Ataque DDoS: qué significa, tipos y cómo protegerse

¿Qué es un ataque DDoS?

Para comprender mejor qué es un ataque DDoS y por qué es tan peligroso, veamos un ejemplo cotidiano: el tráfico de Ciudad de México.

En el mundo de la informática, los causantes de los atascos en la capital mexicana serían los hackers. Ellos hacen que todos los vehículos salgan a la misma hora y bloquean las carreteras principales. Nadie puede llegar a la oficina, ni dejar a los niños en la escuela. Solo pueden esperar. Esto es exactamente lo que hacen los ataques DDoS en los canales interconectados de los dispositivos: agotan los recursos, los frenan y todo deja de funcionar como debería.

Una vez explicado qué significa un ataque DDoS de manera sencilla, pasemos a ver cómo funciona y por qué termina infectando los sistemas operativos de instituciones latinoamericanas y de usuarios particulares. Durante las elecciones mexicanas celebradas en junio, se registraron 32 ataques DDoS por segundo. El Consejo de Seguridad de Información y Ciberseguridad (Consejociac), meses antes, ya advertía del peligro.

¿Cómo funciona un ataque DDoS?

Los DDoS funcionan así:

• Los hackers configuran múltiples computadoras para lanzar simultáneamente los ataques.
• Los avances en tecnología han permitido que los ataques se automaticen, así que se utilizan bots para reproducir más rápido las infecciones.
• El objetivo es una dirección IP específica. Los golpes llegarán de varios frentes, gracias a la potente red fraudulenta que los hackers habrán creado, por lo que es difícil defenderse.
• Si el ciberataque es exitoso, lo que ocurrirá es que caerá el servicio. El sistema está infectado con código manipulado que, como en el ejemplo anterior de una carretera congestionada, hará que la circulación se bloquee.

Los ataques DDoS no tienen una duración definida. No podemos saber con exactitud cuándo van a empezar y el momento en el que pararán. Ese es uno de los problemas de esta amenaza online, que se une a la dificultad que sigue habiendo para rastrearlos y estar advertidos con tiempo suficiente para reaccionar.

Podrías ser víctima de un ataque DDoS sin saberlo

Ya que este tipo de ciberataques se está volviendo cada vez más sofisticado, es posible que quizá estés siendo víctima de uno sin ser consciente de ello.

Tu computadora podría estar siendo usada como un peón y formar parte de un ejército botnet –también llamado ‘red zombi’–, respondiendo en secreto a comandos maliciosos, sin que lo sepas. ¿Hay algún truco para identificarlo? Sí. Un signo claro podría ser la reducción mínima del rendimiento de tu dispositivo o que este se caliente más de lo normal.

El código malicioso que forma el DDoS se infiltra en el sistema operativo de la víctima y se reproduce, impidiendo que funcione con normalidad, saltan errores, y el procesador no es capaz de hacer su trabajo: trasladar los datos a donde corresponde. Por eso el celular o computadora se sobrecarga.

¿Esto quiere decir que un DDoS destruirá piezas de los dispositivos? No exactamente.

¿Un ataque DDoS destruye el hardware o el software de los dispositivos?

Un ataque PDoS causa un daño directo al hardware. Pero los ataques DDoS van dirigidos al software buscando destruir el sistema operativo. Esto no quiere decir que no pueda haber reacciones físicas, como el calentamiento excesivo de los dispositivos del que hemos venido hablando, pero su principal objetivo es colapsar las partes que permiten que el sistema operativo funcione.

¿Hay alguna parte del software que corra más peligro ante ataques DDoS?

Los ataques DDoS pueden dirigirse contra un componente específico de la conexión de la red o, sencillamente, a una combinación: una parte concreta del sistema operativo y la red. Recuerda que toda conexión realizada a través de internet pasa por capas del modelo OSI.

Esto es relevante porque la mayoría de los ataques DDoS se producen en estas tres capas:

• Capa de red (capa 3). Los ataques contra esta capa incluyen ‘ataques smurf’, inundaciones de ping/ICMP y fragmentación de IP/ICMP.
• Capa de transporte (capa 4). Estos ataques incluyen inundaciones de SYN, inundaciones UDP y agotamiento de la conexión TCP.
• Capa de aplicación (capa 7). Se trata principalmente de ataques cifrados HTTP.

¿Cómo identificar un ataque DDoS?

Hay varias maneras de identificar un ataque DDoS. Además, cuanto antes se identifique un ataque DDoS, más posibilidades habrá de detenerlo.

Estas son las principales indicaciones de que está produciéndose un ataque DDoS:

• Servicio lento o no disponible. Esta suele ser la primera señal de un ataque DDoS. Lo que parece un error 502 de ‘bad gateway’ podría ser el resultado de un hackeo DDoS. Sin embargo, hay muchos otros problemas que también pueden causar un rendimiento lento, así que no podemos basarnos solo en esto para identificar un ataque DDoS.
• Una gran cantidad de tráfico procedente de una única dirección IP. Puedes comprobar el tráfico usado con herramientas de análisis de tráfico.
• Aumento de tráfico extraño durante horas del día inusuales.
• Mayor número de solicitudes en una determinada página o punto final.

Es crucial identificar los ataques DDoS antes de que sea demasiado tarde. Google también ha sido víctima de este ciberdelito. El 1 de junio del 2022, para ser más exactos, se registraron hasta 46 millones de solicitudes por segundo. La empresa necesitó 69 minutos para solucionar el problema.

DoS vs. DDoS: ¿Cuál es la diferencia?

DoS y DDoS no son lo mismo. Y no, la diferencia no radica solo en la D. Sus definiciones son diferentes.

• Un ataque de denegación de servicio (DoS) satura un servidor con tráfico y hace que un servicio o una página web dejen de estar disponibles.
• El DoS es un ataque de sistema contra sistema que emplea un único dispositivo para atacar un servicio en específico. Por su parte, un ataque DDoS usa múltiples computadoras y sistemas para comprometer su objetivo.

Hay algo que sí que tienen en común: su meta. Ambos buscan dañar los sistemas operativos de terceras personas, sin su consentimiento, por supuesto. No obstante, DDoS usa tecnología superior, más potente que la primera versión, DoS.

Tipos de ataques DDoS

Hay varios tipos de ataques DDoS cuyas diferencias tienen que ver con el nivel de sofisticación de su código o la duración de los ataques, entre otras cuestiones.

De forma muy resumida, identifiquemos cuáles son los tipos de DDoS con los que nos podríamos encontrar:

Ataque inundación reset TCP

Los ataques a la conexión TCP –también conocidos como ataques de inundación de SYN– se producen cuando un triple handshake TCP entre el host y el servidor nunca se completa.

En este ataque se inicia el handshake, pero el hacker deja el servidor colgado y los puertos abiertos. De este modo, el servidor no puede recibir ninguna otra petición. El hacker sigue atacando con más handshakes, hasta que finalmente se bloquea.

Ataque volumétrico

Los ataques volumétricos son el tipo de ataque DDoS más común. Simplemente, consumen todo el ancho de banda disponible entre el objetivo e internet. Esto suele hacerse operando botnets y dirigiéndose contra un objetivo específico.

Un ejemplo de ataque volumétrico ocurre cuando el hacker hace un ‘spoofing’ de la IP de la víctima y lanza múltiples solicitudes a un servidor DNS abierto. El ataque está estructurado de manera que, cuando el servidor DNS responde, envía a la víctima más datos de los que puede manejar.

Ataque de fragmentación

El tráfico enviado por internet se divide en paquetes de datos. Estos paquetes viajan y se articulan de diferentes maneras dependiendo de si se emplea el protocolo de transporte TCP o UDP. Un ataque de fragmentación envía paquetes de datos falsos que distorsionan el flujo de datos y, al hacerlo, saturan al servidor.

La vulnerabilidad de ‘demasiados paquetes’ es un ejemplo de ataque de fragmentación porque satura la red con un número excesivo de paquetes incompletos y fragmentados.

Ataque a la capa de aplicación

Los ataques a la capa de aplicación o la capa 7 tienen por objetivo –como sugiere el nombre– la capa de aplicación, donde el servidor genera las páginas web y responde a las peticiones HTTP.

Ante un ataque como este, el servidor experimentaría que alguien intenta actualizar muchas veces en la misma página. Parecerá tráfico legítimo, y este es uno de los principales problemas, hasta que el servidor se vea desbordado y ya sea demasiado tarde.

No obstante, estos ataques son menos costosos y más difíciles de detectar que los ataques a la capa de red.

Tipos de amplificación DDoS

Un ataque DDoS por amplificación requiere de ciertos conocimientos por parte del ciberdelincuente, concretamente, identificar las vulnerabilidades de los servidores del Sistema de Nombres de Dominio (DNS) y atacarlos.

Estos ataques convierten peticiones pequeñas en otras enormes (de ahí que estamos usando el término ‘amplificación’), saturando el ancho de banda de la víctima y deteniendo de forma eficaz los procesos del servidor objetivo.

Hay dos tipos de ataques de amplificación: de reflexión DNS y de reflexión CharGEN. Estas son sus definiciones y principales características:

Ataque de reflexión DNS

El trabajo de un servidor DNS consiste en buscar la dirección IP del nombre de dominio que haya escrito en su barra de búsqueda. Podríamos decir que es la tradicional guía telefónica, pero adaptada a la era digital. Los DNS son códigos que hacen referencia a direcciones IP (usuarios) concretas.

Un ataque de reflexión DNS consiste en copiar la dirección IP de la víctima. Una vez copiada, el hacker envía peticiones al servidor DNS solicitando respuestas de gran tamaño. Hablamos de amplificaciones de hasta 70 veces del tamaño normal. Los efectos negativos se observan al instante.

Reflexión CharGEN

CharGEN es, para los estándares de internet, un protocolo antiguo creado en 1983. Si bien nació como algo provisional, una mera prueba, por desgracia muchas impresoras o fotocopiadoras conectadas a la red siguen usando este protocolo, lo que permite a los hackers explotar las múltiples lagunas de CharGEN derivadas de su antigüedad.

El hacker enviará muchos paquetes de datos diminutos aparentando ser parte de la dirección IP de la víctima hacia lo que sea que esté operando en CharGEN. En ese momento, el dispositivo inunda el sistema de la víctima con respuestas UDP (Protocolo de Datagramas de Usuario), saturando el servidor objetivo y haciendo que se reinicie o se desconecte por completo.

Los ataques DDoS en cifras

A medida que la tecnología avanza y los sistemas de seguridad se vuelven más sofisticados, también lo hacen las herramientas empleadas para hackearlos. Si comparamos la fuerza de un ataque DDoS de los años 90 con los de ahora, la diferencia es asombrosa.

• El promedio de peticiones en un ataque DDoS de la década de 1990 apenas supera las 150 por segundo.
• Si los comparamos con el mayor ataque DDoS de los últimos tiempos –el ataque a GitHub de 2018–, vemos que se lanzaron contra la web 1,35 terabytes de tráfico por segundo. El ataque paralizó la web temporalmente, y solo duró 8 minutos.

El aumento de los ataques DDoS es indiscutible. Solo en los aeropuertos de Latinoamérica, según el informe de Inteligencia sobre Amenazas DDoS 2H2023, se llegaron a registrar 7 millones de ataques DDoS en la segunda mitad de 2023, un aumento del 15 % respecto a la primera mitad del año.

¿Por qué se lanzan ataques DDoS?

Los hackers lanzan ataques DDoS por múltiples motivos. Hemos identificado los más frecuentes, pero puede que haya más razones no citadas aquí

• Hacktivismo. Los hacktivistas usan ataques DDoS para derribar páginas web y servicios con los que disienten. Por ejemplo, pueden atacar las páginas web de gobiernos, personajes públicos, organizaciones delictivas, corporaciones y otras entidades. Los hacktivistas suelen usar los ataques DDoS para difundir mensajes e influir en la opinión pública.
• Extorsión. Los ciberdelincuentes también emplean los ataques DDoS como una forma de extorsión. Pueden exigir dinero a cambio de detener un ataque o, simplemente, para no llevarlo a cabo.
• Vandalismo. Los hackers pueden iniciar ataques DDoS por puro entretenimiento o para molestar a otros. Los llamados ‘script kiddies’ pueden desencadenar fácilmente este tipo de ataques usando herramientas prefabricadas.
• Rivalidad. Este es otro motivo para los ataques DDoS. Una empresa o un particular de la competencia puede paralizar la web o el servicio de su competidor y causar una pérdida temporal de beneficios o de exposición o, simplemente, enojar a sus clientes.
• Guerra informática. Un ataque DDoS es un arma empleada en conflictos de guerra. Quienes amenazan a los países, hacen uso de ataques DDoS a gran escala para neutralizar infraestructuras críticas de enemigos. Los gobiernos también pueden emplear este tipo de ataques para silenciar a la oposición. Los ataques DDoS respaldados por un Estado suelen estar bien orquestados y son más difíciles de frenar.

Los mayores ataques DDoS

En los últimos años ha habido muchísimos ataques DDoS contra empresas con distinta severidad y daños causados. Estos son los tres peores ataques DDoS hasta la fecha:

El ataque contra Google en 2017

El mayor ataque DDoS ocurrió en 2017 y tuvo como objetivo los servicios de Google. Los atacantes inundaron 180.000 servidores web con respuestas de vuelta a Google.

El ciberataque alcanzó un tamaño de 2,54 TBps. Teniendo en cuenta que un ataque DDoS típico se mide en GBps (Gigabits por segundo), un ataque con un volumen de tráfico en TBps (Terabits por segundo) es mil veces mayor, y puede sobrepasar incluso a los servicios online más robustos.

El ataque DDoS contra Amazon Web Services en 2020

Un ataque DDoS masivo afectó a Amazon Web Services en 2020. Su objetivo era un cliente no identificado, y está considerado como uno de los ataques DDoS más despiadados de la historia.

A través de servidores de terceros, los atacantes consiguieron amplificar hasta 70 veces la cantidad de datos enviados a una única dirección IP. El ataque logró alcanzar un tamaño de 2,3 TBps.

El ataque a Cloudflare en 2022

Cloudflare notificó y mitigó un ataque DDoS de 15,3 millones de peticiones por segundo lanzado contra un cliente que operaba una plataforma de criptodivisas. El ataque usó una botnet compuesta por unos 6000 dispositivos únicos de 112 países. Los atacantes emplearon una conexión HTTPS segura y cifrada en esta operación.

¿El ‘DDoSing’ es ilegal?

El ‘DDoSing’ está considerado ilegal en muchos países. Por ejemplo, en EE.UU., un ataque DDoS puede considerarse un delito federal y conllevar penas de prisión.

El ‘DDoSing’ también puede llevar a la detención en la mayoría de países europeos, mientras que en el Reino Unido es un delito con condenas de hasta 10 años de prisión por iniciar un ataque de este tipo.

¿Por qué es difícil rastrear un ataque DDoS?

Los ataques DDoS son difíciles de rastrear porque la mayoría se distribuye por cientos o miles de dispositivos. Además, quienes lanzan este tipo de ataques suelen tomar muchas medidas de precaución para no ser descubiertos.

Mediante el uso de ciertas herramientas de ciberseguridad para analizar el tráfico se pueden identificar los ataques DDoS cuando se producen. Sin embargo, en esa instancia suele ser demasiado tarde para detenerlos. En el mejor de los casos se pueden analizar los datos para mejorar la ciberseguridad de cara al futuro.

¿Cómo se pueden prevenir los ataques DDoS?

Estas son algunas medidas que se pueden aplicar para prevenir los ataques DDoS:

• Usa herramientas de prevención de DDoS de terceros. Algunos servicios de terceros pueden ayudar a mitigar los riesgos de un ataque DDoS. Solo debes cerciorarte de elegir los más seguros y fiables. Ten en cuenta que ninguno puede garantizar seguridad total.
• Como organización, puedes desarrollar una estrategia de protección DDoS junto a tu proveedor de internet. Dicho de otro modo: asóciate con tu proveedor de servicios de internet para obtener un ancho de banda limpio. Por lo general, los ISP pueden detectar los paquetes maliciosos antes de que lleguen al dispositivo, reduciendo así los riesgos.
• Supervisa tu tráfico con herramientas de monitoreo, analizando y reportando cualquier movimiento fuera de lo normal.
• Haz comprobaciones de seguridad periódicas. Estudia con frecuencia la seguridad de tus redes. Considera el uso de herramientas especializadas en ataques DDoS para revisar los sistemas e identificar vulnerabilidades.

¿Una VPN ayuda a prevenir un ataque DDoS?

Los ataques DoS y DDoS tienen como objetivo los servidores, por lo que no se pueden prevenir estos ataques solo usando una VPN.

Sin embargo, al conectarte de forma directa con otros jugadores en juegos P2P, por ejemplo, tu rival podría buscar su dirección IP y usarla para lanzarte un ataque DoS o DDoS.

Ahí es cuando estar conectado a una VPN marcará la diferencia. Por suerte, puedes impedir que te encuentren usando una VPN para gaming y así enmascarar tu IP original. Si los hackers no conocen tu IP real, no podrán lanzar un ataque DoS/DDoS que afecte tu navegación. Nadie podrá seguirte el rastro. Eso sí, el ataque DDoS alcanzaría el servidor VPN, pero este dispone de robustas medidas de seguridad antimalware y su tecnología de última generación protege a los usuarios de las ciberamenazas más sofisticadas, incluidos estos ciberataques.