No caiga en estos mitos sobre DDoS

¿Estamos experimentando una brecha de conocimiento sobre los ataques DDoS (denegación de servicio distribuida)? Llevan tanto tiempo en el mercado que es difícil no preguntarse si la industria de la ciberseguridad desprioriza estos molestos ataques.

Se podría culpar al ransomware y a la ciberdelincuencia impulsada por la IA por acaparar gran parte de la atención en la actualidad. Después de todo, son las formas más «interesantes» de amenazas a la ciberseguridad. Sin embargo, por anticuados que sean los ataques DDoS relativamente más estables, existe el riesgo de que se arraiguen los malos hábitos. Y con el tiempo suficiente, las ideas erróneas más comunes no serán cuestionadas o incluso evolucionarán hasta convertirse en mitos en toda regla.

Si ya estás tomando medidas para protegerte contra la ciberdelincuencia, no debes dormir con los ataques DDoS. Vale la pena tomarse un tiempo para repasar sus conocimientos y volver a examinar lo que sabe y lo que ha cambiado.

Hablando de mitos, echemos un vistazo a los tres mitos más importantes que veo regularmente en el espacio de los DDoS.

Mito #1: (DDoS) El tamaño es lo que más importa

En términos generales, el campo de la ciberseguridad hace un buen trabajo a la hora de crear conciencia sobre la evolución de las amenazas. La forma en que se suele comunicar la palabra «evolución» cuando se trata de ataques DDoS es bastante típica: ataques de mayor tamaño, mayor duración y técnicas multivectoriales más complejas. Cuanto más grande es mejor, ¿verdad?

Bueno, no del todo. Bien, no se equivoquen, el tamaño de los ataques definitivamente va en aumento. Ya se ha hablado mucho sobre Google, Amazon y Cloudflare informan del mayor ataque DDoS de la historia el año pasado. Según las mediciones de otro proveedor, muchos ataques DDoS los ataques en el primer trimestre de 2024 en realidad superaron la tasa de 1 terabit por segundo, casi semanalmente, y el más grande alcanza los 2 Tbps.

Es posible que estos ataques complejos y a gran escala sean los más publicitados, pero eso no significa que el tamaño del ataque sea la única consideración por la que deba preocuparse. Verizon es 2023 Informe de investigaciones sobre violaciones de datos mostró que muchos actores malintencionados se inclinan cada vez más por ataques cortos e intermitentes de bajo volumen.

Los ataques más pequeños son igual de peligrosos, si no más, porque son más difíciles de detectar. Vemos el peligro que esto representa con bastante claridad en los ataques por partes (también conocidos como «bombas de alfombra»). Funcionan de forma muy parecida a cualquier otro ataque DDoS, excepto que, en lugar de inundar un único sistema con infinitas solicitudes, ocultan el exceso de tráfico distribuyéndolas por toda la red. Distribuir estos pequeños paquetes de solicitudes entre varios hosts y un océano de tráfico legítimo dificulta mucho la detección. Los métodos tradicionales de ciberseguridad, como los umbrales y los firewalls, simplemente no son tan útiles en este caso.

El daño causado por ataques «más pequeños» como este puede no parecer obvio de inmediato, pero si no se detectan, inevitablemente degradarán el servicio en lugar de desconectarlo por completo. Este tipo de cosas pueden ser devastadoras para la reputación de una empresa. También está el hecho de que no todos los ataques requieren altos Gbps para ser efectivos. Existen algunos ataques, como los ataques a nivel de protocolo o de aplicación, que pueden interrumpir los servicios agotando los recursos de los servidores y las aplicaciones o interrumpiendo el protocolo de enlace de las transacciones, lo que, en última instancia, hace que el tamaño sea irrelevante.

Mito #2: Las redes de entrega de contenido hacen que la protección contra DDoS sea irrelevante

Las redes de entrega de contenido han ganado mucha popularidad a lo largo de los años porque acercan el contenido a los consumidores. Hay aproximadamente 1,5 millones de empresas utilizan las CDN para mejorar la velocidad, la fiabilidad y la escalabilidad de sus servicios en línea.

Es cierto que las CDN reducen un poco el riesgo de ataques DDoS y, a menudo, ofrecen funciones que pueden ayudar a reducir el impacto de los ataques. Sin embargo, la seguridad no es su objetivo principal, por lo que el alcance de las protecciones que ofrecen puede describirse mejor como limitado en lugar de exhaustivo.

Las grandes redes distribuidas de una CDN pueden mitigar algunos ataques, claro, pero también añaden un único punto de falla. Si alguna vez se produce una interrupción de la CDN, cualquier sitio que dependa de ella también se queda sin funcionar. Esto puede deberse a errores internos, como vimos hace años con La interrupción de Fastly o ataques DDoS específicos que aprovechan las vulnerabilidades de las solicitudes de rango HTTP para amplificar el tráfico y sobrecargar servidores seleccionados.

Todo esto quiere decir que, si bien son útiles como parte de su estrategia de protección contra DDoS, no se puede confiar en las CDN como la estrategia completa por sí mismas.

Mito #3: Todos los servicios de protección contra DDoS se crean por igual

Existe la idea errónea de que todos los servicios de protección contra DDoS funcionan de la misma manera. Quizás esto sea comprensible, dado que todos los proveedores de servicios de Internet o enrutadores domésticos estándar vienen equipados con protección contra DDoS. De hecho, esa debería ser la base, pero no garantiza la protección. Muchos de estos servicios tienen la infame reputación de fallar cuando más se necesitan, lo que en cierto modo hace perder el sentido de la supuesta protección en primer lugar.

La única manera de protegerse realmente contra los ataques DDoS es mediante una combinación de soluciones. Por ejemplo, los firewalls pueden detener los ataques DDoS básicos, como las inundaciones de SYN o los ataques de paquetes fragmentados, pero no funcionan bien por sí solos contra las técnicas de ataque DDoS más complejas. Las técnicas de DDoS modernas, como las que imitan el tráfico legítimo, pueden superar fácilmente las defensas más tradicionales, como los firewalls.

Por lo tanto, hay que tener en cuenta el hecho de que es probable que los malos actores utilicen una variedad de ataques, desde ataques de un solo vector hasta ataques de varios vectores. Esto significa que necesita una estrategia más completa que combine servicios de protección contra DDoS especializados basados en la nube y sistemas de detección de intrusos para aumentar la seguridad. Cualquier servicio de protección que elija debe tener un historial comprobado de realización de pruebas y simulacros periódicos para garantizar que estos servicios realmente funcionan bien cuando son atacados. Y es muy importante entender esta parte, ya que se sabe que los atacantes «prueban» la capacidad y las defensas de los sistemas con ataques de «golpes menores».

Un último consejo: nunca dé por sentado que su empresa está a salvo de un ataque DDoS. Si los malintencionados encuentran una vulnerabilidad, la explotarán. No querrá encontrarse en una situación de interrupción prolongada de los servicios o, lo que es peor, de una interrupción total. Incluso OpenAI aprendió esto por las malas, cuando sufrió interrupciones en las herramientas y los servicios de la organización, incluido ChatGPT.

Un poco de disrupción en el momento equivocado es suficiente para causar estragos no solo en la reputación de la empresa, sino también en la base de clientes y en los resultados finales.

‍

‍Fuente: https://www.techfinitive.com/opinions/dont-fall-for-these-ddos-myths/