Empresas y CIOs extorsionaDDoS

Ataques de alto nivel DDoS de organizaciones criminales ponen en jaque los servicios online de pequeñas y grandes compañías.

Los ataques DDoS que en los últimos meses que han puesto en el punto de mira a grandes compañías (principalmente del sector financiero) evidencian que la seguridad en INTERNET es un factor decisivo en la estrategia de cualquier empresa e institución que quiera prestar sus servicios online o parte de su proceso de negocio se encuentre en la nube (ERP, CRM, DATA WAREHOUSE…).​

Qué es un ataque DDoS

En seguridad informática, un ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés Denial of Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Los ataques DDoS podrían clasificarse en 2 tipos

■ Directos: Direct DDoS attacks. Es este caso el atacante (desde su servidor o un enjambre de servidores) envía un número suficiente de PACKETS con el objeto de inundar el servidor independientemente del tipo de protocolo o aplicación usada.
​
■Reflexión: En este caso el servidor atacante engaña a servidores terceros haciéndose pasar como servidor perteneciente al pool de servidores de la organización objetivo para que respondan con PACKETS al servidor objetivo. Hay una variante de este ataque cuando los PACKETS que se envían a servidores terceros son respondidos con PACKETS de mucho mayor tamaño al servidor objetivo en lugar de al atacante.

El hecho de derribar temporalmente mediante estos ataques los servidores que albergan las plataformas de servicios, comercio electrónico o información no solo atañe a la reputación del propietario del sitio web sino que en la mayoría de las ocasiones supone un grave perjuicio económico al no poder prestar servicio durante el ataque y el los momentos posteriores a la restauración del sistema.

¿Estoy sufriendo un ataque DDoS? ¿Porqué a nosotros?

Enterarse de que la organización está sufriendo uno de estos ataques por llamadas de clientes que no pueden acceder al servicio es algo que, al margen de la reputación y los quebraderos de cabeza del Dpto de Marketing, es un indicativo de falta de control sobre las infraestructuras TIC. Cierto es que no todas las empresas pueden destinar recursos a un departamento de seguridad de sistemas y redes, pero también es cierto que existen multitud de servicios y software asequible que puede detectar si nuestras infraestructuras están sufriendo un ataque y, al menos, paliar los efectos. SI, decimos paliar, a fecha de hoy nadie está a salvo de este vector de ataque si la organización criminal que hay detrás tiene los medios y la motivación suficiente.

Existen tres motivos genéricos para este tipo de ataques: Económicos (extorsión o competencia desleal), Hacktivismo y geopolíticos.  De cada uno de ellos se puede escribir un libro, pero el que con mayor medida afecta a la empresas es el primero: “O pagas o te tiramos el/los servidor/es”. Atrás quedan los tiempos del hacktivismo siendo hoy en día el principal motivo de ataques DDoS la extorsión o rescate por anticipado para evitar un posible ataque. Otro motivo, también económico, es el de un competidor que no comprenda lo que significa FAIR PLAY derribando los servidores de la competencia para atraer tráfico a su plataforma de servicios online.

El problema es que mientras existan empresas que prefieran pagar un rescate (pueden ir desde 100€ hasta más de 1.000.000€  para evitar una merma en sus operaciones online, habrá delincuentes y organizaciones criminales que vean en el ataque DDos una fuente rentable de ingresos. Según el último informe de Worldwide Infrastructure Security Report from Arbor Networks, de entre los distintos tipos de amenazas a las infraestructuras TIC, este tipo de ataques está en alza siendo los ataques cada vez más efectivos: Si en 2014 el 34% de empresas que participaron en la encuesta de WISR reconocieron la caída de sus servidores en uno de estos ataques, en 2015 la cifra asciende por encima del 50%.

El software o los servicios de estas organizaciones criminales cada vez son más asequibles y eficaces. Es más, en ocasiones cuando una empresa está sufriendo uno de estos ataques en pequeña escala , la motivación no es directamente la económica, sino que puede ser una pequeña demostración (no dañina y que no levante sospechas) que se esté efectuando por parte de estas organizaciones a un tercero interesado en tirar los servidores de nuestra compañía. Por eso es importante monitorizar las redes y no subestimar un ataque por ridículo que sea porque puede ser la antesala de uno de proporciones mayores.

No es intención siquiera didáctica informar en estas líneas de cómo ejecutar un DDoS se pero sí decir que estos ataques pueden efectuarse de forma muy rudimentaria (botnets, fuerza bruta coordinada en foros, bbs) o mediante tecnología muy avanzada sólo disponible para organizaciones con recursos financieros suficientes y departamentos de defensa. En el WISR se ha detectado incluso ataques DDoS en entornos IPv6 lo cual indica que este vector de ataque va evolucionando con la tecnología existente.

Agradecemos a Arbor Networks la información facilitada y recomendamos al lector técnico descargar los White Papers de esta empresa de seguridad de redes y sistemas.

---