Qué es un ataque DDoS y cuáles son sus consecuencias

Un ataque de DDoS consiste en el envío masivo de solicitudes a un servidor o servicio web con el objetivo de desbordar su capacidad de procesamiento para impedir que los usuarios puedan acceder al servicio.

Un ataque distribuido de denegación de servicio o DDoS (por sus siglas en inglés), es una ampliación de un ataque de denegación de servicio (DoS) que se lleva a cabo a partir de la generación de un gran flujo de información o peticiones desde diversas fuentes hacia un objetivo específico.

La diferencia entre uno y otro radica en el hecho de que un ataque DoS se caracteriza por tener una única fuente de origen, mientras que un ataque distribuido proviene de varios orígenes, lo que dificulta los intentos por bloquearlo al tiempo que aumenta su efectividad.

Ambos ataques consisten en el envío masivo y simultáneo de determinados paquetes de datos a un objetivo, por lo general un servidor web, afectando su capacidad de procesamiento al verse superado y por lo tanto colapsa. Como consecuencia de esto, los servicios interrumpen sus operaciones normales y los usuarios legítimos no pueden acceder a los sitios.

Existen diversas herramientas o servicios para la ejecución de un ataque DDoS, aunque por lo general se realizan a través de botnets. Una botnet es programa malicioso que puede ser controlado remotamente por un atacante. Este tipo de programa malicioso o malware está compuesto por un panel de control desde el cual se ejecutan las acciones a realizar y una aplicación de servidor que establece la comunicación con el centro de control del atacante. La particularidad de las botnets es que permite a un atacante ejecutar instrucciones en muchos equipos infectados con el malware de manera simultánea. En el caso de un ataque de DDoS, los programas maliciosos reciben las instrucciones de manera remota para realizar conexiones o peticiones al objeto de ataque de forma sincronizada.

DDoS: ataques contra la disponibilidad de la información

La definición tradicional de seguridad de la información está basada en la preservación de la confidencialidad, integridad y disponibilidad de la información. La confidencialidad es la propiedad para ser accesible únicamente por las entidades que poseen los privilegios y la autorización; la integridad es la propiedad para mantener su exactitud y completitud; mientras que la disponibilidad es la propiedad para ser accesible y utilizable cuando sea requerida.

En este conjunto de ideas y definiciones, es preciso identificar la forma en la que se clasifican los ataques que buscan comprometer un activo o sistema de información, según su manifestación e intenciones: intercepción, interrupción, modificación y fabricación.

En este contexto, un ataque DDoS atenta contra la disponibilidad de la información, afectando para ello la ubicación de los activos de información; es decir, los elementos donde la información es almacenada, procesada o transportada, en su intento por inutilizar algún activo.

Además, un ataque DDoS está incluido dentro de la categoría de interrupción, por lo que el atacante buscará afectar el contenedor del activo de información, que generalmente puede apuntar a hardware, software, aplicaciones, servidores o redes, mediante el desbordamiento de búfer (consumo del espacio en un disco duro, memoria o capacidad de procesamiento), o bien, a través de inundaciones (saturación de un servicio con un exceso de paquetes).

Pensemos por ejemplo en una tienda online que su negocio se basa en la venta de productos que ofrece a través de una plataforma o página web. En caso de que la tienda sea víctima de un ataque de denegación de servicio la empresa se verá afectada económicamente a raíz de la imposibilidad de que los clientes puedan comprar por verse interrumpido el servicio.

Motivaciones detrás de los ataques DDoS

Existen diversos motivos por los cuales se llevan a cabo ataques distribuidos de denegación de servicio. “Tradicionalmente” esta modalidad de intento por afectar activos de información estaba relacionado con acciones hacktivistas, es decir, como una medida de presión ejercida por grupos que buscaban afectar servicios o la imagen de organizaciones, originadas principalmente por diferencias ideológicas o políticas.

Sin embargo, en los últimos años, los ataques DDoS comenzaron a ser utilizados por grupos cibercriminales para llevar a cabo extorsiones sobre organizaciones mediante notas de rescate, amagando con ejecutar este tipo de ataques contra ellas a menos que se paguen elevadas sumas de dinero, generalmente en criptomonedas. Esta modalidad de ataque se ha denominado Ransom DDOS (RDDoS).

Las notas de rescate incluían activos específicos en la empresa víctima como parte de un “ataque de prueba” para demostrar la gravedad de la amenaza y generar temor. Los atacantes comenzaron a apuntar a organizaciones de diversas industrias alrededor del mundo, aunque en algunos casos solo se trataba de amenazas sin incluir la ejecución del ataque DDoS.

Recientemente esta misma técnica ha sido utilizada como una medida para ejercer presión a las víctimas de ataques dirigidos de ransomware, que se han negado a pagar los rescates relacionados con el secuestro de su información.

Dentro del conjunto de prácticas coercitivas como doxingprint bombing o cold calls, los actores de ransomware comenzaron a agregar ataques DDoS sobre los sitios Web de las organizaciones afectadas, con el propósito de obligarlas a establecer o reanudar las negociaciones de las extorsiones, y finalmente monetizar los ataques de ransomware.

Ataques de denegación de servicio se mantienen vigentes

Los ataques de denegación de servicio continúan siendo utilizados en la actualidad como una forma de afectar los recursos y ejercer presión sobre las organizaciones, ya no solo por motivaciones ideológicas sino incluso para monetizar diversos ataques. En otras palabras, este tipo de ataques se han convertido en una herramienta más del arsenal de medidas empleadas por grupos cibercriminales que se vuelven cada vez más agresivos y lucrativos.

En este contexto, las organizaciones requieren de estrategias integrales de protección que, si bien deben considerar herramientas y servicios de seguridad, también requieren de prácticas de gestión, educación y concientización, así como nuevos enfoques que han cobrado relevancia en los últimos años como la inteligencia de amenazas o la emulación de adversarios.