Evolución de los ataques DDoS: Una amenaza creciente para las organizaciones
No hay duda de que en los últimos 20 años los ataques DDoS han evolucionado en tamaño, escala y sofisticación. A medida que los delincuentes utilizan nuevas tecnologías, como los dispositivos IoT, para distribuir y amplificar los ataques, se ha convertido en una amenaza que las organizaciones ya no pueden ignorar.
En 2018, la Agencia Nacional del Crimen del Reino Unido nombró los ataques DDoS como la principal amenaza conjunta a la que se enfrentan las empresas, junto con el ransomware. Observaron un fuerte aumento de los ataques y aconsejaron a las organizaciones que tomaran medidas inmediatas para protegerse de esta creciente amenaza.
En la era digital actual, la mayoría de las organizaciones dependen en gran medida de la conectividad web y de los servicios en línea para llevar a cabo sus actividades. Cualquier interrupción de este servicio puede tener graves ramificaciones que incluyen: pérdida de ingresos, interrupción del servicio, daño a la reputación de la marca, pérdida de clientes y robo de datos valiosos.
Pero, ¿qué es un ataque DDoS? Un ataque distribuido de denegación de servicio es un intento de hacer que un servicio en línea no esté disponible abrumándolo con enormes volúmenes de tráfico de múltiples fuentes. Este tipo de ataques suele producirse al inundar un sitio web con más tráfico del que el servidor puede soportar.
Al examinar 10 de los mayores ataques DDoS de la historia, podemos ver cómo han evolucionado estos ataques y qué lecciones se pueden aprender.
Principales ataques DDoS
1. GitHub (2018)
El 28 de febrero de 2018, GitHub -un popular servicio de gestión de código en línea utilizado por millones de desarrolladores- sufrió el mayor ataque DDoS de la historia. La plataforma estaba acostumbrada a altos niveles de tráfico, pero para lo que no estaba preparada era para la afluencia masiva de tráfico, que alcanzó un récord de 1,3 terabits por segundo.
El ataque a GitHub no implicaba redes de bots, sino que utilizaba un método conocido como memcaching, un sistema de almacenamiento en caché de bases de datos utilizado para acelerar los sitios web y las redes. Los atacantes fueron capaces de falsificar la dirección IP de GitHub y luego amplificar masivamente los niveles de tráfico dirigidos a la plataforma.
Por suerte, GitHub utilizaba un servicio de protección DDoS, y a los 10 minutos de desencadenarse el ataque, la empresa pudo contenerlo y evitar que continuara.
2. Dyn (2016)
El segundo mayor ataque DDoS fue dirigido a Dyn, un importante proveedor de DNS, en octubre de 2016. El ataque fue enormemente perturbador e hizo caer los sitios web de más de 80 de sus clientes, entre ellos Amazon, Netflix, Airbnb, Spotify, Twitter, PayPal y Reddit.
Utilizando un malware llamado Mirai, los hackers crearon una botnet masiva de 100.000 dispositivos de Internet de las cosas (IoT) para lanzar su ataque. Entre los dispositivos había radios, televisores inteligentes e impresoras, y todos estaban programados para enviar solicitudes a Dyn y saturarlo de tráfico.
Se calcula que los daños causados por el ataque han costado 110 millones de dólares y, a pesar de que el ataque se contuvo en un día, inmediatamente después del mismo, más de 14.500 dominios abandonaron los servicios de Dyn.
3. Hong Kong (2014)
En 2014, un ataque DDoS masivo tuvo como objetivo el movimiento prodemocrático de Hong Kong, Occupy Central. Los hackers enviaron enormes volúmenes de tráfico a tres de los servicios de alojamiento web de Occupy Central, incluidos dos sitios de noticias independientes conocidos como PopVote y Apple daily.
Utilizando cinco botnets, los hackers bombardearon los servidores con paquetes de basura disfrazados de tráfico legítimo. En su punto álgido, el tráfico alcanzó más de 500 gigabits por segundo, lo que paralizó ambos sitios web. El ataque también se utilizó para entrar en sus bases de datos, lo que provocó que los empleados de PopVote fueran bombardeados con correos electrónicos de phishing.
4. Cliente de Cloudflare sin nombre (2014)
En 2014, un cliente de la empresa de protección contra DDoS Cloudflare, sufrió un enorme ataque DDoS que le bombardeó con más de 400 gigabits de tráfico por segundo. El ataque se dirigió a servidores en Europa y explotó el Protocolo de Tiempo de Red (NTP), normalmente utilizado para sincronizar los relojes de las máquinas, para ralentizar los tiempos de respuesta. Los ataques de amplificación NTP son extremadamente difíciles de bloquear, ya que las respuestas son datos legítimos que parecen proceder de servidores válidos.
El ataque duró varios días y fue tan potente que, aunque estaba dirigido a uno de los clientes de Cloudflare, acabó afectando a la propia red de Cloudflare.
5. Spamhaus (2013)
En 2013, se lanzó un ataque DDoS contra Spamhaus, una organización líder en el filtrado de spam. La empresa es responsable de filtrar hasta el 80% de todo el spam, lo que la convierte en un objetivo atractivo para las amenazas y los ataques.
Utilizando una estrategia conocida como reflexión del sistema de nombres de dominio (DNS), los hackers bombardearon a Spamhaus con más de 300 gigabits de tráfico, dejando fuera de servicio su sitio web, así como parte de sus servicios de correo electrónico. Para ayudar a frenar el ataque, Spamhaus acudió a Cloudflare en busca de ayuda, pero los hackers cambiaron de objetivo e intentaron derribar el servicio de protección DDoS en el proceso. El ataque duró más de una semana y causó enormes interrupciones en la red en todo el Reino Unido.
6. Bancos estadounidenses (2012)
En septiembre y octubre de 2012, seis grandes bancos estadounidenses fueron objeto de una serie de ataques DDoS. Entre ellos, Bank of America, JP Morgan Chase, US Bancorp, Citigroup y PNC Bank.
El ataque fue llevado a cabo por cientos de servidores secuestrados, que atacaron a los bancos con más de 60 gigabits de tráfico por segundo. El ataque duró más de tres días, interrumpiendo los servicios y ralentizando los sistemas del banco. El ataque fue único en el sentido de que, en lugar de un ataque concentrado, los piratas informáticos probaron una serie de métodos diferentes para averiguar cuál causaría el mayor daño.
7. GitHub (2015)
En su momento, el ataque a GitHub de 2015 fue uno de los mayores que se han producido. El tráfico DDoS se originó en China y tuvo como objetivo dos URL de proyectos de GitHub que pretendían evitar la censura estatal china.
Se cree que el ataque por motivos políticos fue instigado por el gobierno chino y el objetivo era presionar a GitHub para que abandonara los proyectos.
Los hackers llevaron a cabo el ataque inyectando código JavaScript en los navegadores de todos los que visitaron Baidu, el motor de búsqueda más popular de China. El código hizo que los navegadores infectados enviaran peticiones HTTP a las páginas de GitHub seleccionadas y, durante la duración del ataque, GitHub experimentó cortes en toda su red.
8. Estonia (2007)
En abril de 2007, Estonia sufrió un ataque DDoS masivo contra servicios gubernamentales, bancos, instituciones financieras y medios de comunicación. El ataque se considera uno de los primeros actos importantes de ciberguerra y se produjo en respuesta a un conflicto político con Rusia por el traslado del "Soldado de Bronce de Tallin", un monumento de la Segunda Guerra Mundial.
Oleadas masivas de spam fueron enviadas por botnets y enormes cantidades de peticiones en línea inundaron los servidores. A pesar de no haber pruebas concretas de que Rusia estuviera detrás del ataque, este llevó a la creación de leyes internacionales para la ciberguerra.
9. Mafiaboy (2000)
En febrero de 2000, un hacker de 15 años conocido como "Mafiaboy" hizo caer varios sitios web comerciales importantes, como CNN, Amazon, eBay, Dell y Yahoo. El adolescente utilizó una red de bots para hacerse con el control de millones de ordenadores y utilizarlos para inundar los sitios web con un volumen de tráfico abrumador.
Los publicitados ataques duraron más de una semana, creando el caos en los mercados bursátiles y paralizando prácticamente algunos sitios.
10. BBC (2015)
En la víspera de Año Nuevo de 2015, la BBC fue víctima de un ataque DDoS sostenido por el grupo anti Estado Islámico (EI), New World Hacking. El ataque hizo caer el sitio web de BBC News junto con su servicio iPlayer durante más de tres horas. A pesar de reanudar el servicio, todo el dominio experimentó una importante interrupción durante el resto del día.
El ataque utilizó dos servidores de Amazon Web Services (AWS) para aprovechar un ancho de banda ilimitado y los hackers afirmaron que atacaban a una velocidad de 600 gigabits por segundo, aunque este dato ha sido rebatido posteriormente.
La urgente necesidad de estrategias proactivas de defensa DDoS
Como podemos ver en esta extensa lista, los ataques DDoS tienen el potencial de derribar sitios web de empresas enteras, redes y, como demostró el ataque a Dyn, casi todo Internet.
A medida que los ataques se vuelvan más sofisticados, las organizaciones tendrán que ser más proactivas en su enfoque para defenderse de los ataques. Algunos de los mayores ataques de la historia se han mitigado gracias a la rápida detección de las empresas de protección DDoS.
Las organizaciones deberían considerar el uso de un servicio de protección DDoS que detecte flujos de tráfico anormales y redirija cualquier tráfico DDoS fuera de la red. Otras medidas de seguridad incluyen la protección de la infraestructura de la red mediante el uso de un cortafuegos, VPN, antispam y otras capas de técnicas de defensa contra DDoS.
MetaCompliance se especializa en crear el mejor eLearning de concienciación sobre ciberseguridad y formación disponible en el mercado. Nuestros productos abordan directamente los desafíos específicos que surgen de las amenazas cibernéticas y el gobierno corporativo, facilitando a los usuarios el compromiso con la seguridad cibernética y el cumplimiento. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudarle a transformar la formación en ciberseguridad dentro de su organización.