior de una carretera congestionada, hará que la circulación se bloquee.

Los ataques DDoS no tienen una duración definida. No podemos saber con exactitud cuándo van a empezar y el momento en el que pararán. Ese es uno de los problemas de esta amenaza online, sin duda, que se une a la dificultad que sigue habiendo para rastrearlos y estar advertidos con tiempo suficiente para reaccionar.

Podría ser la víctima de un ataque DDoS sin saberlo

Hay tantos interrogantes alrededor de la pregunta: ¿cómo funciona un ataque DDoS? que tal vez esté siendo víctima de este ciberdelito y no esté siendo consciente de ello.

Su computadora podría estar siendo usada como un peón y formar parte de un ejército botnet –también llamado ‘red zombi’–, respondiendo en secreto a comandos maliciosos, y usted ni siquiera lo sabrá. Pero ¿hay algún truco para intentar identificarlo? Sí, los únicos signos podrían ser una reducción mínima de su rendimiento o que el dispositivo se caliente más de lo normal.

Tal y como hemos adelantado a lo largo de este artículo, el calentamiento del PC o el celular se debe al propio funcionamiento de un ataque DDoS. El código malicioso que forma el DDoS se infiltra en el sistema operativo de la víctima y se reproduce, así que impide que funcione con normalidad, aparecen errores, y el procesador no es capaz de hacer su trabajo: trasladar los datos a donde corresponda. De ahí que el celular o computadora se sobrecargue.

¿Esto quiere decir que un DDoS destruirá piezas de los dispositivos? No exactamente.

¿Un ataque DDoS destruye el hardware o el software de los dispositivos?

Un ataque PDoS causa un daño directo al hardware. Sin embargo, los ataques DDoS aplican su furia al software e intentan destruir el sistema operativo. No significa que a veces no haya reacciones físicas, como el calentamiento excesivo de los dispositivos del que hemos venido hablando, pero su principal objetivo es colapsar las partes que permiten que el sistema operativo funcione.

¿Hay alguna parte del software que corre más peligro ante los ataques DDoS?

Los ataques DDoS pueden dirigirse contra un componente específico de la conexión de la red o, sencillamente, a una combinación: una parte concreta del sistema operativo y la red. Recuerde que toda conexión realizada a través de internet pasa por capas del modelo OSI.

¿Por qué es relevante esto? Porque la mayoría de los ataques DDoS se producen en estas tres capas:

• Capa de red (capa 3). Los ataques contra esta capa incluyen ‘ataques smurf’, inundaciones de ping/ICMP y fragmentación de IP/ICMP.
• Capa de transporte (capa 4). Estos ataques incluyen inundaciones de SYN, inundaciones UDP y agotamiento de la conexión TCP.
• Capa de aplicación (capa 7). Se trata principalmente de ataques cifrados HTTP.

¿Cómo identificar un ataque DDoS?

Hay varias maneras de identificar un ataque DDoS. Además, cuanto antes se identifique un ataque DDoS, más posibilidades habrá de detenerlo.

Estas son las principales indicaciones de que está produciéndose un ataque DDoS:

• Servicio lento o no disponible. Esta suele ser la primera señal de un ataque DDoS. Lo que parece un error 502 de ‘bad gateway’ podría ser el resultado de un hackeo DDoS. Sin embargo, hay muchos otros problemas que también pueden causar un rendimiento lento, así que no podemos basarnos solo en esto para identificar un ataque DDoS.
• Una gran cantidad de tráfico procedente de una única dirección IP. Puede comprobar el tráfico usado por herramientas de análisis de tráfico.
• Aumento de tráfico extraño durante horas del día inusuales.
• Mayor número de solicitudes en una determinada página o punto final.

Es crucial identificar los ataques DDoS antes de que sea demasiado tarde. Google también ha sido víctima de este ciberdelito. El 1 de junio del 2022, para ser más exactos, se registraron hasta 46 millones de solicitudes por segundo. La empresa necesitó 69 minutos para solucionar el problema.

DoS vs. DDoS: ¿cuál es la diferencia?

DoS y DDoS no son lo mismo. Y no, no se trata solo de una D, sus definiciones son diferentes.

• Un ataque de denegación de servicio (DoS) satura un servidor con tráfico y hace que un servicio o una página web dejen de estar disponibles.
• El DoS es un ataque de sistema contra sistema que emplea un único dispositivo para atacar un servicio en específico. Por su parte, un ataque DDoS usa múltiples computadoras y sistemas para comprometer su objetivo.

Hay algo que sí que tienen en común: su meta. Ambos buscan dañar los sistemas operativos de terceras personas, sin su consentimiento, por supuesto. No obstante, DDoS usa tecnología superior, más potente que la primera versión, DoS.

Tipos de ataques DDoS

Hay varios tipos de ataques DDoS cuyas diferencias tienen que ver con el nivel de sofisticación de su código o la duración de los ataques, entre otras cuestiones.

De forma muy resumida, identifiquemos cuáles son los tipos de DDoS con los que nos podríamos encontrar:

Ataque inundación reset TCP

Los ataques a la conexión TCP –también conocidos como ataques de inundación de SYN– se producen cuando un triple handshake TCP entre el host y el servidor nunca se completa.

En este ataque se inicia el handshake, pero el hacker deja el servidor colgado y los puertos abiertos. De este modo, el servidor no puede recibir ninguna otra petición. El hacker sigue atacando con más handshakes, hasta que finalmente se bloquea.

Ataque volumétrico

Los ataques volumétricos son el tipo de ataque DDoS más común. Simplemente, consumen todo el ancho de banda disponible entre el objetivo e internet. Esto suele hacerse operando botnets y dirigiéndose contra un objetivo específico.

Un ejemplo del ataque volumétrico ocurre cuando el hacker hace un ‘spoofing’ de la IP de la víctima y lanza múltiples solicitudes a un servidor DNS abierto. El ataque está estructurado de manera que, cuando el servidor DNS responde, envía a la víctima más datos de los que puede manejar.

Ataque de fragmentación

El tráfico enviado por internet se divide en paquetes de datos. Estos paquetes viajan y se articulan de diferentes maneras dependiendo de si se emplea el protocolo de transporte TCP o UDP. Un ataque de fragmentación envía paquetes de datos falsos que distorsionan el flujo de datos y, al hacerlo, saturan al servidor.

La vulnerabilidad de ‘demasiados paquetes’ es un ejemplo de ataque de fragmentación porque satura la red con un número excesivo de paquetes incompletos y fragmentados.

Ataque a la capa de aplicación

Los ataques a la capa de aplicación o la capa 7 tienen por objetivo –como sugiere el nombre– la capa de aplicación, donde el servidor genera las páginas web y responde a las peticiones HTTP.

Ante un ataque como este, el servidor experimentaría que alguien intenta actualizar muchas veces en la misma página. Parecerá tráfico legítimo, ese es uno de los principales problemas, hasta que el servidor se vea desbordado y ya sea demasiado tarde.

No obstante, estos ataques son menos costosos y más difíciles de detectar que los ataques a la capa de red.

Tipos de amplificación DDoS

Un ataque DDoS por amplificación requiere de ciertos conocimientos por parte del ciberdelincuente, concretamente, identificar las vulnerabilidades de los servidores del Sistema de Nombres de Dominio (DNS) y atacarlos.

Estos ataques convierten peticiones pequeñas en otras enormes (de ahí que estamos usando el término ‘amplificación’), saturando el ancho de banda de la víctima y deteniendo de forma eficaz los procesos del servidor objetivo.

Hay dos tipos de ataques de amplificación: de reflexión DNS y de reflexión CharGEN. Estas son sus definiciones y principales características:

Ataque de reflexión DNS

El trabajo de un servidor DNS consiste en buscar la dirección IP del nombre de dominio que haya escrito en su barra de búsqueda. Podríamos decir que es la tradicional guía telefónica, pero adaptada a la era de la digitalización, los DNS son códigos que hacen referencia a direcciones IP (usuarios) concretas.

Un ataque de reflexión DNS consiste en la copia de la dirección IP de la víctima, acto seguido, el hacker envía peticiones al servidor DNS solicitando respuestas de gran tamaño. Hablamos de amplificaciones de hasta 70 veces del tamaño normal. Los efectos negativos se observan al instante.

Reflexión CharGEN

CharGEN es, para los estándares de internet, un protocolo antiguo creado en 1983 Si bien nació como algo provisional, una mera prueba, por desgracia, muchas impresoras o fotocopiadoras conectadas a la red siguen usando este protocolo, lo que permite a los hackers explotar las múltiples lagunas de CharGEN derivadas de su antigüedad.

El hacker enviará muchos paquetes de datos diminutos bajo la apariencia de la dirección IP de la víctima hacia lo que sea que esté operando en CharGEN. En ese momento, el dispositivo inunda el sistema de la víctima con respuestas UDP (Protocolo de Datagramas de Usuario), saturando el servidor objetivo y haciendo que se reinicie o se desconecte por completo.

Los ataques DDoS en cifras

A medida que la tecnología avanza y los sistemas de seguridad se vuelven más sofisticados, también lo hacen las herramientas empleadas para hackearlos. Si comparamos la fuerza de un ataque DDoS de los años 90 con su equivalente actual, la diferencia es asombrosa.

• El promedio de peticiones en un ataque DDoS de la década de 1990 apenas supera las 150 por segundo.
• Si los comparamos con el mayor ataque DDoS de los últimos tiempos –el ataque a GitHub de 2018–, vemos que se lanzaron contra la web 1,35 terabytes de tráfico por segundo. El ataque paralizó la web temporalmente, y solo duró 8 minutos.

El aumento de los ataques DDoS es indiscutible. Solo en los aeropuertos de Latinoamérica, según el informe Inteligencia sobre Amenazas DDoS 2H2023, se llegaron a registrar 7 millones de ataques DDoS en la segunda mitad de 2023, un aumento del 15 % respecto a la primera mitad del año.

¿Por qué se lanzan ataques DDoS?

Los hackers lanzan ataques DDoS por múltiples motivos. Hemos identificado los más frecuentes, pero puede que haya más razones y que no estén aquí citadas.

• Hacktivismo. Los hacktivistas usan ataques DDoS para derribar páginas web y servicios con los que disienten. Por ejemplo, pueden atacar las páginas web de gobiernos, personajes públicos, organizaciones delictivas, corporaciones y otras entidades. Los hacktivistas suelen usar los ataques DDoS para difundir mensajes e influir en la opinión pública.
• Extorsión. Los ciberdelincuentes también emplean los ataques DDoS como una forma de extorsión. Pueden exigir dinero a cambio de detener un ataque o, simplemente, por no llevarlo a cabo.
• Vandalismo. Los hackers pueden iniciar ataques DDoS por puro entretenimiento o para frustrar, así como molestar a otros. Los llamados ‘script kiddies’ pueden desencadenar fácilmente este tipo de ataques usando herramientas prefabricadas.
• Rivalidad. Este es otro motivo para los ataques DDoS. Una empresa o un particular de la competencia puede paralizar la web o el servicio de su competidor y causar una pérdida temporal de beneficios o de exposición o, simplemente,enojar a los clientes.
• La guerra informática. Un ataque DDoS es un arma empleada en conflictos de guerra informática. Quienes amenazan a los países hacen uso de ataques DDoS a gran escala para neutralizar infraestructuras críticas en países enemigos. Los gobiernos también pueden emplear este tipo de ataques para silenciar a la oposición. Los ataques DDoS respaldados por el Estado suelen estar bien orquestados y son más difíciles de frenar.

Los mayores ataques DDoS

En los últimos años ha habido muchísimos ataques DDoS contra empresas con distinta severidad y daños causados. Estos son los tres peores ataques DDoS hasta la fecha:

El ataque contra Google en 2017

El mayor ataque DDoS ocurrió en 2017 y tuvo como objetivo los servicios de Google. Los atacantes inundaron 180 000 servidores web que enviaron sus respuestas de vuelta a Google.

El ciberataque alcanzó un tamaño de 2,54 TBps. Teniendo en cuenta que un ataque DDoS típico se mide en GBps (Gigabits por segundo), un ataque con un volumen de tráfico en TBps (Terabits por segundo) es mil veces mayor, y puede sobrepasar incluso a los servicios online más robustos. Este ataque parece que fue diseñado por China.

El ataque DDoS contra AWS en 2020

Un ataque DDoS masivo afectó a Amazon Web Services en 2020. Su objetivo era un cliente no identificado, y está considerado como uno de los ataques DDoS más despiadados de la historia.

A través de servidores de terceros, los atacantes consiguieron amplificar hasta 70 veces la cantidad de datos enviados a una única dirección IP. El ataque logró alcanzar un tamaño de 2,3 TBps.

El ataque a Cloudflare en 2022

Cloudflare notificó y mitigó un ataque DDoS de 15,3 millones de peticiones por segundo lanzado contra un cliente que operaba una plataforma de criptodivisas. El ataque usó una botnet compuesta por unos 6000 dispositivos únicos de 112 países. Los atacantes emplearon una conexión HTTPS segura y cifrada en esta operación.

¿El ‘DDoSing’ es ilegal?

El ‘DDoSing’ está considerado ilegal en muchos países. Por ejemplo, en EE.UU., un ataque DDoS puede considerarse un delito federal y conllevar penas de prisión.

El ‘DDoSing’ también puede llevar a la detención en la mayoría de países europeos, mientras que en el Reino Unido pueden condenarlo hasta a 10 años de prisión por iniciar un ataque de este tipo.

¿Por qué es difícil rastrear un ataque DDoS?

Los ataques DDoS son difíciles de rastrear porque la mayoría se distribuye por cientos o miles de dispositivos. Además, quienes lanzan este tipo de ataques suelen tomar muchas medidas de precaución para no ser descubiertos.

Mediante el uso de ciertas herramientas de ciberseguridad para analizar el tráfico se pueden identificar los ataques DDoS cuando se producen. Sin embargo, en esa instancia suele ser demasiado tarde para detenerlos. En el mejor de los casos se pueden analizar los datos para mejorar la ciberseguridad de cara al futuro.

¿Cómo se pueden prevenir los ataques DDoS?

Estas son algunas medidas que se pueden aplicar para prevenir los ataques DDoS:

• Use herramientas de prevención de DDoS de terceros. Algunos servicios de terceros pueden ayudar a mitigar los riesgos de un ataque DDoS. Solo debe cerciorarse de elegir los más seguros y fiables. Tenga en cuenta, sin embargo, que ninguno puede garantizarle una seguridad total.
• Como organización, puede desarrollar una estrategia de protección DDoS junto a su proveedor de internet. Dicho de otro modo: asóciese con su ISP para obtener un ancho de banda limpio. Por lo general, los proveedores de internet pueden detectar los paquetes maliciosos antes de que lleguen a su dispositivo, reduciendo así los riesgos.
• Supervise su tráfico con herramientas de monitoreo, analizando y reportando cualquier movimiento fuera de lo normal.
• Haga comprobaciones de seguridad periódicas. Estudie con frecuencia la seguridad de sus redes. Considere el uso de herramientas especializadas en ataques DDoS para estresar los sistemas e identificar vulnerabilidades.

¿Una VPN ayuda a prevenir un ataque DDoS?

Los ataques DoS y DDoS tienen como objetivo los servidores, por lo que no se pueden prevenir estos ataques usando una.

Sin embargo, al conectarse de forma directa con otros jugadores en los juegos P2P, por ejemplo, su rival podría buscar su dirección IP y usarla para lanzar un ataque DoS o DDoS contra usted.

Ahí es cuando estar conectado a una VPN, marcará la diferencia. Por fortuna, puede impedir que le encuentren usando una VPN para el gaming para enmascarar su IP original. Si los hackers no conocen su IP real, sencillamente, no podrán lanzar un ataque DoS/DDoS que destruya su navegación por internet. No podría seguirle el rastro. El ataque DDoS, en todo caso, alcanzaría el servidor VPN, pero este dispone de robustas medidas de seguridad antimalware y su tecnología de última generación protege a los usuarios de las ciberamenazas más sofisticadas, incluidos los ataques DDoS.