Los ataques DDoS: interrupciones al corazón de los negocios

Juan Camilo Ruiz

Juan Camilo Ruiz

La preocupación por la ciberseguridad de las empresas ha estado centrada durante mucho tiempo en prevenir el acceso a la información y garantizar que esta no sea sustraída de manera no autorizada.  La obsesión por prevenir los hackers que ingresan desde Internet para robar, secuestrar o modificar la información, ha llevado a las empresas a invertir grandes presupuestos en crear una defensa perimetral para conseguir una barrera que proteja la información del exterior.

¿Qué es un ataque DDoS?

Actualmente los ciber atacantes han diversificado su interés más allá de sustraer o modificar información.  ¿Ha pensado su empresa en el escenario en el cual la información está segura de manera que nadie la puede sustraer o modificar; pero simplemente nadie puede acceder a ella?. 

De nada servirá tener la información segura si no está disponible en el momento en que se requiere dado que se ha inhabilitado el acceso a esta. Este ciberataque consiste en imposibilitar el acceso a la información mediante el consumo desmedido de los recursos de la infraestructura computacional que almacena la información (i.e una aplicación web).  Estos recursos finitos pueden ser la capacidad de procesamiento del servidor y/o el ancho de banda de la conectividad a la información.  Al consumirse estos recursos de manera desmedida, la infraestructura computacional no podrá procesar el acceso de cualquier usuario incluyendo aquellos que son legítimos. No hay robo o modificación de la información; simplemente no hay forma de acceder a esta a causa de una saturación de los recursos.  El resultado es que los usuarios legítimos no pueden acceder a la información. De ahí su nombre de ataque de denegación de servicio. Actualmente este tipo de ciberataques son frecuentemente dirigidos a las aplicaciones web que brindan servicios online. 

Muchas empresas cuentan con portales de e commerce, información de sus empresas e inclusive aplicaciones de su negocio online. Cuando estas aplicaciones son comprometidas por un ataque de denegación de servicio, el resultado es la insatisfacción de los usuarios legítimos y el impacto en la imagen reputacional de la empresa. Como expertos recomendamos proteger ambos focos de interés en un ataque de este tipo como son la capacidad de procesamiento del servidor y el ancho de banda del canal usado para publicar a Internet el servicio.  Algunas empresas comúnmente incluyen en sus políticas de seguridad de la información la prevención de denegación de servicios en sus servidores. Sin embargo, consideran menos importante prevenir una denegación de servicio en el canal de Internet que brinda el acceso a la aplicación publicada on line. Por tanto, considerar un firewall perimetral es vital, pero no constituye per se un mecanismo de defensa en profundidad que brinde una prevención de una denegación de servicio.

Lo anterior implica que el firewall restringe el acceso de usuarios y/o tráfico no permitido a través del canal de Internet de publicación online. Sin embargo, este canal de Internet puede llevar una cantidad desmedida de trafico y/o usuarios que no buscan pasar a través del firewall.  Simplemente buscan crear congestión desmedida saturando el ancho de banda disponible de dicho canal. El mecanismo de este ciberataque consiste en crear y enviar una gran cantidad de tráfico que no contiene información de interés llamado tráfico malévolo.  Este tráfico es dirigido contra la aplicación on line con el objetivo de saturar los recursos anteriormente descritos.  Usualmente el atacante envía este tráfico desde diferentes orígenes simultáneamente de manera distribuida.  Esto genera en la aplicación online objeto del ataque, una gran cantidad de fuentes que le envían tráfico erróneo de manera simultánea. 

Las fuentes del tráfico malévolo cambian constantemente conforme el firewall las bloquea generando un ciclo sin fin.  El resultado es el agotamiento de recursos por congestión de tráfico ocasionando la saturación e indisponibilidad de los recursos que se encuentran ocupados procesando el tráfico malévolo. Esos procesos repetitivos son realizados usualmente por programas piratas llamados Bootnets, servidores zombies y en general cualquier equipo comprometido en Internet que usa el atacante como fuente del tráfico malévolo. Mientras mas fuentes de trafico malévolo tenga a nivel global y más dispersos geográficamente estén estos, el ataque será más distribuido y con mejores resultados.  

Principales características y riesgos graiman

Básicamente, un ataque de DDoS pretende inutilizar la aplicación o servicios publicados online. Transacciones de comercio electrónico, servicio de entrega de contenido, entre muchas más de las aplicaciones online actuales, no podrán ser usadas por los usuarios legítimos durante el ataque.

Es probable que este tipo de ataques se haga en momentos de alto tráfico en condiciones normales como son: días de pago para sector bancario, festividades para retail (black friday, navidad) o un evento de máxima concurrencia de usuarios. El riesgo que tiene este tipo de ataques para las empresas va desde la afectación de la imagen reputacional de su marca y servicios; hasta la pérdida del costo de oportunidad al no realizar transacciones válidas por imposibilidad de acceso de los usuarios.  Ante estos riesgos, es imperativo que sea evaluada las posibilidades de cada empresa de acuerdo al tipo de negocio, al sector al que pertenece y al tipo de servicios online que publica y que utiliza para su operación diaria. A partir de esta evaluación, las empresas deben calcular, valorar y monetizar cuánto sería el impacto comercial que tendrían este tipo interrupciones en sus servicios y/o aplicaciones online.  Independientemente de las diferencias del sector y tamaño de las empresas, es casi seguro que siempre será más económico invertir en una medida de seguridad contra ataques de este tipo que cualquier riesgo materializado a causa de una interrupción.  

Porqué es importante prevenirlos graiman

Los efectos directos de los ataques de denegación de servicio incluyen entre otros: mala experiencia del usuario final, pérdida de clientes, pérdida de ingresos, la baja productividad, horas de trabajo malogradas, entre otros.  Finalmente, un impacto en la reputación de su empresa, la cual en ocasiones es difícil de cuantificar.  Es por eso que recomendamos tener una serie de medidas que incluyan entre otros:

  • Firewalls para proteger servidores expuestos.
  • Dos o más servidores balanceados para alternar el manejo de cargas.
  • Servidor de back up listo y en línea para respaldo.
  • Sistemas operativos actualizados y configurados adecuadamente para evitar el funcionamiento de todo lo que no es requerido (hardening).
  • Canal de Internet dimensionado con el ancho de banda requerido y que tenga la capacidad de atender automáticamente picos de tráfico por momentos cortos de tiempo que excedan el ancho de banda disponible.
  • Internet con ancho de banda inteligente que cuente con mecanismos automáticos de protección y detección de comportamientos de inundación masiva de tráfico malévolo que consuma el ancho de banda disponible.
  • Sistemas de correlación de eventos de seguridad y centros de atención de resolución y respuesta a este tipo de ataques.
  • Puntos atractivos para los ciber atacantes como son los Honeypots.
  • Sitios de cuarentena donde se analiza el tráfico sospechoso sin perjuicio para el servicio expuesto por la empresa como los creados con los SandBox.

    Nuestro compromiso es apoyar a los ISP en tu crecimiento y transformación, accede aquí a un sitio creado con contenido exclusivo para esta industria.
Juan Camilo Ruiz

Juan Camilo Ruiz

Juan Camilo es ingeniero electrónico, experto en tecnología, telecomunicaciones y procesos de transformación digital, y se desempeña actualmente como product manager en seguridad y servicios administrados en InterNexa para toda la región.