DDoS de DNS: el tiempo de inactividad es solo la punta del iceberg

Por Donny Chong, director de Nexusguard

Los ataques DDoS conllevan importantes costos financieros para cualquier organización, sin importar el sector. El coste medio de una interrupción del servicio se sitúa en torno a las 325 000 libras esterlinas por ataque, y cualquier organización podría ser la próxima víctima. Sin embargo, para los operadores de telecomunicaciones, las probabilidades son ligeramente más altas.

En los últimos años, el número promedio de intentos de ataques DDoS contra los proveedores de telecomunicaciones ha pasado de uno o dos a más de 100 por día. Los actores de amenazas atacan cada vez más a los proveedores de telecomunicaciones como puerta de entrada para interrumpir no solo sus redes, sino también todas las organizaciones que dependen de ellas. Esta tendencia a favorecer a los proveedores como objetivo parece haber llegado para quedarse. A medida que las empresas de telecomunicaciones se apresuran a reforzar sus defensas, hay un punto débil al que deberían prestar especial atención: los sistemas de nombres de dominio (DNS). Como objetivo de los ataques DDoS, no solo provocan tiempos de inactividad, sino que también suponen costes ocultos menos conocidos para las organizaciones que no consiguen protegerlos.

¿DNS? ¿Esa cosa vieja?
El DNS es un pilar de Internet y sustenta la presencia en Internet de todas las organizaciones. Se utilizan con tanta frecuencia que a menudo se dan por descontados. Más comúnmente conocidas como «agenda telefónica de Internet», convierten los nombres de dominio tal como los leería un humano (www.) en direcciones IP aptas para máquinas (123.4.5.67). Estas solicitudes de traducción (consultas de DNS) se producen cada vez que un sitio web recibe un visitante. Y a diferencia de la mayoría de los demás sistemas que sustentan Internet, el DNS responde a todas las solicitudes sin filtrar ni comprobar su legitimidad. Si bien esto crea una mejor
experiencia en Internet, también deja una vulnerabilidad abierta para que los actores de amenazas la exploten.

Al igual que otros vectores de ataque DDoS, los ataques de DNS suelen provocar un tiempo de inactividad prolongado que, en última instancia, afecta a la reputación y los ingresos de la empresa. En casos extremos, estas interrupciones pueden contribuir a la insatisfacción de los clientes o incluso dar lugar a acciones legales si se incumplen los acuerdos de nivel de servicio (SLA). En el caso de los proveedores de telecomunicaciones, que suelen tener miles de clientes que dependen de sus redes, estos efectos pueden ser catastróficos.

Con la enorme cantidad de vectores DDoS entre los que pueden elegir los atacantes, la mitigación es cada vez más compleja. No es de extrañar que el DNS a menudo no se convierta en una de las principales prioridades, pero muchas organizaciones no se dan cuenta de los costos ocultos que esto conlleva.

El resto del iceberg
Como el DNS carece de procesos de validación o detección integrados, es un objetivo popular para los actores de amenazas, que pueden inundarlos fácilmente con oleadas de solicitudes ilegítimas que pueden afectar a los servicios. Sin embargo, estas interrupciones tienen consecuencias inesperadas. Si bien los sistemas de nivel empresarial están diseñados para gestionar grandes cantidades de solicitudes como parte de las operaciones diarias, sus sistemas de facturación no son tan sólidos.

Los proveedores de servicios de DNS suelen utilizar un método de pago por uso y cobran a los clientes en función de la cantidad total de solicitudes de DNS recibidas a lo largo de cada ciclo de facturación. En circunstancias normales, esta es la forma más lógica de cobrar, ya que las organizaciones solo pagan por lo que utilizan. Sin embargo, durante un ataque DDoS basado en el DNS, las organizaciones pueden recibir solicitudes por importes superiores a los totales habituales, lo que hace que las facturas aumenten drásticamente. Debido a la naturaleza del DNS, incluso las solicitudes malintencionadas reciben el mismo tratamiento que las legítimas, lo que aumenta la facturación mensual. Por lo tanto, incluso después de un tiempo de inactividad provocado por un ataque de DDoS y de que se haya abordado toda la recuperación, las organizaciones podrían seguir teniendo que pagar facturas de servicio de DNS muy exageradas.

Hacer sonar la alarma de DNS
Si bien otros vectores de ataques DDoS pueden acaparar los titulares, los proveedores de telecomunicaciones no deberían dejarse cegar por las exageraciones. A pesar de ser menos conocidos, los ataques al DNS pueden provocar no solo tiempos de inactividad, sino también facturas adicionales al recuento de daños tras un ataque. Los proveedores de telecomunicaciones deben abordar sus defensas del DNS con urgencia, ya que no pueden darse el lujo de reducir aún más sus prioridades. Una solución rápida ahora podría salvarlo, en más de un sentido, en el futuro.

Afortunadamente, reforzar las defensas del DNS no es tan complicado como podría pensar. Como ocurre con toda la ciberseguridad, las organizaciones deben empezar por lo básico. Para quienes no tienen ningún tipo de protección, implementar servicios de filtrado y limitación de velocidad para descartar las solicitudes maliciosas e impedir que lleguen a los servidores DNS aumentará su seguridad al instante. Esto no solo evitará el tiempo de inactividad provocado por el DNS, sino que también evitará que las solicitudes ilegítimas aumenten las facturas del DNS. Y para aquellos que quieran ir un paso más allá, pasarse a un proveedor de DNS con un modelo de tarifa plana también podría ser una buena opción para eliminar la amenaza de facturas exageradas.

Para los proveedores de telecomunicaciones en particular, las defensas que eligen implementar son secundarias. Lo primero es actuar, y ahora. Con el aumento de los ataques dirigidos a las telecomunicaciones, estos costos adicionales, que ya son costosos, podrían dispararse aún más si no se toman medidas, y con la solución a la vista, ¿por qué no utilizarla?

Fuente: https://totaltele.com/dns-ddos-downtime-is-just-the-tip-of-the-iceberg/