Los ataques de denegación de servicios, conocidos como DDoS, son uno de los ciberataques más comunes y dañinos para la disponibilidad de la infraestructura tecnológica de una empresa. Aquí aprenderás cómo funcionan, qué tipos existen y qué controles aplicar para mitigarlos, especialmente si lideras áreas de TI o seguridad.

¿Qué es un ataque de denegación de servicios?

Un ataque de denegación de servicios busca afectar la disponibilidad de tus recursos tecnológicos inundándolos de peticiones hasta saturarlos. La idea es simple: si tu servidor recibe más tráfico del que puede procesar, deja de responder y tus usuarios quedan sin servicio.

¿Qué diferencia hay entre DoS y DDoS? Un DoS se ejecuta desde un origen, mientras que un DDoS (denegación de servicios distribuida) se lanza desde miles o millones de equipos infectados al mismo tiempo, multiplicando el impacto.

¿Cuáles son los tipos de ataques DDoS más frecuentes?

Existen tres categorías principales que conviene tener claras porque cada una ataca una capa distinta de tu infraestructura [01:00].

Ataques basados en volumen

Buscan saturar el ancho de banda de la víctima usando protocolos como UDP o ICMP, este último muy asociado al comando ping que se usa para verificar si un host está activo. Su impacto se mide en bits por segundo.

Ataques de protocolo

Consumen recursos directamente del servidor. Aquí aparece la técnica de inundar de peticiones aprovechando el triple handshake de la comunicación cliente-servidor, específicamente la bandera SYN. El ciberdelincuente envía peticiones SYN masivas hasta colapsar el servicio. Se mide en paquetes por segundo.

Ataques de capa de aplicación

Generan una cantidad masiva de requests hacia servicios web hasta dejarlos offline. Es el tipo más evidente porque ves el sitio caído en cuestión de minutos. Se mide en requests por segundo.

¿Cómo se ejecuta un ataque DDoS en la práctica?

La aplicabilidad más relevante hoy son las botnets o redes zombies [02:30]. Funcionan así: muchos equipos son vulnerados, se les instala un malware y quedan programados para apuntar a una víctima en una fecha y hora determinadas.

Un caso real es Meris botnet, una red conocida que apuntó a dispositivos MikroTik con vulnerabilidades por falta de actualización. Los logs del ataque mostraron direcciones IP de diferentes países disparando tráfico simultáneamente contra el mismo objetivo.

¿Se pueden alquilar botnets? Sí. En la deep web puedes encontrar redes botnet que se alquilan por tiempo, donde cualquier persona contrata orígenes y programa un ciberataque contra un target específico.

Este negocio es bastante lucrativo para los ciberdelincuentes, así que tenerlos en el radar de tu empresa no es opcional.

¿Qué controles aplicar contra un ataque DDoS?

La defensa no depende de una sola herramienta, sino de una combinación de cibercontroles bien implementados [04:30].

• Seguridad como servicio: adquirir soluciones integrales que cubran todos los procesos de la organización y vinculen reglas de seguridad perimetral y perfiles dirigidos a denegación de servicios. Estas soluciones deben identificar anticipadamente cuándo ocurre el ataque.
• Hardening de servicios: robustecer servidores, bases de datos y portales críticos como un portal interbancario. Aquí entra instalar endpoint protection, antimalware o antivirus.
• Eliminar configuraciones por defecto: una de las puertas más usadas por los atacantes es justamente lo que viene preconfigurado de fábrica.

Después de aplicar estos controles, lo siguiente es monitorear. Existen plataformas que muestran el panorama en tiempo real de ataques DDoS a nivel mundial y te ayudan a anticipar patrones.

¿Cómo se ve un ataque DDoS en acción?

Imagina un servidor web funcionando con sus opciones activas y respondiendo sin problema. Un ciberdelincuente ejecuta una instrucción y, de inmediato, se generan miles de requests hacia ese sitio. El servidor se inunda, deja de responder y cuando un usuario legítimo intenta ingresar, no recibe respuesta. Ese es el momento exacto en que la disponibilidad se rompe.

Si tu empresa depende de servicios online, ¿ya tienes identificado qué pasaría si mañana recibes un ataque desde miles de IPs distribuidas? Cuéntame en los comentarios qué controles ya tienes activos.