DDoS: Sabotaje en la red

En la era digital, la disponibilidad e integridad de las infraestructuras de Internet es esencial para el funcionamiento de la economía global, así como para la seguridad y bienestar de la sociedad y los estados.

En un mundo interconectado en el que desde frigoríficos a centrales eléctricas, pasando por camas de hospital o sistemas de riego pueden ser controlados desde Internet (el llamado Internet de las cosas), los sucesos del mundo virtual tienen inmediatas e importantes consecuencias en la vida real. Esto brinda un enorme potencial para el desarrollo de la economía y la sociedad, pero también constituye un factor de vulnerabilidad intrínseco del modelo global. De hecho, es cada vez más evidente que en adelante, los cyberataques van a ser un elemento importante en los conflictos sociales y entre las naciones.

En este sentido, en los últimos años hemos podido asistir a ataques de Denegación de Servicio Distribuidos (DDoS) contra los servidores de Internet de empresas y organismos públicos a nivel mundial, siendo las entidades financieras algunas de las víctimas más habituales.

PRESS

De manera simplificada, se puede decir que un ataque de este tipo se basa en lanzar múltiples peticiones maliciosas a las aplicaciones o servidores de Internet, desde múltiples lugares al mismo tiempo, con el objeto de colapsar la capacidad de respuesta de los servidores y así impedir el acceso por parte de los usuarios legítimos. El hecho de que se trate de una ataque sincronizado desde múltiples orígenes, hace que por una lado sea más fácil conseguir la intensidad de ataque necesaria y que por otro sea más difícil de neutralizar que los ataques de denegación de servicio tradicionales (DoS) originados desde un único punto.

ESQUEMA_DDOS

Con independencia de la eficacia relativa de los ataques registrados hasta la fecha y de los distintos métodos empleados, la conclusión es clara: técnicamente es posible y sencillo sabotear la actividad económica de las empresas en la red.

Hoy en día existen diferentes herramientas fácilmente accesibles y que permiten de manera sencilla seleccionar una víctima y una estrategia de ataque. Esto, combinado con el mercado de alquiler de redes (botnets) de ordenadores infectados (máquinas zombies que se usarán para lanzar el ataque), hace que no se requiera ni mucho conocimiento ni mucho dinero para poder hacerlo. Por otro lado, la flexibilidad y escalabilidad que ofrecen los servicios de Cloud Computing, está haciendo que los delincuentes cada vez más hagan uso de estas infraestructuras para organizar los ataques, cada vez a mayor escala.

DDOS_02

En cuanto a la motivación detrás de este tipo de ataques podemos citar:

  • Conflicto bélico entre estados,
  • Actos de terrorismo,
  • Activismo social,
  • Como maniobra distractora en casos de fraude online,
  • Dañar a una empresa competidora
  • Venganza contra una empresa  (ej: por parte de empleados despechados)
  • El simple chantaje, requiriendo un rescate a cambio de cesar con el ataque.

Estrategias de ataque

De manera muy resumida, podemos decir que las estrategias básicas de ataque son:

  • Ataques Volumétricos: En los que una red organizada de ordenadores distribuidos por Internet (botnets) lanza múltiples peticiones concurrentes a los  servidores de las víctimas, con tanta intensidad que  consumen la capacidad de procesamiento de los servidores objeto de ataque. Se trata de generar enormes cantidades de tráfico altamente distribuido.
  • Ataques Asimétricos: En estos casos la estrategia de ataque no se basa tanto en hacer múltiples peticiones concurrentes con un consumo grande de ancho de banda, sino más bien en hacer menos peticiones (y más pequeñas) al servidor web pero requiriendo tareas que consuman muchos recursos de proceso en el servidor (por ejemplo, peticiones de descarga de vídeos u otros archivos pesados).
  • Ataques Dinámicos: En este tipo de estrategia, para aumentar la efectividad del ataque, los delincuentes van cambiando periódicamente el método concreto de ataque, así como la red (botnet) empleada para lanzarlo, e incluso el área geográfica origen de la/s botnet.
  • Ataques a las Aplicaciones: Esta estrategia de ataque se basa en explotar deficiencias de diseño de las aplicaciones, de modo que con pocos recursos y en poco tiempo puede “derribarse” la aplicación. Por ejemplo, en algunas aplicaciones web, con cada intento de acceso el sistema, se graba información en la base de datos. Si la base de datos no está configurada adecuadamente, cuando la información almacenada supera un determinado tamaño, la aplicación deja de responder. Cuando esta deficiencia de diseño existe, el ataque es tan sencillo como iniciar una serie consecutiva de intentos de conexión para provocar que el espacio máximo permitido se alcance.
  • Ataques a la Infraestructura: Los ataques típicos suelen ir dirigidos contra las aplicaciones o los servidores web de las víctimas. Los ataques a la infraestructura, por el contrario, van dirigidos contra otros elementos importantes de la disponibilidad de Internet como son los routers, firewalls, DNS, servidores de correo.

En todos los casos el resultado es que los usuarios legítimos no pueden acceder.  Es importante mencionar que en España, con la reforma del Código Penal que entró en vigor el 23 de Diciembre de 2010, se establecen en su artículo 264 penas de prisión y multas para este tipo de delitos informáticos.

Gestión del riesgo por parte de las empresas

Desde la perspectiva empresarial, este estado de cosas está planteando en las agendas de algunos comités de dirección la necesidad de establecer planes de acción para poder gestionar ataques de este tipo, ante su posible ocurrencia. No obstante, hay algunas consideraciones que es necesario hacer, de cara a gestionar expectativas sobre la forma de abordar este problema:

  •  Cualquier empresa con presencia en Internet es susceptible de ser objeto de ataque, independientemente de su tamaño y actividad.
  • Ante ataques a gran escala, ninguna organización por sí misma puede neutralizar un ataque. En estos casos, es imprescindible la cooperación de los ISP (proveedores de servicio de Internet).
  •  En casos extremos, aún con la colaboración de los ISP, esto puede no ser suficiente para evitar el impacto.

Servicios de protección del tráfico

La colaboración mencionada con los proveedores de servicios se articula mediante la contratación a los ISP de servicios de protección de análisis y filtrado del tráfico (DDoS scrubbing services).

Este tipo de servicios pueden ser prestados a nivel de los ISP dada su mayor capacidad de gestión del ancho de banda del tráfico. El servicio consiste en establecer en los nodos de comunicación del proveedor (antes de que el tráfico llegue a la red del cliente) un servicio de detección y eliminación del tráfico malicioso, de modo que a la red del cliente/víctima sólo llegue teóricamente tráfico legítimo. Llegado al extremo, en casos donde el  tráfico malicioso proceda de regiones del planeta específicas, podría cortarse el tráfico procedente de estas zonas.  Obviamente, estos métodos tienen sus limitaciones y ante ataques extremos y/o muy sofisticados su eficacia es relativa.

DDOS_SCRUB_01

Siendo realistas, de lo que se trata es de dotar a la organización del mayor grado de resistencia a este tipo de ataques a un coste asumible, teniendo en cuenta que la protección total no existe.

Otras medidas

Además de los servicios DDoS scrubbing, existen otras medidas higiénicas que ayudarán a aumentar la resistencia de la organización frente ataques de este tipo. En ellas, podemos mencionar:

  • Usar Proveedores de Servicios de Internet (ISP) redundantes,  siempre que sea económicamente viable, es una medida recomendable para garantizar la alta disponibilidad.
  • Segregar las redes informáticas usadas para dar soporte a los distintos canales de la organización, de modo que aunque un canal sea atacado los demás no se vean afectados.
  • Establecer procesos de desarrollo seguro de aplicaciones web, de modo que las aplicaciones sean resistentes a los ataques típicos.
  • En paralelo con lo anterior, realizar tests periódicos para detectar posibles vulnerabilidades de las aplicaciones y servidores de la empresa conectados a Internet y establecer procesos de corrección de las vulnerabilidades detectadas.
  • En especial, realizar, con la ayuda de auditores especializados,  pruebas periódicas para evaluar la resistencia de los servicios a ataques de denegación de servicio.
  • Establecer en la red de la organización sistemas de detección y prevención de intrusiones que permitan evitar los ataques más comunes y menos severo

Vamos a poner fin aquí a este artículo, esperando haber cubierto nuestro objetivo de explicar de la manera más sencilla posible la naturaleza de este problema. La idea es que los lectores puedan hacer su propia evaluación del riesgo y anotar algunas pistas sobre los planes de gestión posibles.

Un abrazo, gracias y hasta pronto.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s