Las múltiples caras de los ataques DDoS

Negocios
Karine de Ponteves Fortinet

Karine de Ponteves, analista de cibercrimen en el equipo FortiGuard en Fortinet, traza la evolución de los ataques DDoS.

Google, Microsoft, Apple, PayPal, Visa, MasterCard… muchas de las principales webs del mundo han sido víctimas de ataques Distribuidos de Denegación de Servicio (DDoS). Un ataque DDoS  consiste en atacar a un único objetivo desde múltiples sistemas con el objetivo de que los recursos no estén disponibles a sus usuarios habituales. En la última década se ha incrementado el número de ataques DDoS y han evolucionado sus motivaciones y objetivos. Karine de Ponteves, analista de cibercrimen en el equipo FortiGuard en Fortinet, traza la evolución de estos ataques.

Principios de 2000: Entra en escena

Aunque no podemos afirmar con certeza cuándo se produjo el primer ataque DDoS real, si podemos asegurar que el primero a gran escala se registró en 1999 y fue contra un servidor IRC de la Universidad de Minnesota. En esa ocasión 227 sistemas se vieron afectados y el ataque dejó el servidor de la universidad inutilizado durante dos días. En febrero del 2000, algunos de los websites más populares, como  Yahoo!, eBay, CNN, Amazon.com, ZDNet.com fueron paralizados durante horas. Yahoo! sufrió unas pérdidas valoradas en 500.000 de dólares durante las tres horas de caída del sistema, el volumen de actividad de CNN.com cayó un 95% y ZDNet fue virtualmente inaccesible. La pérdida de tiempo por inactividad fue enorme.

Mafiaboy
Cuando tenía 15 años, ‘Mafiaboy’ fue arrestado y acusado de ataques DoS contra los websites más populares.

Un joven canadiense de 15 años conocido como “Mafiaboy” fue arrestado y acusado de los ataques. ¿Su motivación? Un simple desafío, quería mostrar sus habilidades. Había explorado la red para encontrar servidores vulnerables, comprometió los equipos aprovechando una vulnerabilidad conocida, desplegó un software para convertirlo en  “zombie”, y después propagó el ataque para que cada zombie hiciera lo mismo con otros sistemas, siguiendo el mismo proceso.

2005: El ataque lucrativo

A principios de los 2000, para crear una botnet desde la que lanzar un ataque DDoS, el hacker tenía que seguir los mismos pasos de Mafiaboy. Con la irrupción de los gusanos de internet, estos pasos se automatizaron, permitiendo al hacker desencadenar un ataque a gran escala. En agosto de 2005, el joven de 18 años Farid Essabar, que nunca había estudiado programación, fue arrestado por propagar el gusano MyTob. El gusano abría una puerta trasera en el sistema Windows infectado, conectándose a un servidor IRC remoto y esperando las órdenes.   Se extendía copiándose a sí mismo en redes compartidas, abriendo la puerta a ataques DDoS masivos con todos los host comprometidos por el gusano y ejecutando los comandos procedentes del IRC. La propia CNN se vio afectada por este ataque.

En este caso, ¿cuáles eran las motivaciones? No se trataba tanto de infectar una red corporativa sino de conseguir miles de dólares mediante la extorsión a empresas amenazándoles con dirigir ataques DDoS a sus redes. Rápidamente, las empresas afectadas decidieron pagar antes que enfrentarse a las consecuencias de un ataque DDoS.

2010: DDoS y hacktivismo

En 2010, los principales medios de comunicación informaron sobre el alto perfil de los ataques DDoS motivados por cuestiones políticas o ideológicas como los conocidos incidentes provocados por Wikileaks/Anonymous. En ese año, se produjo un incremento brutal en el número de ataques, y se lanzaron por primera vez ataques que rompieron la barrera de los 100Gbps, lo que suponía multiplicar por 22.000 la media del ancho de banda de un usuario de internet en EEUU en  2010.

En diciembre, Wikileaks fue sometido a una gran presión para que dejara de publicar los cables diplomáticos secretos de Estados Unidos. En respuesta, el grupo Anonymous le mostró su apoyo en lo que se conoció como Operación Payback dirigiendo una serie de ataques DDoS a compañías como Amazon, PayPal, MasterCard y Visa en represalia por las acciones emprendidas contra Wikileaks. Estos ataques causaron que los sites de MasterCard y Visa cayeran el  8 de diciembre.

La herramienta que está detrás de los ataques de Anonymous/Wikileaks es conocida como Low Orbit Ion Cannon (LOIC). Lo que originariamente era una herramienta open source para el testeo de cargas, diseñado para realizar test de stress a aplicaciones web, se convirtió en una herramienta para DDoS.

2012 y más allá: Los ataques basados en capas de aplicación

Aunque hay varios métodos de ataque, los tipo DDoS se clasifican normalmente en dos categorías:

  • Ataques volumétricos: Que buscan sobrecargar el ancho de banda de la red y la infraestructura (UDP, TCP SYN, ICMP).
  • Ataques a la capa de aplicación: Estos ataques están diseñados para dañar determinados servicios y agotar sus recursos (HTTP, DNS).  Como requieren poco ancho de banda son más difíciles de detectar. La situación ideal para los ataques DDoS es que el resto de servicios se mantengan inalterables pero el propio webserver sea completamente inaccesible. El software Slowloris surgió de este concepto y es relativamente sigiloso comparado con la mayoría de herramientas   similares.

De acuerdo con Stratecast, los ataques DDoS se están incrementando entre un 20% – 45% anualmente, registrándose incrementos de triple dígito en los ataques DDoS basados en aplicación. La tendencia de los ataques DDoS es clara y difícil de revertir. Esto no significa que los ataques volumétricos basados en flujos o en la red vayan a cesar. Al contrario, ambos tipos de ataques se combinarán para hacerse más poderosos. El informe sobre brechas de datos realizado por Verizon en 2012 reveló que algunos de los ataques DDoS de más alto perfil que se esconden bajo ataques volumétricos fueron utilizados para disimular los esfuerzos en el robo de datos, probando que los ataques multi-vector son utilizados para ocultar el verdadero objetivo del ataque.

El grupo de hacking Anonynous popularizó el uso de ataques DDoS como protesta social.

Los ataques DDoS están aumentando en frecuencia y gravedad a la vez que se simplifica su lanzamiento y la capacidad de las herramientas disponibles. Además, la complejidad de estos ataques está incrementándose debido a su naturaleza polifórmica así como al desarrollo de nuevas herramientas para esconder su verdadera naturaleza.

Como resultado, los métodos tradicionales de detección son normalmente inútiles y su eliminación más difícil. Debido a esta evolución es esencial que las organizaciones revisen sus políticas de seguridad y confirmen que disponen de las defensas correctas para protegerse frente a los ataques DDoS. El mayor reto es tener suficiente visibilidad para detectar una amplia gama de tipos de ataques sin que ello ralentice el flujo y el procesamiento del tráfico legítimo; y después mitigar el ataque de la manera más efectiva. Una estrategia de defensa multicapa es esencial para permitir un control y una protección granular de todos los componentes que forman parte de las actividades online.

Lea también :